SAINT-GOBAIN-DOCUMENT_REFERENCE_2017

Risques et contrôle Contrôle interne

Manuel de prévention des risques 2.4.6 industriels et de distribution La politique de prévention des dommages aux biens du Groupe et des pertes d’exploitation consécutives, formalisée dans un recueil interne de standards et meilleures pratiques, est définie par la Direction des Risques et Assurances (DRA). La DRA coordonne la mise en œuvre de la politique par les Pôles et les Activités avec le soutien des Délégations Générales. Aux niveaux des Pôles et des Activités, les coordinateurs Prévention gèrent l’application de la politique du Groupe dans leur périmètre. Au niveau des sites, les responsables Prévention procèdent à l’auto-évaluation annuelle des risques de leurs sites via un logiciel de cotation des risques. Cet outil fournit une évaluation des risques ainsi que l’évaluation du niveau de protection et de prévention correspondant. Cette auto-évaluation est mise à jour annuellement par les sites industriels, les centres de recherche et de développement et les sites logistiques. Une évaluation spécifique est réalisée au niveau des points de vente. En outre, des visites régulières des sites les plus importants du Groupe sont réalisées par des ingénieurs-prévention, auditeurs extérieurs au Groupe (environ 450 visites par an). Les sites mettent à jour leur plan d’action en vue d’améliorer leur niveau de prévention et de protection à partir des recommandations formulées par ces ingénieurs-prévention. La culture de conformité qui anime le Groupe se développe au travers de ses valeurs, formalisées dans les Principes de Comportement et d’Action. Le programme de conformité s’articule aujourd’hui autour des principaux thèmes suivants : le respect des règles en matière de droit de la concurrence ; la prévention de la corruption et la conformité aux sanctions économiques et aux embargos. Les outils déployés pour mettre en œuvre le programme sont notamment : un Intranet dédié intitulé Conform'Action où sont relayés  les messages clés et les outils disponibles ; des modules de formation en ligne tels que Comply (droit  de la concurrence), ACT (prévention de la corruption) et Saint-Gobain Economic Sanctions and Embargos (règles relatives aux sanctions économiques et aux embargos) ; des formations en présentiel ;  la diffusion de guides techniques et pratiques :  le Fil Concurrence,  20 bonnes pratiques sur le droit de la concurrence pour  les acheteurs, le Fil Anti-Corruption ;  la diffusion de politiques internes et leur mise en œuvre  telles que : la politique de lutte contre la corruption,  la politique cadeaux et invitations,  Les outils de la culture de 2.4.7 conformité du Groupe

La Direction des Systèmes d’Information a défini et déployé : un outil (RMT, Rights Management tool) pour le contrôle  des utilisateurs SAP et la gestion des conflits de séparation des tâches qui est intégré progressivement dans tous les systèmes SAP du Groupe ; une norme technique pour gérer les comptes techniques  et business qui accèdent aux applications (ATA/ABA, Application Technical Accounts/Application Business Accounts) ; une norme de développement sécurisé des applications  Web (WASD, Web Application Secured Development 3.2) ; une norme technique pour sécuriser l’hébergement des  applications Web publiques (SHIA, Secure the Hosting of the Internet Applications) ; une norme technique pour les applications SaaS qui définit  les responsabilités et les mesures de sécurité à implémenter ; un ensemble de règles de sécurité pour contrôler  annuellement la sécurité des datacenters centraux et régionaux (Datacenter security Rules 4 SG, nouvelle version des 55 Datacenter Rules) ; une norme technique pour sécuriser les applications qui  sont hébergées chez des partenaires afin d’être publiées sur Internet. En outre, le référentiel ITAC a été publié en 2012. C’est un complément au Référentiel de Contrôle Interne qui décrit les contrôles automatiques ou semi-automatiques des cinq processus clés que sont les Achats, les Ventes, les Stocks, la Trésorerie et la Comptabilité. Il est décliné sur les principaux ERP du Groupe avec : un référentiel pour SAP : ITAC4SAP avec 143 points de  contrôle ; un référentiel pour MOVEX M3 : ITAC4M3 avec 96 points  de contrôle ; un référentiel pour EXACT : ITAC4EXACT avec 85 points  de contrôle. Le référentiel ITAC4SAP a été mis à jour pour être en cohérence avec l’actualisation du Référentiel de Contrôle Interne (143 points de contrôle en incluant les contrôles pour la ségrégation des tâches). Les contrôles sont intégrés progressivement dans les systèmes d’information en s’appuyant sur les référentiels suivants : les ITAC100 ITAC4SAP pour les systèmes SAP (déployés  dans 22 systèmes SAP couvrant 121 sociétés du Groupe) incluant une mise à jour pour les spécificités de l’Activité Distribution Bâtiment ; les ITAC96 ITAC4M3 pour les systèmes MOVEX M3  (déployés sur 4 systèmes M3 couvrant 17 sociétés du Groupe) ; les ITAC85 ITAC4EXACT pour les systèmes EXACT  (déployés sur un système EXACT couvrant 2 sociétés du Groupe) ; les principes ITAC déployés sur un système MS Dynamics  couvrant un société du Groupe.

7

199 SAINT-GOBAIN DOCUMENT DE RÉFÉRENCE 2017