QUADIENT // Document d'enregistrement universel 2021

4 FACTEURS DE RISQUES ET DISPOSITIFS DE CONTRÔLE INTERNE Facteurs de risques

Facteurs de risques 4.1

Quadient exerce ses activités dans un environnement mondial en constante évolution. La pandémie de COVID-19 qui a marqué l’année 2020 et s’est poursuivie en 2021 ainsi que la crise actuelle entre l’Ukraine et la Russie, génèrent potentiellement des risques exogènes augmentant l’incertitude et la criticité de certains risques pouvant affecter la performance opérationnelle et financière du Groupe. Quadient identifie les facteurs de risques auxquels elle est exposée en utilisant une approche formalisée de maîtrise des risques qui s’appuie sur le cadre de référence des dispositifs de contrôle interne et de maîtrise des risques,

élaboré sous la supervision de l’Autorité des Marchés Financiers (AMF). Les facteurs de risques présentés ci-dessous sont les risques que Quadient a identifiés à la date du présent document d’enregistrement universel et qu’elle considère comme susceptibles d’avoir un impact négatif significatif sur son activité, ses résultats, ses perspectives ou sa réputation, s’ils devaient se matérialiser. La liste de ces risques n’est toutefois pas exhaustive, et d’autres risques inconnus à la date du présent document pourraient survenir et avoir un effet négatif sur l’activité du Groupe. positionner les risques en fonction de leur criticité dans notre cartographie globale des risques. Un troisième critère est utilisé pour évaluer le niveau de maturité de la gestion des risques pour chaque risque en utilisant une échelle de 1 (optimal) à 4 (faible). Combiné au niveau de criticité de chaque risque, le troisième critère permet de constituer une matrice de priorisation des plans d’action de remédiation à mettre en œuvre et à suivre. La cartographie globale des risques qui en résulte est présentée au Comité des risques de Quadient, partagée avec les membres du Comité exécutif et des plans d’amélioration adaptés aux principaux risques résiduels sont conçus et mis en œuvre au niveau local et de l’entreprise. Enfin, les résultats sont également présentés au Comité d’audit du Conseil d’administration. CENTRE D’EXCELLENCE POUR LA CONFORMITÉ Au sein de la direction de la transformation, l’équipe RSE et conformité anime et coordonne les dispositifs de maîtrise des risques à travers son Centre d’excellence pour la conformité composé d’experts dans les domaines de la sécurité de l’information, de la confidentialité des données, du juridique, de l’éthique, de la qualité, de l’environnement, de la santé et de la sécurité et de la RSE. En 2021, le Centre d’excellence pour la conformité a développé un processus commun et une méthodologie fondée sur un outil numérique de gouvernance, risques et contrôle (GRC) permettant : la consolidation des risques majeurs de l’ensemble de ● nos sites, régions et métiers ; la divulgation des politiques, procédures et normes de ● Quadient à l’ensemble de son personnel ; la gestion des audits de conformité et des actions ● correctives. Le centre d’excellence pour la conformité travaille avec l’ensemble des départements de Quadient et plus particulièrement avec l’équipe de contrôle interne et d’audit interne afin de : faire le lien entre les risques identifiés et les politiques, ● processus, normes, programmes de conformité de Quadient et proposer des changements le cas échéant ; Organisation

4.1.1

CADRE DE MAÎTRISE DES RISQUES

Méthodologie d’analyse des risques

Quadient a mis en place une politique de maîtrise des risques visant à réviser régulièrement la cartographie globale des risques en prenant en compte les risques les plus matériels dans une perspective stratégique. À cet égard, un cadre de maîtrise des risques, sous la supervision du responsable de la conformité, a été défini afin d’assurer : l’identification et l’analyse des différents risques ● rencontrés par la Société dans le cadre de ses activités ; l’évaluation du niveau de maturité de la gestion de ● chaque risque sur la base de l’existence et de la mise en œuvre de politiques et de moyens de contrôle (structures organisationnelles, processus, procédures) ; la définition et le suivi des principaux plans de ● remédiation engagés pour atténuer ces risques. La cartographie globale des risques de la société a été mise à jour entre décembre 2021 et mars 2022. Cet exercice a été l’occasion cette année de réviser la méthodologie pour combiner la vision de la direction générale (comité exécutif, dirigeants), des experts en la matière (par exemple : sécurité de l’information, confidentialité des données, conformité, environnement. Liste non exhaustive) et des directeurs de sites réalisant des analyses des risques pour leurs activités respectives sur des thématiques variées telles que la qualité, l’environnement, la santé et la sécurité, la Responsabilité Sociétale de l'Entreprise (RSE), la sécurité de l’information et la protection des données. Plus de 120 cadres représentant l’ensemble de nos régions, fonctions et métiers ont participé aux entretiens et ateliers de mise à jour de la cartographie globale des risques de l’entreprise. Une vingtaine d’entretiens individuels et 12 ateliers ont été menés pour identifier et recenser les principaux risques pour l’entreprise. Une fois la liste des risques établie, toutes les personnes interrogées ainsi que les participants aux ateliers ont été invités à analyser les risques selon les critères établis au sein de la méthodologie. Le premier critère porte sur le niveau d’impact du risque noté de 1 (faible) à 4 (très élevé) et le second est lié à la probabilité d’occurrence notée de 1 (très rare) à 4 (très probable). Ces deux critères permettent de

86

DOCUMENT D’ENREGISTREMENT UNIVERSEL 2021