Document d'Enregistrement Universel 2024

2 FACTEURS DE RISQUES ET CONTRÔLE INTERNE CONTRÔLE INTERNE ET GESTION DES RISQUES

Le périmètre de ce dispositif groupe de maîtrise des risques couvre la société Aéroports de Paris, ainsi que ses filiales contrôlées. Au sein d’ADP SA, la première ligne de maîtrise est incarnée par le premier niveau de responsabilité, à savoir le management de proximité, qui : u applique les directives, les politiques ou les instructions du groupe ; u réalise des contrôles clefs définis par les pilotes de processus. La deuxième ligne de maîtrise, quant à elle, est portée par les entités en charge de processus transverses (ressources humaines, systèmes d’information, finances, comptabilité, juridique, éthique, assurances, gestion des risques et contrôle interne…). 2.2.2 DESCRIPTION DU DISPOSITIF Les fondements Ce dispositif groupe s’appuie sur : u deux chartes groupe qui portent sur : u la gestion des risques, de prospective et du contrôle interne : la charte indique que le groupe applique les dispositions du cadre de référence de l’Autorité des marchés financiers (AMF). Elle a été complétée en 2023 d’une note décrivant les nouvelles orientations du Groupe ADP en matière de contrôle interne, afin d’appliquer les meilleurs standards dans ces domaines, u l’audit interne : la charte est fondée sur les normes internationales et le code de déontologie de l’audit interne qui sont diffusés en France par l’Institut Français de l’Audit et du Contrôle Internes (IFACI) et qui constituent le cadre de référence international de l’audit interne ; u trois guides méthodologiques relatifs à la gestion des risques et prospective, au contrôle interne et à l’audit interne. Il est également fondé sur les règles d’éthique du groupe qui sont portées par les organes de gouvernance et Ce dispositif a pour objectif de donner à l’ensemble des parties prenantes une vision globale des risques majeurs du groupe et de leur niveau de maîtrise (section « Facteurs de risques » du présent document). À ce titre, la cartographie des risques est réalisée annuellement impliquant toutes les entités et fonctions du groupe. Elle permet d’identifier les risques majeurs, de les hiérarchiser, de les traiter et d’assurer le suivi des actions identifiées. Les risques sont évalués en fonction de leur impact et de leur fréquence, compte tenu des éléments de maîtrise existants. Ils sont ensuite hiérarchisés selon leur criticité. Par ailleurs, dans ses règles et procédures internes, le groupe est intransigeant vis-à-vis de l’application des règles et standards internes en matière de risques liés à la sécurité, à l’éthique et à la conformité. Ces risques sont qualifiés de « inacceptables ». Le groupe renforce son dispositif de maîtrise dans la durée, par une démarche de prévention, afin de réduire au maximum la probabilité de survenance de ce type de risque. Après avoir été revue en comité opérationnel des risques et du contrôle interne (CORCI), la cartographie groupe est soumise au Comex puis présentée au comité d’audit et des risques et au conseil d’administration. communiquées à l’ensemble des collaborateurs. La gestion des risques et prospective

Pour la troisième ligne de maîtrîse, la Direction de l’Audit groupe effectue une surveillance périodique : u des dispositifs de gestion des risques et de contrôle interne groupe ; u du contrôle interne de processus. Elle procède à leur évaluation et émet des recommandations en cas d’écart par rapport aux réglementations et éventuelles fragilités constatées. Enfin, l’audit interne fournit à la Direction générale et au comité d’audit et des risques une assurance globale portant sur l’efficacité des deux premières lignes de maîtrise et de la gouvernance du groupe.

En 2022, la méthodologie d’appréciation du risque a évolué pour renforcer la communication sur l’évolution de la maîtrise des risques et ainsi faciliter la priorisation des plans d’action. Pour chaque risque identifié, le niveau de contrôle et de maîtrise est évalué en coordination avec la démarche de structuration de contrôle interne. Le suivi des plans d’action et la sécurisation des risques prioritaires sont pilotés par les équipes de gestion des risques et les constats d’avancement de ces plans d’action sont communiqués à la gouvernance. Les plans d’action sont alignés avec les politiques en cours de déploiement et les feuilles de route de chaque direction. Le pôle gestion des risques et prospective veille au suivi et à la mise en œuvre des plans d’actions avec les responsables identifiés. Un deuxième CORCI est organisé dans l'année afin de garantir le bon avancement des actions et définir des pistes de progrès. Afin de promouvoir la culture des risques, le pôle gestion des risques et prospective contribue à l'animation du réseau CARE (audit, risque, contrôle interne et éthique), à la formation des nouveaux référents CARE à la dimension risques et anime le réseau de correspondants dans les filiales (y compris à l'international). Il contribue ainsi à la production documentaire sur les sujets de maîtrise des risques (document de référence annuel, notations extra-financières, autres informations RSE, etc.). La culture de gestion des risques est diffusée à tous les niveaux de l'organisation. Au sein du Groupe ADP, différentes cartographies des risques : les cartographies opérationnelles, les cartographies de risques par entité, cartographies de risques « thématiques » et la cartographie annuelle des risques groupe. Chaque cartographie de risques répond à un besoin spécifique (pilotage, exigences réglementaires ou de certification, etc.) et est élaborée selon un objectif défini. Les cartographies de risques peuvent donc être élaborées sur la base de périmètres variables en termes : u de typologies de risques analysés, du plus spécifique au plus transverse (stratégiques, opérationnels, externes et non-conformité) ; u de nombre d’entités/activités prises en compte dans l’analyse, du plus « local » au plus large à un niveau groupe. La cartographie annuelle des risques groupe repose sur une analyse consolidée des cartographies opérationnelles, (risques par entité ou métier et risques « thématiques » – corruption, droits humains, climat, etc.). Elle prend en compte dans son analyse l’ensemble des typologies de risques à analyser et l’intégralité du périmètre organisationnel et d’activités.

124

AÉROPORTS DE PARIS w DOCUMENT D’ENREGISTREMENT UNIVERSEL 2024