Document d'enregistrement universel 2022

Informations générales et éléments financiers

Un comité stratégique sécurité des systèmes d’information VINCI a été constitué fin 2018. Son rôle est de :

  • valider la stratégie de sécurité des systèmes d’information de VINCI et allouer les ressources et les budgets nécessaires à sa mise en œuvre ;
  • prendre connaissance des incidents et piloter les crises majeures de sécurité des systèmes d’information ;
  • examiner les indicateurs de performance clés liés à la sécurité des systèmes d’information.

Le comité stratégique sécurité des systèmes d’information est composé du directeur général adjoint et directeur financier de VINCI, du directeur des systèmes d’information du Groupe, du responsable sécurité des services d’information, du directeur de l’audit et du directeur de la sûreté de VINCI. Il se réunit à titre ordinaire au moins deux fois par an, et à titre exceptionnel aussi souvent que nécessaire, en situation de crise par exemple. Il rend compte de son activité au comité d’Audit du Conseil d’administration.

Le comité des Risques de VINCI est l’un des éléments clés du dispositif de gestion des risques du Groupe. Il a examiné 330 affaires en 2022. La procédure de fonctionnement et les acteurs de ce comité sont décrits au paragraphe 3.4.3, page 184.

La direction de l’Audit remplit les missions suivantes :

  • gestion des risques : à partir des orientations de la direction Générale du Groupe, elle anime le déploiement et la mise en œuvre d’un dispositif structuré permettant l’identification, l’analyse et le traitement des principaux risques. Dans ce cadre, la direction de l’Audit apporte un support méthodologique aux directions opérationnelles et fonctionnelles des filiales. Elle organise et assure le suivi des réunions du comité des Risques de VINCI, chargé d’examiner et d’autoriser les soumissions portant sur des affaires dépassant les seuils fixés par la direction Générale du Groupe ou présentant des risques techniques ou financiers particuliers ;
  • contrôle interne : outre la rédaction et la diffusion de procédures générales relatives au contrôle interne définies par le holding, elle organise une enquête annuelle d’autoévaluation du contrôle interne, décrite au paragraphe 3.4.7, page 185 ;
  • participation à l’animation du dispositif de prévention de la fraude en liaison avec les directions de la Sûreté, des Systèmes d’information, et de la Trésorerie et des Financements ;
  • audit : elle mène sur le terrain des missions en propre, en complément ou en appui des missions réalisées par les pôles et de celles effectuées dans le cadre de la procédure d’alerte interne. En 2022, 42 missions d’audit ont été menées, conformément à l’objectif initialement programmé. Ces missions n’ont pas révélé de dysfonctionnement susceptible d’avoir une incidence significative sur l’activité et les comptes du Groupe. Les travaux du holding VINCI ont notamment porté sur la coordination du déploiement :
    • de la conformité dans le Groupe ;
    • des politiques de cybersécurité ;
    • de la politique sociétale et environnementale ;
    • de la politique de mise en conformité des différents traitements de données dans le cadre de la réglementation européenne (RGPD).

L’activité 2022 de la direction de l’Audit a couvert les domaines suivants :

Mission Description Activité 2022
Gestion des risques

Gestion des risques

Description

Cartographie des risques des cinq pôles

(*)

, de VINCI Immobilier et du holding. Comités des Risques.

Gestion des risques

Activité 2022

Révision annuelle de la cartographie des risques.

330 réunions

des comités des Risques.

3 procédures

Groupe mises à jour.
Contrôle interne

Contrôle interne

Description

Enquête d’autoévaluation.

Contrôle interne

Activité 2022

580 entités interrogées, représentant 85 % du chiffre d’affaires total du Groupe.
Prévention de la fraude

Prévention de la fraude

Description

Registre des tentatives de fraude.

Prévention de la fraude

Activité 2022

147 227 signalements

(y compris 146 999 pour hameçonnage). Un mémento sur la prévention de la fraude externe
Audit

Audit

Description

Accompagnement des audits de pôle.

Audit

Activité 2022

42 audits

conjoints pôles-holding.

(*)VINCI Autoroutes, VINCI Concessions, VINCI Energies, Cobra IS, VINCI Construction.

De son côté, la direction des Assurances propose et met en œuvre la politique d’assurance validée par la direction Générale (voir ci-après paragraphe 3.5, pages 185 à 187).

Les pôles de métiers exercent leurs activités selon les principes d’action et de comportements décrits au paragraphe 3.2.1, page 182. Au sein de chacun d’eux, les équipes opérationnelles font l’objet de contrôles à plusieurs niveaux – management opérationnel et fonctions support (contrôle de gestion, qualité, sécurité, informatique) – et d’audits internes conduits périodiquement. Divers comités regroupent les acteurs participant aux prises de décision, notamment le comité des Risques de VINCI (dont les modalités d’intervention sont décrites au paragraphe 3.4.3, page 184), les comités des Risques des pôles, ainsi que les comités de Trésorerie (voir note J.26 de l’Annexe aux comptes consolidés, page 348).

3.3 Gestion des risques

La politique définie par le comité Exécutif de VINCI vise à satisfaire aux exigences légales et à assurer un suivi aussi homogène que possible des risques encourus. Le suivi des risques s’inscrit dans le cadre des reportings (comptable et financier, sécurité, social et environnemental) et des rendez-vous fixés par les procédures existantes en matière de prise d’engagement et de suivi des opérations, décrits au paragraphe 3.4 ci-après. Cette démarche permet à la direction Générale de VINCI d’être informée sur les risques avérés, leurs conséquences et les plans d’action. Des cartographies des risques ont été établies pour les principaux pôles et divisions du Groupe de même que pour le holding, couvrant ainsi l’ensemble des activités de VINCI, selon la méthodologie du livre blanc Mise en œuvre du cadre de référence actualisé de l’AMF. Ces cartographies sont revues annuellement. Il s’agit :

  • de recenser les principales sources de risques identifiables, internes ou externes, qui constituent des obstacles à l’atteinte des objectifs du Groupe et qui peuvent être financiers, humains ou relatifs à sa réputation ;
  • d’évaluer, selon une échelle qualitative, la criticité des risques en prenant en compte leur impact potentiel, leur probabilité d’occurrence et le degré de maîtrise pour les divers évènements les constituant ;
  • de mettre en place le traitement adéquat de ces risques.

Établies à partir des cartographies des principales entités, des grilles de risques propres à chaque métier permettent une présentation et une évaluation homogène des évènements susceptibles d’affecter les projets examinés en comité des Risques.