Esso S.A.F.
Rapport annuel
2021
Gouvernance
Éthique & principes de contrôle
Organisation générale
Les principes de contrôle permettant de gérer les risques auxquels est exposé le groupe Esso S.A.F. reposent sur plusieurs éléments fondamentaux : des politiques de conduite des affaires, des standards de contrôle, un système de pouvoirs délégués, un système de management et de contrôle déclinant l’application des standards et enfin des évaluations internes périodiques de l’efficacité et de la pertinence des contrôles en place.
La responsabilité d’assurer le bon fonctionnement du groupe, à travers le respect des politiques, standards et procédures prescrites par la Direction Générale, repose sur la hiérarchie à tous les échelons.
Les politiques de conduite des affaires énoncent les valeurs du groupe Esso S.A.F. en matière d’éthique des affaires, de conflits d’intérêts comme en matière de sécurité des personnes et des biens ou encore de protection de l’environnement.
Les règles de la société sont d’adhérer aux valeurs éthiques les plus élevées et d’être en conformité avec l’ensemble des lois (notamment celles concernant le respect de la concurrence et la lutte contre la corruption). La société attend de ses employés qu’ils respectent les valeurs d’honnêteté, d’intégrité et de strict respect des lois. Des formations fréquentes du personnel et des vérifications régulières des activités du groupe sont effectuées pour assurer leur conformité avec ces principes.
Un dispositif d’alerte professionnelle permet de recueillir de manière confidentielle des signalements émis par les membres du personnel ou par les collaborateurs des entreprises sous-traitantes concernant des malversations potentielles dans la conduite des affaires (y compris des cas de corruption) ainsi que dans les domaines comptables ou financiers.
Les standards de contrôle adoptés par la société et nécessaires à son bon fonctionnement sont répertoriés au sein d’un manuel compilant également les standards en matière de contrôle des informations comptables, financières et de gestion. Ce manuel est mis à la disposition de l’ensemble du personnel.
Un système de délégation des pouvoirs internes a été défini pour l’ensemble des salariés de l’entreprise, en fonction de leur activité et du type de transaction concernée (organisation, budget, contrats d’achat ou de vente, paiements, passage en pertes/dévaluation d’actifs, transactions clients, litiges et réclamations, diffusion d’informations aux tiers). Des pouvoirs bancaires et externes sont également en place.
Ces politiques, standards de contrôle et délégations de pouvoirs sont mis en œuvre à travers un système de management et de contrôle (CIMS – Controls Integrity Management System), appliqué dans toutes les sociétés du groupe ExxonMobil et en ligne avec la norme américaine de contrôle interne préconisée par le COSO (Committee of Sponsoring Organizations of the Treadway Commission). CIMS fournit à l’ensemble des salariés de la société une référence commune pour l’application effective du système de contrôle et des règles du groupe. Il intègre une méthode d’évaluation des risques inhérents aux différentes activités de l’entreprise et aux différents aspects de ses activités que ce soit au niveau des opérations des sites industriels, de la qualité des produits, de la protection industrielle ou encore de la gestion de projets.
Ce système se décompose en sept éléments autour desquels est organisée la gestion contrôlée de la société :
- implication, engagement et responsabilité de la hiérarchie,
- évaluation et gestion du risque,
- développement, gestion et amélioration des processus opérationnels,
- gestion du personnel et formation,
- gestion du changement,
- identification et résolution des faiblesses de contrôle,
- évaluation du système de contrôle.
Le système de contrôle interne et de gestion des risques en place au sein de la société s’applique également dans les autres sociétés du groupe ExxonMobil auprès desquelles plusieurs activités sont sous-traitées (centres de services, centres de coordination, agent commercial). Sont notamment centralisés dans des centres de services partagés le paiement des fournisseurs, la tenue des comptes clients et la comptabilité générale.
De la même façon, ce système de contrôle est appliqué au sein des filiales de la société en France ainsi qu’au sein des entités dans lesquelles la société détient une participation dès lors qu’elle a la charge de les opérer.
Les aspects financiers représentent une partie centrale de l’activité de contrôle interne. À ce titre, les standards en matière de contrôles financiers couvrent les domaines suivants :
- comptabilité financière,
- comptes bancaires,
- paiements,
- comptabilité matière,
- facturation et encaissements,
- crédit et recouvrement des créances,
- immobilisations,
- paye et avantages sociaux.
Des procédures internes spécifiques reprennent de manière plus détaillée l’application de l’ensemble des standards de contrôle applicables à chaque processus opérationnel ou de gestion. Une dimension essentielle de ces standards est l’analyse de risque et l’élaboration de mesures de contrôle proportionnées aux risques encourus.
Les procédures budgétaires applicables au sein du groupe couvrent l’établissement des propositions de budgets d’investissement, l’approbation des investissements et des dépenses non-capitalisables associées, l’examen et le suivi de l’état d’avancement des dépenses par rapport au budget approuvé. Ces procédures budgétaires couvrent également la clôture des lignes budgétaires dans un délai approprié ainsi que l’annulation des lignes budgétaires non utilisées.
