Système de gestion du risque d'entreprise
Statut: Document d'Enregistrement 2008
Présentation
L’un des objectifs principaux de la direction est de promouvoir chez EADS un environnement efficace pour le Contrôle interne (« CI ») et la Gestion des risques («GR»).
En 2008, EADS a commencé à mettre en oeuvre dans le Groupe un nouveau système de Gestion des risques d’entreprise («GRE») , développant et mettant à profit les succès des systèmes CI et GR précédents.
Le nouveau système GRE vise à fournir à la Direction un outil perfectionné permettant de traiter efficacement les incertitudes et les risques inhérents aux activités d’EADS, et de saisir les opportunités. Le système GRE vise également à garantir le respect des règles de gouvernement d’entreprise et des meilleures pratiques en matière de systèmes CI et GR aux Pays-Bas, en France, en Allemagne et en Espagne.
Le système GRE d’EADS repose sur les cadres de contrôle interne et de Gestion des Risques d’entreprise du Committee of Sponsoring Organisations of the Treadway Commission (COSO II).
Le système GRE sert de base à toutes les procédures GRE, CI et GR des différents niveaux organisationnels d’EADS, qu’il s’agisse des Divisions, des Unités opérationnelles ou des fonctions centrales. Ce système repose sur une procédure établissant des rapports hiérarchiques ascendants et descendants visant à garantir une meilleure transparence des risques et des opportunités du Groupe. Le processus de contrôle interne prévoit la mise à jour régulière de documents et l’évaluation de l’efficacité des contrôles individuels pour l’ensemble des processus.
Voir le chapitre « Facteurs de risque » pour des informations sur les principaux risques auxquels le Groupe est exposé.
Limites du système
Aussi bien conçu soit-il, tout système GRE trouve des limites quant à son efficacité, par exemple en cas de contournement des procédures ou de non-respect des contrôles en place par des membres de la direction. Par conséquent, aucune assurance ne peut être donnée que le système et les procédures de GRE d’EADS sont ou seront totalement efficaces malgré toute la vigilance et les efforts déployés.
Évolutions en 2008 et perspectives
En 2008, EADS a cherché à appliquer la nouvelle approche GRE au contrôle interne et à la Gestion des Risques, en associant les deux sujets pour en faire un outil de gestion plus efficace. EADS analysera en 2009 les résultats obtenus, en tirant parti des procédures d’évaluation et des examens approfondis du système GRE réalisés en 2008. Des examens des systèmes GRE ont en outre été réalisés par l’audit interne, afin de corroborer l’autoévaluation de 2008. De nouvelles modifications du système GRE et de nouveaux efforts d’intégration sont prévus en 2009, en fonction des résultats des activités actuelles de suivi de l’efficacité du système.
Alors que le nouveau système GRE est en cours de mise en place à travers le Groupe (y compris pour certains aspects visés par le Code néerlandaise), le Conseil d’administration n’a toutefois pas encore effectué de déclaration sur l’adéquation et l’efficacité des systèmes CI et GR du Groupe (alors que l’article II.1.4 du Code néerlandais recommande une déclaration de cette nature).
Le Code révisé, qui s’appliquera aux exercices sociaux commençant le 1er janvier 2009 ou après cette date, prévoit que la déclaration sur l’adéquation et l’efficacité du système CI et GR soit remplacée par une déclaration confirmant que le système CI et GR donne une garantie raisonnable que le reporting financier ne comporte pas d’erreur importante et que les systèmes de contrôle et de gestion du risque ont correctement fonctionné au cours de l’exercice concerné. Le Conseil d’administration indiquera dans le Rapport du Conseil pour l’exercice 2009 si une telle déclaration peut être effectuée, ou expliquera les raisons pour lesquelles ce n’est pas le cas, sur la base des progrès réalisés dans la mise en oeuvre du système GRE d’EADS en 2009.
Politique GRE d'EADS
La politique, les objectifs et les procédures au coeur du système GRE d’EADS sont communiqués au Groupe dans le manuel « Politique GRE d’EADS », qui présente :
-
la politique et les objectifs GRE ;
-
les procédures GRE adoptées par EADS, comportant un système de suivi GRE standardisé, afin :
-
de garantir une même compréhension du système de CI et de gestion des opportunités et des risques, appliqué dans l’ensemble de l’entreprise ;
-
de couvrir de manière complète la Gestion des Risques et des Opportunités des programmes et projets, des fonctions et des processus, aux moyens de sources tant internes qu’externes ;
-
d’assurer la conformité des systèmes CI et GR dans une perspective d’efficacité
-
La politique GRE d’EADS constitue le cadre dans lequel s’inscrivent toutes les directives et pratiques de CI et de GR au sein d’EADS. Cette politique s’applique dans toutes les Divisions, Unités opérationnelles et fonctions centrales d’EADS.
