Document d'enregistrement universel 2020

FACTEURS DE RISQUES 3 LE DISPOSITIF DE GESTION DES RISQUES ET DE CONTRÔLE INTERNE

Description du dispositif de gestion des risques et de contrôle interne Les fondements

Elle s’appuie pour cela sur une Politique Groupe de Continuité d’Activité (PGCA). Son objectif est de garantir des prestations de services qui sont essentielles au fonctionnement du groupe. Pour chacune d’entre elles, la PGCA indique les objectifs, les principes, les responsabilités et les procédures à retenir. Elle se décline à date : ◆ en France en plans de continuité d’activité (PCA) pour chacune des plates-formes (Paris-Charles de Gaulle, Paris-Orly et Paris- Le Bourget) et pour chacune des activités supports essentielles au bon fonctionnement des activités aéroportuaires (systèmes d’information et ressources humaines) ; ◆ à l’étranger, par la formalisation de plans de continuité d’activité (PCA) au sein de plates-formes du groupe. En matière de gestion de crise, le dispositif du Groupe ADP vise à assurer la continuité de commandement du groupe et la qualité de sa réponse lors de la survenance d’événements subis et inattendus. Il doit contribuer à maintenir au mieux les activités à des niveaux de qualité satisfaisants en restant conforme aux obligations de sûreté et de sécurité. Un livret décrit le dispositif de permanence de direction et de gestion de crise du groupe. Par ailleurs, des exercices de crise sont réalisés plusieurs fois par an pour éprouver l’efficacité du dispositif, les retours d’expérience permettant des améliorations. Les assurances et le transfert des risques Les conséquences financières de certains risques peuvent être couvertes par des polices d’assurance lorsque leur ordre de grandeur le justifie et selon la capacité disponible sur les marchés d’assurance et de réassurance à des conditions techniques et financières acceptables (voir infra « Politique générale d’assurance du groupe »). La Direction juridique et des assurances porte la politique générale des transferts de risques du groupe (voir infra ), supervise le recours à l’assurance dans le groupe et joue un rôle de coordination et d’expertise dans ce domaine en France et dans le monde. La surveillance périodique du dispositif La surveillance du dispositif de gestion des risques et de contrôle interne est assurée par : ◆ le suivi des incidents majeurs et des incidents liés aux risques inacceptables ; ◆ la Direction de l’audit ; ◆ des structures externes (voir infra ). Les incidents majeurs Les incidents majeurs ou incidents liés aux risques inacceptables sont recensés par les entités du groupe et font l’objet d’un bilan. L’audit interne Il a pour objectif de donner, en toute indépendance, au groupe une assurance raisonnable sur le degré de maîtrise de ses opérations, de lui apporter ses conseils pour les améliorer, et de contribuer à créer de la valeur ajoutée. Certifiée par l’IFACI depuis 2008, la Direction de l’audit procède à l’évaluation du fonctionnement des dispositifs de gestion des risques et de contrôle interne. Par ses recommandations, elle contribue à en améliorer la sécurité et à optimiser la performance globale des entités 1 du groupe.

Ce dispositif groupe s’appuie sur : ◆ deux chartes qui portent sur :

◆ la gestion des risques et du contrôle interne : la charte indique que le groupe applique les dispositions du cadre de référence de l’Autorité des marchés financiers (AMF). Elle a été complétée en 2019 d’une note décrivant les nouvelles orientations du Groupe ADP en matière de contrôle interne, ◆ l’audit interne : la charte est fondée sur les normes internationales et le code de déontologie de l’audit interne qui sont diffusés en France par l’Institut Français de l’Audit et du Contrôle Internes (IFACI) et qui constituent le cadre de référence international de l’audit interne ; ◆ trois guides méthodologiques relatifs à la gestion des risques, au contrôle interne et à l’audit interne. Il est également fondé sur les règles d’éthique du groupe (section 15.6 « Opérer de façon exemplaire » du document d’enregistrement universel 2020) qui sont portées par les organes de gouvernance et communiquées à l’ensemble des collaborateurs. La gestion des risques Ce dispositif a pour objectif de donner à l’ensemble des parties prenantes une vision globale des risques majeurs du groupe et de leur niveau de maîtrise (section « Facteurs de risques » du présent document). À ce titre, la cartographie des risques est réalisée annuellement. Elle permet d’identifier les risques majeurs, de les hiérarchiser, de les traiter et d’assurer le suivi des actions identifiées. Les risques sont évalués en fonction de leur impact et de leur fréquence, compte tenu des éléments de maîtrise existants. Ils sont ensuite hiérarchisés selon leur criticité. Les risques majeurs et les risques dits inacceptables font l’objet d’un suivi spécifique. Après avoir été revue en comité opérationnel des risques et du contrôle interne (CORCI), la cartographie groupe est soumise au Comex puis présentée au comité d’audit et des risques et au conseil d’administration. La cartographie des risques groupe prend en compte les enjeux RSE identifiés par l’étude de matérialité réalisée en 2017. Le contrôle interne L’objectif du contrôle interne est de contribuer à la maîtrise des risques, à l’efficacité des opérations du groupe et à l’utilisation efficiente de ses ressources. Le contrôle interne s’appuie sur un déploiement à la fois transverse, applicable à l’ensemble des entités du groupe, et par entité, à travers notamment les systèmes de management (ISO 9001). Des orientations ont été définies en 2019 afin de renforcer le contrôle interne du groupe, notamment au regard de son développement à l’international. À ce titre, des contrôles clés ont été définis sur les processus administratifs, comptables et financiers et formalisés dans des manuels partagés au sein du groupe. Ils font l’objet de campagnes d’auto-évaluation annuelles. Ces contrôles prennent en compte les enjeux éthiques qui ont été spécifiquement identifiés dans les manuels de contrôle interne. La continuité d’activité et la gestion de crise Le Groupe ADP a mis en place une démarche de continuité d’activité et de gestion de crise visant à améliorer la maîtrise des risques ayant un impact majeur sur la continuité de services.

1 En 2020, les entités correspondent aux directions de la société Aéroports de Paris et à ses filiales contrôlées.

16

AÉROPORTS DE PARIS  DOCUMENT D’ENREGISTREMENT UNIVERSEL 2020