La Direction du Contrôle Interne anime le Comité du Contrôle Interne qui valide les directions et priorités quant à l’amélioration du cadre de Contrôle Interne, le développement du réseau de responsables de Contrôle interne ou les outils utilisés pour réaliser les tâches de Contrôle Interne. Cette Direction effectue une veille des évolutions relatives au Contrôle Interne en matière d’attentes et de pratiques de marché.
L’Audit Interne vérifie les processus majeurs et l’application des principes et normes du Groupe. Ce département est assuré par une équipe centrale directement rattachée au Directeur Général.
Les missions de l’Audit Interne sont soumises à la Direction Générale et au Comité d’Audit. Elles aboutissent, avec leur accord, à un plan d’audit annuel qui tient compte de la cartographie des risques du Groupe, la contribution des entités aux principaux indicateurs économiques du Groupe ainsi que l’antériorité et les résultats des audits précédents.
L’appréciation du niveau de risque par les Directions des Zones et les experts des différents métiers est également déterminante dans la construction du plan d’audit annuel.
En 2023, l’Audit Interne a réalisé 51 missions, dont 24 ont porté sur des audits d'entités (Affaires Commerciales, Usines, Directions Marketing Internationales, Recherche & Innovation) et 19 sur des processus ciblés à l’échelle du Groupe, de Zones ou de Pays. Par ailleurs, 5 missions ont été dédiées au programme de cybersécurité et 3 missions ont été consacrées à certains objectifs du programme L’Oréal pour le Futur.
Chaque mission d’audit donne lieu à un rapport qui expose les constats et risques correspondants et qui propose un plan d’action et des recommandations pour l’entité auditée. La Direction de l’Audit Interne suit ces plans d’action, les mesure, puis en communique le taux d’avancement aux Directions concernées.
Dans le cadre de ses travaux, l’Audit Interne s’appuie sur le logiciel ERP intégré du Groupe. Il a développé des transactions spécifiques pour mieux identifier d’éventuelles faiblesses des processus sensibles. Chaque année, les capacités d’analyse de données s’enrichissent. Elles renforcent les analyses standards élaborées par l’Audit Interne et l’exploitation des tableaux de bord et outils d’analyse que développent les métiers pour leurs besoins de pilotage.
Pour ses missions, l’Audit Interne dispose d’un outil de GRC
(Governance, Risk, Compliance) intégré qui lui permet de consolider en temps réel l’avancement des plans d’action des entités auditées. Partagé avec la fonction Contrôle Interne, cet outil constitue une plateforme intégrée de collaboration dans la mise en place des plans d’action. Outre son rôle de surveillance de l’application du dispositif de Contrôle Interne, l’Audit Interne effectue des analyses transversales sur les éventuelles faiblesses de Contrôle Interne à partir des constats relevés durant ses missions. Ces analyses guident les travaux du Comité de Contrôle Interne et identifient les axes prioritaires d’amélioration et de renforcement des procédures.
La réalisation effective du plan d’audit, le résultat des missions et l’avancement des plans d’action sont présentés régulièrement à la Direction Générale et annuellement au Comité d’Audit et aux Commissaires aux Comptes.
La Direction des Systèmes d’Information du Groupe (DSI) détermine les orientations stratégiques des systèmes d’information. Elle met notamment en œuvre un ERP, c’est-à-dire un logiciel de gestion utilisé par la grande majorité des filiales commerciales, des usines et de la fonction logistique. Elle accompagne aussi la transformation digitale du Groupe en développant l’utilisation des services Cloud (SaaS, IaaS, PaaS) et des objets connectés.
Au sein de la DSI, la Direction de la Sécurité des Systèmes d’Information gère la Politique de Sécurité des Systèmes d’Information. Cette politique, cohérente avec les standards du marché (ISO 27001/27002, NIST), couvre les grands thèmes de la sécurité des Systèmes d’Information, dont la protection des données personnelles. Pour chaque thème, elle décrit des principes généraux à appliquer. Les équipes des Systèmes d’Information du Groupe et par extension tous les collaborateurs, partagent ainsi des objectifs clairs, des bonnes pratiques et des niveaux de contrôle adaptés aux risques (notamment les risques de cyberattaques). Cette politique s’accompagne d’un programme d’audit indépendant de la sécurité des systèmes d’information et de deux chartes : la Charte des Technologies de l’Information et de la Communication et la Charte du Bon Usage des Médias Sociaux.
Elle regroupe les Départements Développement et Packaging, Achats, Stratégie industrielle et Excellence opérationnelle, Qualité, EHS (Environnement, Hygiène, Sécurité),Supply Chain, Systèmes d’Information (production). Elle définit la stratégie générale des Opérations avec une responsabilité mondiale et définit les normes et méthodes applicables dans les domaines de la qualité, la sécurité et l’environnement, pour le déploiement dans l’ensemble des pays où le Groupe opère. Elle pilote l’ensemble de sa stratégie pour permettre aux équipes Opérations, dans les Divisions opérationnelles et les Zones, de mettre en œuvre les politiques innovation, achat, qualité, sécurité, environnement, industrielles et supply chain adaptées aux marchés. Elle conduit un programme d’audits Qualité-EHS mondial des sites et des fournisseurs d’achats directs du Groupe. Elle forme et anime les communautés métiers de ces départements.
Depuis 2011, dans la continuité de la Charte Éthique du Groupe, les acheteurs disposent d’un guide pratique et éthique « Nos relations avec nos fournisseurs au quotidien », qui cadre leurs relations avec les fournisseurs du Groupe. Par ailleurs, les acheteurs suivent les formations en ligne basées sur les guides Groupe « La concurrence au quotidien » et « La prévention de la corruption au quotidien ».
La norme « Gestion des fournisseurs » et les procédures d’appel d’offres précisent les conditions de mise en concurrence et de référencement des principaux fournisseurs. Les conditions générales d’achat forment le cadre des transactions avec ceux-ci. La norme « Standard for supplier management (Source to contract) » facilite et renforce la maîtrise des dépenses et des investissements.