Les joint ventures peuvent mettre en oeuvre des systèmes GRE distincts, les principes fondamentaux de la politique GRE d’EADS s’appliquant toutefois de manière générale.
La Politique GRE d’EADS est étayée par :
-
des codes de conduite (par exemple, le Code d’éthique et de responsabilité sociale d’EADS) ;
-
des guides (par exemple, le Guide des responsabilités et principes de gestion d’entreprise d’EADS, ou le Guide de contrôle financier) ;
-
des manuels (par exemple, les Procédures de trésorerie, le Manuel comptable et le Manuel de reporting)
-
des directives (par exemple, la Politique de financement).
Les normes externes qui influencent le système GRE d’EADS comprennent les cadres CI et GRE du COSO, ainsi que des normes précises sectorielles définies par l’Organisation internationale de normalisation (ISO). Pour de plus amples informations sur les risques du marché financier et la façon dont EADS est organisée pour faire face à ces risques, voir « Notes aux États financiers consolidés (IFRS) - Note 35A : Informations relatives aux instruments financiers — Gestion des risques financiers ».
Entités responsables du système GRE
La répartition des responsabilités relatives au système GRE est la
suivante :
-
le Conseil d’administration assume la responsabilité générale du système GRE et définit le niveau de risque qu’EADS peut accepter de façon globale ;
-
les Divisions, les Unités opérationnelles et les fonctions centrales assument la responsabilité de l’exploitation et du suivi du système GRE. Ils ont pour mission de garantir la transparence et l’efficacité du système GRE et la réalisation des objectifs. Ils sont responsables de la mise en œuvre d’activités permettant de réduire la probabilité et l’impact des expositions au risque, et des activités permettant d’augmenter la probabilité et l’impact des expositions aux opportunités. Ils sont en charge de communiquer les informations sur les risques et les opportunités susceptibles de concerner d’autres intéressés au sein d’EADS ;
-
des objectifs sont définis au niveau central, un responsable étant désigné pour chaque objectif. Les objectifs sont déclinés dans l’ensemble de l’organisation. Chaque niveau de l’organisation adopte donc des objectifs contribuant à la réalisation des objectifs d’EADS dans son ensemble ;
-
EADS fait appel aux connaissances que possèdent ses salariés, en particulier dans le domaine opérationnel, pour identifier et évaluer les principaux risques susceptibles de faire obstacle à la réalisation des objectifs d’EADS et pour identifier et évaluer de nouvelles opportunités. EADS cherche à intégrer ces processus aux modes de fonctionnement courants, afin que soient prises en compte de manière systématique l’identification et la Gestion des Risques susceptibles de nuire à sa performance.
Objectifs du système GRE
Le système GRE est conçu de manière à fournir au Conseil d’administration, au Président exécutif et au Directeur financier des assurances raisonnables portant sur les objectifs suivants :
-
la livraison des produits dans les délais et conformément aux objectifs de coût et de qualité ;
-
la fiabilité du reporting financier et la réalisation des objectifs financiers ;
-
l’identification, l’évaluation, la maîtrise, le contrôle et le suivi des risques et des opportunités, de manière appropriée et dans les délais, dans l’ensemble du Groupe, conformément aux objectifs d’EADS ;
-
le respect des lois et réglementations externes en vigueur, comme de la politique et des directives internes ;
-
l’efficacité et l’efficience des opérations ;
-
la transparence et la qualité des risques et des opportunités, du suivi et du reporting (par ex. les rapports de gestion interne, les États financiers, etc.).
Procédures GRE
Des procédures obligatoires ont été établies afin de renforcer l’efficacité et la fiabilité opérationnelle du système GRE et de remplir les exigences de conformité aux règles externes :
-
Procédures de Gestion des Risques et des Opportunités, visant à améliorer la Gestion des Risques opérationnels et des Opportunités au sein d’EADS, par l’utilisation de la méthodologie GRE ;
-
Procédures de mesure des risques financiers, visant à quantifier de manière cohérente les risques et les opportunités ;
-
Procédures de reporting GRE, visant à établir les informations sur le fonctionnement du système GRE et la cartographie des risques et opportunités ;
-
Procédures de conformité et de suivi GRE, visant à corroborer l’évaluation du Président exécutif et du Directeur financier quant à l’efficacité du système GRE d’EADS
-
Procédures de soutien GRE, couvrant des sujets importants tels que la formation GRE, le transfert des connaissances, la gestion du changement et le rôle de l’audit.