Les exigences de base pour l’établissement de contrôles efficaces en matière de sécurité informatique (en particulier la Cyber-sécurité) sont répertoriées dans des instructions à disposition de l’ensemble des fonctions de l’entreprise. Leur objectif est de garantir que toute l’information, tous les logiciels et équipements de l’entreprise sont correctement protégés et disponibles. Les principes de gestion des accès aux systèmes d’information, couvrant l’intégralité des systèmes, permettent d’une part de garantir la ségrégation des tâches dans tous les processus où celle-ci est nécessaire, et d’autre part de prévenir tout accès non autorisé aux informations stockées par la société. En outre, des procédures précises encadrent la collecte et la durée de conservation des informations personnelles dans le strict respect de la législation.
Les rôles et responsabilités en matière de gestion du risque client, l’utilisation du crédit, les règles en matière d’évaluation du risque, détermination de crédit-limite, suivi des en-cours, facturation, termes de paiement, collecte des fonds, créances douteuses… sont détaillés pour chaque ligne de vente concernée.
Dans le domaine des achats, un ensemble de procédures couvre l’ensemble du processus depuis la demande d’achat émise par un utilisateur jusqu’au paiement du fournisseur. Ces procédures s’étendent également à la réconciliation des comptes fournisseurs et des comptes de provisions pour factures à payer. Des instructions relatives à l’approvisionnement et la gestion des stocks de pièces détachées, pour les magasins des raffineries, notamment, viennent compléter ces procédures.
Les organisations opérationnelles disposent de règles et procédures détaillées à appliquer en matière de comptage de produits et de comptabilité matière.
D’autres systèmes de management similaires couvrent la gestion des risques dans le domaine des opérations, de la qualité des produits, de la protection industrielle ou encore de la gestion de projets. En particulier, afin de gérer les risques et de prévenir tous les types d’incidents, le système OIMS (Operations Integrity Management System) de gestion de l’intégrité des opérations permet à la société de respecter les normes opérationnelles les plus sévères sur le plan de la sécurité, de la santé et de la protection de l’environnement.
Analyse des risques, mesures de contrôle et procédures adaptées
En application du système CIMS évoqué précédemment, des catalogues de mesures de contrôle ont été développés par les différentes fonctions de l’entreprise et les différentes organisations de services partagés du groupe ExxonMobil utilisées par le groupe Esso S.A.F. pour couvrir les risques associés à celles de leurs activités qui présentent des risques financiers ou opérationnels significatifs.
Ces catalogues décrivent les scénarios de risques identifiés et les mesures de contrôle associées pour couvrir ces risques en ligne avec les standards de contrôle adoptés par la société. Ils définissent également les responsabilités de mise en place et d’exécution de ces mesures de contrôle au sein des procédures opérationnelles.
Au niveau du groupe Esso S.A.F., une cartographie des risques financiers et extra-financiers a été développée par les différentes fonctions de la société et est revue périodiquement.
Le cadre général des principes comptables, la charte des comptes à utiliser et les procédures comptables à suivre sont documentés ainsi que les rôles et responsabilités et procédures de réconciliation des comptes. Chacun des comptes de bilan a un « propriétaire » (un poste de l’organisation, non nécessairement au sein de la Direction du Contrôle Financier) qui a la responsabilité d’établir, puis de tenir à jour, un document de synthèse indiquant le fonctionnement du compte, la méthode et la périodicité de réconciliation.
La situation des réconciliations de comptes est l’objet d’un rapport périodique au directeur du Contrôle Financier (ou Controller) et d’une vérification indépendante annuelle.
Le Controller a la responsabilité principale de la mise en place et du fonctionnement du système de collecte et de remontée de l’information financière. Des instructions sont fournies à l’ensemble des directions opérationnelles pour garantir la qualité des informations financières remontées.
Ces instructions portent entre autres sur le respect du planning de clôture comptable établi par la Direction du Contrôle Financier afin de permettre la prise en compte en temps et en heure de tous les événements significatifs et sur la revue périodique des différentes provisions.
Les informations financières périodiques sont issues directement des livres comptables sur la base des transactions comptabilisées par les systèmes opérationnels et des saisies effectuées dans les livres par les différentes fonctions de l’entreprise, dont les provisions. L’analyse détaillée des résultats financiers (sociaux et consolidés), est coordonnée par la Direction du Contrôle Financier avec l’assistance d’organisations dédiées aux analyses de résultats sous un angle plus opérationnel. Cette approche constitue un moyen de contrôle supplémentaire et contribue à la qualité des données issues d’une base financière unique de référence.
Différents états et rapports sont à disposition pour synthétiser les informations nécessaires à la conduite des affaires et à la prise de décision par la Direction Générale et les différentes directions. L’information ainsi remontée concerne la performance opérationnelle, l’analyse financière des résultats, les incidents en matière de sécurité des biens et des personnes ou liés à l’environnement, ou encore éventuellement les fraudes.
