La Leadership Team de Sodexo est chargée d’établir des procédures de gestion des risques. Son rôle consiste à concevoir et à diriger le système de contrôle interne, avec le soutien des dirigeants et des fonctions de la deuxième ligne de maîtrise dans leurs domaines d’expertise respectifs.
Le rôle du Conseil d’Administration de Sodexo est de superviser son système de gestion des risques et de contrôle interne, et de s’assurer qu’il fonctionne efficacement. En sa qualité de comité spécialisé du Conseil d’Administration, le Comité d’Audit assure un suivi détaillé des principaux risques de Sodexo et de l’efficacité des contrôles mis en place pour les atténuer (voir également la section 7.2.1.5), et il en rend compte au Conseil d’Administration.
Sodexo a mis en place un dispositif rigoureux pour identifier et évaluer les principaux risques. Le Groupe s’assure ainsi que les risques sont évalués et gérés aux niveaux appropriés de l’organisation. Selon leur nature, les actions de maîtrise sont mises en œuvre au niveau du site, du pays, de la région ou du monde.
Le dispositif de contrôle interne du Groupe s’appuie sur les principes fondamentaux définis par le Conseil d’Administration.
Sodexo s’appuie sur une approche hybride de l’évaluation des risques, à la fois ascendante (bottom-up) du point de vue opérationnel et descendante (top-down) du point de vue de la Direction.
Au niveau opérationnel, les comités de Direction de chacune des entités principales de Sodexo conduisent une évaluation annuelle des risques, avec l’appui des responsables de la gestion des risques et du contrôle interne. Les résultats de ces évaluations sont consignés dans un outil global de gestion des risques. Les risques identifiés sont ensuite pris en charge et traités au niveau local.
Sodexo évalue ses risques en trois étapes sur la base d’une méthode globale normalisée :
identification des risques : la première étape consiste à identifier les risques susceptibles d’affecter la capacité de Sodexo à atteindre ses objectifs au niveau des sites, d’un pays, d’une région ou dans le monde entier. Sodexo utilise diverses méthodes d’identification des risques, notamment des enquêtes et des registres de risques. Toutefois, la réalisation d’entretiens avec les principales parties prenantes est la technique recommandée et la plus courante, tant pour les évaluations ascendantes que descendantes ;
Par ailleurs, le département d’Audit Interne réalise tous les ans une série d’entretiens avec les dirigeants de Sodexo du monde entier en vue d’identifier les principaux risques visant les activités de la Société et la réalisation de ses objectifs.
Le résultat des évaluations des risques et des entretiens avec les cadres dirigeants sont pris en compte dans l’élaboration du profil de risque du Groupe, qui est constitué des principaux risques susceptibles d’affecter les priorités stratégiques de Sodexo. Ce profil est soumis à la Leadership Team de Sodexo pour commentaires avant d’être présenté au Comité d’Audit et au Conseil d’Administration.
La section 6.3 décrit les principaux risques auxquels le Groupe est confronté.
Comme décrit ci-dessus, l’évaluation des risques sert à identifier, évaluer et hiérarchiser les risques. Une fois évalués, les risques sont pris en charge afin d’en réduire les effets. Des plans d’actions et des contrôles peuvent notamment être mis en place. Les contrôles constituent donc une part importante des mesures possibles pour atténuer les risques qui, comme les procédures de Sodexo en la matière, font partie d’un processus continu de gestion de l’exposition du Groupe aux risques.
La démarche de gestion des risques et de contrôle interne de Sodexo est basée sur le cadre de référence de contrôle interne prescrit par l’AMF (Autorité des marchés financiers). Ce dispositif couvre les cinq composantes suivantes : environnement de contrôle (intégrité, éthique, compétences, etc.), évaluation des risques (identification, analyse et gestion des risques), activités de contrôle (normes et procédures), information et communication (collecte et échange d’informations) et pilotage (suivi et modification éventuelle des processus).