Le système GRE d’EADS vise à couvrir tous les types de risques, quantifiables comme non quantifiables, y compris les risques d’exploitation, les risques fonctionnels (par ex. risques stratégiques, de conformité et de réputation) et les risques liés aux processus, susceptibles d’affecter EADS à court, moyen et long terme, ainsi que les opportunités.
Procédures de Gestion des Risques et des Opportunités
Les procédures permanentes de Gestion des Risques et des Opportunités comprennent plusieurs composantes :
-
définition des objectifs et de la tolérance au risque ;
-
identification et évaluation des risques et des opportunités ;
-
élaboration des réponses aux risques et aux opportunités, et activités de contrôle (politique, procédures et autres activités) ;
-
suivi et reporting des risques et des opportunités.
Les processus détaillés et les procédures associées varient en fonction de la taille et de la nature des programmes/projets ou fonctions concernés, les principes s’appliquant en toutes hypothèses. Une adaptation locale peut être réalisée en fonction des contraintes de l’activité et/ou des exigences spécifiques des clients.
Procédures GRE de conformité et de suivi
EADS a établi des mécanismes formels d’autoévaluation GRE, que chaque responsable de procédure ou de contrôle doit mettre en oeuvre régulièrement, afin d’évaluer ses risques d’exploitation et fonctionnels, ainsi que l’efficacité de l’exploitation et de la conception des contrôles internes s’appliquant à ses processus.
Les progrès sont surveillés par la Division, l’Unité opérationnelle et la fonction concernées, qui font remonter l’information au siège d’EADS. Les mesures correctives sont réévaluées périodiquement, afin de vérifier leur efficacité. Les risques les plus importants sont soumis à une procédure d’examen par la Direction au niveau du Groupe. Chaque année, le service audit examine de manière indépendante le fonctionnement des systèmes GRE dans des Divisions, des Unités opérationnelles et des fonctions centrales sélectionnées à cet effet.
À partir des autoévaluations GRE, la Direction de chaque Division, Unité opérationnelle ou fonction centrale rédige une lettre de confirmation de l’adéquation et de l’efficacité des systèmes GRE dans leur périmètre de responsabilité. Les joint ventures, telles que MBDA, utilisent des systèmes CI et GR indépendants. La correspondance avec le système GRE d’EADS est facilitée, entre autres, par la présence d’EADS dans les organismes de gestion et de supervision de ses filiales (par ex. les Conseils d’administration et les Comités d’Audit).
Outre les activités de suivi mises en oeuvre régulièrement au niveau des Divisions, des Unités opérationnelles et des directions centrales, les évaluations concernant l’adéquation et l’efficacité du système GRE font l’objet de discussions entre le Président exécutif et le Directeur financier et les responsables de Divisions, Unités opérationnelles et fonctions centrales concernées. Ces discussions permettent de classer les problèmes potentiels par ordre de priorité au niveau central, de définir et d’engager les actions appropriées si nécessaire, et d’en tirer les conclusions pour le reporting GRE d’EADS.
Procédures de reporting GRE
Chaque année, les insuffisances et faiblesses significatives identifiées sont rapportées dans des lettres de confirmation des délégataires. Le processus de validation doit être confirmé par le Président exécutif et le Directeur financier au Conseil d’administration, dans l’état actuel de leurs connaissances. Ils confirment si :
-
le système de contrôle interne est structuré de manière adéquate pour donner des garanties raisonnables sur la fiabilité du reporting financier et sur la conformité aux lois et réglementations en vigueur ;
-
les objectifs de contrôle sont atteints par des contrôles dûment décrits dans des documents pertinents, conçus de manière adaptée aux activités concernées et qui fonctionnent en toute efficacité, à tous égards significatifs ;
-
le responsable de chaque activité de contrôle est clairement identifié ; et
-
le système de Gestion des Risques est conçu et mis en œuvre de manière à identifier, évaluer, maîtriser, contrôler et suivre les risques en temps opportun, et en assurer le reporting.
La confirmation GRE du Président exécutif et du Directeur financier repose principalement sur les autoévaluations, les revues (y compris l’audit interne) et les discussions de gestion décrites ci-dessus. Elle est corroborée par des lettres de confirmation des délégataires, remises au Président exécutif et au Directeur financier par les responsables de toutes les Divisions et Unités opérationnelles.
Les normes externes prises en compte dans les systèmes de contrôle interne et de gestion des risques d’EADS comprennent notamment les principes de gestion du contrôle interne et du risque établis par le Comité des organisations de parrainage de la Commission Treadway (COSO) et des normes sectorielles spécifiques définies par l’International Standards Organization (ISO).
Pour plus d'information : |
