Document d’enregistrement universel 2019-2020

5. Gouvernement d’entreprise

5.4.3.2 Couverture des risques
5.4.3.2.1 Assurances souscrites

La politique générale du Groupe est de transférer au marché de l’assurance les risques non conservés, en particulier les risques d’intensité. Sodexo veille à contracter ces programmes auprès d’assureurs de qualité.

Les principaux programmes d’assurances mis en place concernent :

  • les assurances en responsabilité, qui garantissent les dommages corporels, matériels ou immatériels causés aux tiers. Ces assurances couvrent notamment la responsabilité civile exploitation, produit, après livraison ainsi que la responsabilité civile professionnelle ; depuis le 1er juin 2016, Sodexo a mis en œuvre un programme d’assurance responsabilité à l’échelle mondiale, qui peut être utilisé dans chacun des pays où le Groupe est implanté, y compris aux États-Unis et au Canada ;
  • les assurances dommages, qui couvrent principalement les risques d’incendie/explosion, de dégâts des eaux, de catastrophes naturelles ainsi que, dans certains pays, les risques d’attentat et de terrorisme. En règle générale, les assurances dommages sont souscrites à hauteur des montants en risque ; elles peuvent parfois faire l’objet de limitations contractuelles d’indemnité négociées avec les assureurs ;
  • les risques liés aux accidents du travail : dans les pays où les accidents du travail ne sont pas couverts par des organismes publics, des programmes d’assurances spécifiques sont souscrits (Workers Compensation). C’est notamment le cas aux États-Unis, au Canada et en Australie ;
  • l’assurance criminalité dédiée aux Services Avantages & Récompenses, afin de transférer au marché de l’assurance une partie des risques de fraude, de falsification et de vol ;
  • l’assurance sur facultés maritimes, qui couvre la perte et le vol de marchandises durant leur transport ;
  • l’assurance responsabilité relative aux pratiques d’emploi, qui couvre les questions de licenciement abusif, de harcèlement sexuel, de discrimination et de préjudices sur le lieu de travail. Ce programme, mis en œuvre initialement aux États-Unis et au Canada, a été étendu à l’échelle mondiale le 1er juin 2017 ;
  • l’assurance cyber risques, qui répond aux cyber événements tels que les intrusions, les attaques par déni de services, les violations de données. Elle couvre les coûts liés à l’investigation, à la violation de la vie privée et à la restauration de données, ainsi que toute interruption d’activité résultant d’un cyber évènement.

Par ailleurs, Sodexo souscrit à l’ensemble des polices d’assurance légalement obligatoires dans les pays où il est implanté.

5.4.3.2.2 Conservation des risques

Les risques restant à la charge du Groupe correspondent aux montants des franchises des programmes d’assurances contractés par Sodexo. Il s’agit pour l’essentiel des risques de fréquence (risques qui se produisent de façon courante) et plus rarement des risques d’intensité (risques plus substantiels). Ces risques assumés (dans le cadre des franchises) dans certains pays concernent principalement la responsabilité de l’employeur (Employer’s Liability), les accidents du travail (Workers Compensation) ainsi que la responsabilité civile automobile et les dommages aux biens. En Amérique du Nord, les franchises varient de 5 000 à 5 000 000 dollars US par événement. Hors Amérique du Nord, les franchises varient, en règle générale, de 7 500 à 2 000 000 euros par événement. Sodexo assume également en propre les risques de fréquence et de faible amplitude via deux sociétés d’assurance captives. La société américaine, constituée à Hawaï, gère les franchises des programmes d’assurance couvrant les risques liés aux accidents du travail, la responsabilité civile automobile et la responsabilité civile générale. La société irlandaise, sise à Dublin, fournit des services :

  • d’assurance directe et de réassurance couvrant, dans le cadre de l’assurance du corps automobile, les dommages subis par les véhicules assurés et les risques encourus en matière de responsabilité civile à hauteur de 500 000 euros par sinistre et de 2 500 000 euros pour l’ensemble des sinistres survenus au cours d’une année ;
  • de réassurance dans le cadre du programme d’assurance dommages à hauteur de 3 000 000 euros par sinistre et pour l’ensemble des sinistres survenus au cours d’une année.
5.4.3.2.3 Placement et coût global

Lors des derniers renouvellements de ses polices d’assurance, Sodexo a maintenu l’étendue de ses couvertures et le niveau de ses garanties notamment pour ce qui concerne les programmes Responsabilité Civile Générale et Responsabilité Civile Professionnelle dont bénéficie le Groupe, en particulier pour les couvertures des risques liés aux services de Facilities Management.

Le coût total des principaux programmes d’assurances et de conservation des risques (hors accidents du travail) des sociétés consolidées par intégration globale s’élève à environ 0,25 % du chiffre d’affaires consolidé.

5.4.3.3 Descriptif de la démarche de gestion de contrôle interne (y compris pour le reporting financier)

La démarche de gestion des risques et de contrôle interne appliquée au sein du Groupe consiste en :

  • l’identification et l’évaluation des risques ;
  • la description de l’environnement de contrôle, tant au niveau du Groupe qu’au niveau des filiales ;
  • la documentation et l’autoévaluation des contrôles, tant au niveau local qu’au niveau du Groupe ;
  • des tests indépendants de l’efficacité des contrôles réalisés par des personnes indépendantes.

Un très grand nombre d’entités du Groupe établissent chaque année un rapport détaillé appelé « Company Level Control Report ». Celui-ci est décliné selon les cinq composantes du référentiel et comporte l’identification des principaux risques de l’entité, la description des actions de maîtrise des risques ainsi qu’une évaluation de leur efficacité.

Les entités les plus importantes du Groupe vont au-delà de cette première étape et évaluent également l’efficacité de contrôles supplémentaires déterminés en fonction de leur propre évaluation des risques (Process Level Controls), dont certains font aussi l’objet de tests d’efficience réalisés par des personnes indépendantes (des membres de l’Audit Interne du Groupe).

Une synthèse de l’état du contrôle interne et des progrès réalisés est présentée en fin d’exercice au Comité d’Audit.