Document d'enregistrement universel du Groupe ADP (2022)

FACTEURS DE R I SQUES ET CONTRÔLE I NTERNE 2 CONTRÔLE INTERNE ET GESTION DES RISQUES

Pour la troisième ligne de maitrÎse, la Direction de l’Audit groupe effectue une surveillance périodique : ◆ des dispositifs de gestion des risques et de contrôle interne groupe ; ◆ du contrôle interne de processus. Elle procède à leur évaluation et émet des recommandations en cas d’écart par rapport aux réglementations et éventuelles fragilités constatées. Enfin, l’audit interne fournit à la Direction générale et au comité d’audit et des risques une assurance globale portant sur l’efficacité des deux premières lignes de maîtrise et de la gouvernance du groupe. conformité. Ces risques sont qualifiés de « inacceptables ». Les facteurs de risques y afférents sont mentionnés en caractère gras ci-dessous. Le groupe renforce son dispositif de maîtrise dans la durée, par une démarche de prévention, afin de réduire au maximum la probabilité de survenance de ce type de risque. Après avoir été revue en comité opérationnel des risques et du contrôle interne (CORCI), la cartographie groupe est soumise au Comex puis présentée au comité d’audit et des risques et au conseil d’administration. En 2022, la méthodologie d’appréciation du risque a évolué pour renforcer la communication sur l’évolution de la maitrÎse des risques et ainsi faciliter la priorisation des plans d’actions. Pour chaque risque identifié, le niveau de contrôle et maitrÎse est évalué en coordination avec la démarche de structuration de contrôle interne. Le suivi des plans d’actions et la sécurisation des risques prioritaires est piloté par les équipes de gestion des risques et les constats d’avancement de ces plans d’actions sont communiqués à la gouvernance. Au sein du Groupe ADP, différentes cartographies des risques coexistent : les cartographies opérationnelles, les cartographies de risques par entité, cartographies de risques « thématiques » et la Cartographie annuelle des risques groupe. Chaque cartographie de risques répond à un besoin spécifique (pilotage, exigences règlementaires ou de certification, etc.) et est élaborée selon un objectif défini. Les cartographies de risques peuvent donc être élaborées sur la base de périmètres variables en termes : ◆ de typologies de risques analysés, du plus spécifique au plus transverse (stratégiques, opérationnels, externes et non conformité) ; ◆ de nombre d’entités/activités prises en compte dans l’analyse, du plus « local » au plus large à un niveau groupe. La cartographie annuelle des risques groupe repose sur une analyse consolidée des cartographies opérationnelles, (risques par entité ou métier et risques « thématiques » : – corruption, droits humains, climat, etc.…-). Elle prend en compte dans son analyse l’ensemble des typologies de risques à analyser et l’intégralité du périmètre organisationnel et d’activités.

Le périmètre de ce dispositif groupe de maîtrise des risques couvre la société Aéroports de Paris, incluant ses filiales contrôlées. Au sein d’ADPSA, la première ligne de maîtrise est incarnée par le premier niveau de responsabilité, à savoir le management de proximité, qui : ◆ applique les directives, les politiques ou les instructions du groupe ; ◆ réalise des contrôles clefs définis par les pilotes de processus. La deuxième ligne de maîtrise, quant à elle, est portée par les entités en charge de processus traverses (ressources humaines, systèmes d’information, finances, comptabilité, juridique, éthique, assurances, gestion des risques…).

2.2.2 DESCRIPTION DU DISPOSITIF

Les fondements Ce dispositif groupe s’appuie sur : ◆ deux chartes groupe qui portent sur :

◆ la gestion des risques et du contrôle interne : la charte indique que le groupe applique les dispositions du cadre de référence de l’Autorité des marchés financiers (AMF). Elle a été complétée en 2019 d’une note décrivant les nouvelles orientations du Groupe ADP en matière de contrôle interne, afin d’appliquer les meilleurs standards dans ces domaines, ◆ l’audit interne : la charte est fondée sur les normes internationales et le code de déontologie de l’audit interne qui sont diffusés en France par l’Institut Français de l’Audit et du Contrôle Internes (IFACI) et qui constituent le cadre de référence international de l’audit interne ; ◆ trois guides méthodologiques relatifs à la gestion des risques, au contrôle interne et à l’audit interne. Il est également fondé sur les règles d’éthique du groupe qui sont portées par les organes de gouvernance et communiquées à l’ensemble des collaborateurs. La gestion des risques Ce dispositif a pour objectif de donner à l’ensemble des parties prenantes une vision globale des risques majeurs du groupe et de leur niveau de maîtrise (section « Facteurs de risques » du présent document). À ce titre, la cartographie des risques est réalisée annuellement impliquant toutes les entités et fonctions du groupe. Elle permet d’identifier les risques majeurs, de les hiérarchiser, de les traiter et d’assurer le suivi des actions identifiées. Les risques sont évalués en fonction de leur impact et de leur fréquence, compte tenu des éléments de maîtrise existants. Ils sont ensuite hiérarchisés selon leur criticité. Par ailleurs, dans ses règles et procédures internes, le groupe est intransigeant vis-à-vis de l’application des règles et standards internes en matière des risques liés à la sécurité, l’éthique et la

158

AÉROPORTS DE PAR I S / DOCUMENT D ’ ENREG I STREMENT UN I VERSEL 2022