Le groupe Esso S.A.F. a depuis très longtemps pris l’engagement de conduire ses affaires dans le respect des standards d’éthique les plus élevés. Cette exigence passe par la conformité aux lois de lutte contre la corruption en place en France (en particulier la loi sur la transparence, la lutte contre la corruption et la modernisation de la vie économique, dite « Sapin 2 ») et dans tous les pays avec lesquels la société a des courants d’affaires. À cet effet la cartographie des risques de corruption est périodiquement mise à jour pour tenir compte des évolutions des activités. La méthodologie utilisée couvre l’évaluation et la hiérarchisation des risques bruts et le niveau de vulnérabilité résiduel de l’entreprise une fois prises en compte les mesures de contrôles mises en place pour réduire ces risques.
Suivi et évaluation du système de contrôle
L’évaluation de l’efficacité des contrôles en place repose sur des audits internes et externes couvrant l’ensemble des activités et s’appuyant sur les exigences de la loi fédérale des États-Unis, dite « Sarbanes-Oxley ». S’ajoutent à ces audits un processus d’auto-évaluation périodique conduit par l’ensemble des directions de la société ainsi que des contrôles spécifiques de validation et d’analyse des flux de données financières coordonnés par la Direction du Contrôle Financier.
Plus précisément, la Direction de la société est responsable du suivi de l’efficacité du système de contrôle et s’appuie en particulier sur les équipes d’audit interne. Ces équipes établissent un plan d’audit pluriannuel couvrant sur un cycle d’environ trois ans toutes les activités opérationnelles et financières de l’entreprise.
L’audit interne fournit une appréciation indépendante du degré de conformité avec les politiques, standards et procédures de la société. Cette mission s’étend également aux filiales ainsi qu’aux participations significatives du groupe Esso S.A.F. (dans le cadre d’audits interprofessionnels réalisés en commun par les équipes d’audit des sociétés pétrolières participantes).
L’indépendance organique de l’audit interne au sein du groupe Exxon Mobil permet de garantir son objectivité dans le choix des activités à auditer ou dans l’évaluation du système de contrôle en place. Les auditeurs ont accès à toute opération, tout document, tout bien qu’ils considèrent d’importance ou toute personne qu’ils jugent nécessaire d’interroger pour conduire leur mission. Les directions de l’entreprise ont ensuite l’obligation de prendre en considération l’ensemble des observations de l’audit interne en prenant les actions appropriées dans des délais convenus en fonction des risques à couvrir et des contraintes de mise en œuvre.
Les audits internes menés en 2021 ont couvert les activités de raffinage, les opérations de support logistiques lubrifiants, les services de gestion des mouvements de produits pétroliers, les fonctions en charge de la gestion du crédit, des applications informatiques financières, des services de gestion immobilière, et de remédiation environnementale. La conduite de ces activités a été jugée par l’Audit interne satisfaisante d’un point de vue contrôle et gestion des risques.
En parallèle, des spécialistes du contrôle interne fournissent de façon continue, formation et conseils sur la mise en œuvre des politiques de l’entreprise et les standards de contrôle. Ce support est apporté soit de manière centralisée au sein de la Direction du Contrôle Financier, soit de manière décentralisée au sein de chaque fonction de l’entreprise tout au long de la chaine de valeur ou dans les fonctions de support. Les spécialistes aident également la direction de ces fonctions à évaluer périodiquement et sélectivement la bonne application des procédures et des contrôles en ligne par les différents niveaux de hiérarchie. En général, cette auto-évaluation a lieu entre les missions de contrôle indépendant conduites par l’audit interne.
Chaque dirigeant de l’entreprise doit chaque année, dans le cadre du processus annuel de clôture et de publication des comptes, certifier qu’à sa connaissance, les activités dont il est responsable ont été exécutées dans le respect des politiques et standards de l’entreprise et ont été correctement reflétées dans les livres comptables. Cette certification reprend explicitement un certain nombre de points clés du système de contrôle en place tel qu’évoqué ci-dessus. Elle doit identifier les éventuelles déviations aux standards de l’entreprise.
Enfin, les politiques de l’entreprise en matière de conduite des affaires sont rappelées annuellement à l’ensemble du personnel. Une revue de pratique des affaires, au cours de laquelle la totalité des salariés, à tous les niveaux, se voient rappeler dans le détail l’ensemble des politiques en matière de conduite des affaires, se déroule tous les quatre ans par groupes de petite taille. Cette revue quadriennale, au même titre que la certification annuelle, permet à chacun d’obtenir toute clarification qu’il jugerait nécessaire auprès de sa hiérarchie, de la Direction du Contrôle Financier ou de la Direction Juridique. Une revue de pratique des affaires couvrant l’ensemble des employés du groupe a été complétée entre le second semestre 2020 et le premier semestre 2021.
Découvrir aussi