Aéroport de Paris - Document de référence 2018

FACTEURS DE RISQUES 04

LE DISPOSITIF DE GESTION DES RISQUES ET DE CONTRÔLE INTERNE

Description du dispositif de gestion des risques et de contrôle interne Les fondements du dispositif ◆ Le Groupe ADP a retenu l’éthique et la compliance comme principes de gouvernance. Le déploiement du programme éthique et compliance du groupe est porté par la Direction de l’éthique, créée en 2018 et rattachée au Président-directeur général, et par la Direction juridique et des assurances. Ce programme est décrit dans le paragraphe »La gouvernance et l’éthique » du chapitre 17 « Informations sociales, environnementales et sociétales » ; ◆ deux chartes encadrent le dispositif global au sein du groupe. Elles portent sur : ◆ la gestion des risques et du contrôle interne : la charte indique que le groupe applique les dispositions du cadre de référence publié par l’Autorité des marchés financiers (AMF) en 2007 et actualisé en juillet 2010, ◆ l’audit interne : la charte est fondée sur les normes internationales et le code de déontologie de l’audit interne qui sont diffusés en France par l’Institut Français de l’Audit et du Contrôle Internes (IFACI) et qui constituent le cadre de référence international de l’audit interne ; ◆ un référentiel de gestion des risques, décrivant la méthodologie pour le groupe, complète le dispositif. La gestion des risques Ce dispositif a pour objectif de donner à l’ensemble des parties prenantes une vision globale des risques majeurs du groupe et de leur niveau de maîtrise. À ce titre, la cartographie des risques est actualisée annuellement ; elle permet d’identifier les risques majeurs, de les hiérarchiser, de les traiter et d’assurer le suivi des actions identifiées. Les risques sont évalués en fonction de leur impact et de leur fréquence, compte tenu des éléments de maîtrise existants. Ils sont ensuite hiérarchisés selon leur criticité. Les risques majeurs et les risques dits inacceptables 1 sont traités en priorité. Après avoir été revue en comité opérationnel des risques et du contrôle interne (CORCI), la cartographie groupe est soumise au Comex puis présentée au comité d’audit et des risques et au conseil d’administration. La cartographie des risques groupe prend en compte les enjeux RSE identifiés par l’étude de matérialité réalisée en 2018 et décrits dans le paragraphe »Dialogue avec les parties prenantes : étude de matérialité des enjeux RSE » du chapitre 17 « Informations sociales, environnementales et sociétales » La continuité d’activité et la gestion de crise Le Groupe ADP a mis en place une démarche de continuité d’activité et de gestion de crise visant à améliorer la maîtrise des risques extrêmes. Elle s’appuie pour cela sur une politique groupe de continuité d’activité (PGCA). Son objectif est de garantir des prestations de services qui sont essentielles au fonctionnement de l’entreprise. Pour chacune d’entre elles, la PGCA indique les objectifs, les principes, les responsabilités et les principales procédures à retenir. Elle se décline en plans de continuité d’activité (PCA) pour chacune des plates-formes (Paris-Charles de Gaulle, Paris-Orly et Paris-Le Bourget) et pour chacune des activités supports essentielles au bon fonctionnement des activités aéroportuaires (systèmes d’information et ressources humaines). Un plan pandémie vient compléter la démarche.

En matière de gestion de crise, le dispositif du Groupe ADP vise à assurer la continuité du commandement du groupe et la qualité de sa réponse lors de la survenance d’événements subis et inattendus. Il doit contribuer à maintenir au mieux les activités à des niveaux de qualité satisfaisants en restant conforme aux obligations de sûreté et de sécurité. Un livret décrit le dispositif de permanence de direction et de gestion de crise du groupe. Par ailleurs, des exercices de crise sont réalisés plusieurs fois par an pour éprouver l’efficacité du dispositif, les retours d’expérience permettant des améliorations. Le contrôle interne L’objectif du contrôle interne est de contribuer à la maîtrise des risques, à l’efficacité des opérations du groupe et à l’utilisation efficiente de ses ressources. L’approche retenue par le Groupe ADP est celle du déploiement du contrôle interne par processus transverses en s’appuyant sur : ◆ les systèmes de management existants dans certaines entités. En 2018, l’ensemble des entités dotées d’un système de management qualité et environnement, sont certifiées ISO 9001 et ISO 14001 version 2015. ◆ les dispositifs de contrôle interne mis en œuvre pour les autres. Les assurances Les conséquences financières de certains risques peuvent être couvertes par des polices d’assurance lorsque leur ordre de grandeur le justifie et selon la disponibilité de couvertures à des conditions acceptables. La Direction juridique et des assurances porte la politique générale des assurances groupe (voir infra ), supervise le recours à l’assurance dans le groupe et joue un rôle de coordination et d’expertise dans ce domaine en France et dans le monde. La surveillance périodique du dispositif La surveillance du dispositif de gestion des risques et de contrôle interne est assurée par : ◆ le suivi des incidents majeurs et des incidents liés aux risques inacceptables ; ◆ la Direction de l’audit ; ◆ des structures externes telles que les commissaires aux comptes et d’autres organismes relevant, notamment, des services de l’État. Les incidents majeurs Les incidents majeurs ou incidents liés aux risques inacceptables sont recensés par les entités du groupe (filiales détenues à 100 %). Un bilan de ces incidents déclarés est adressé tous les semestres au Président- directeur général et au Directeur général exécutif. L’audit interne Il a pour objectif de donner, en toute indépendance, à l’entreprise et au groupe une assurance raisonnable sur le degré de maîtrise de ses opérations, de lui apporter ses conseils pour les améliorer, et de contribuer à créer de la valeur ajoutée. Certifiée par l’IFACI depuis 2008, la Direction de l’audit procède à l’évaluation du fonctionnement des dispositifs de gestion des risques et de contrôle interne. Par ses recommandations, elle contribue à en améliorer la sécurité et à optimiser la performance globale de l’entreprise et de ses filiales.

1 Le groupe définit des risques qui, quel que soit leur niveau de criticité, sont inacceptables. Ils font l’objet d’un suivi particulier et les différentes entités sont tenues d’avoir une extrême vigilance à leur égard.

14

AÉROPORTS DE PARIS ® DOCUMENT DE RÉFÉRENCE 2018