Enterprise Risk Management Policy - FR by WDP - Warehouses with Brains

Enterprise Risk Management Policy Groupe WDP

Philosophie en matière de risques

La stratégie de WDP vise à créer une valeur durable pour ses clients, ses actionnaires et toutes ses parties prenantes. Tout en préservant la valeur à long terme de ses propriétés et de solides IRC opérationnels et financiers, WDP vise à créer un flux de revenus et de dividendes vigoureux et croissant. Les opérations de WDP sont exposées à un certain nombre de risques internes et externes, ou à des facteurs d’incertitude susceptibles d’avoir un impact sur la capacité du Groupe à atteindre ses objectifs stratégiques globaux. La politique de gestion des risques du Groupe se concentre sur la sensibilisation aux risques et sur le contrôle et/ou l’atténuation des risques ou menaces réels, tout en autorisant les risques contrôlables (combinés aux opportunités) dans le but de générer et de protéger la valeur pour ses actionnaires, clients et autres parties prenantes. Cela indique un risk appetite du Groupe plutôt prudent à équilibré, intégrée dans ses processus décisionnels pour l’exécution de ses objectifs stratégiques. Le Groupe est convaincu que la gestion des risques doit faire partie intégrante de la culture de l’organisation afin de favoriser un environnement dans lequel les personnes sont aptes à identifier les risques et à y faire face, tout en assurant la transparence nécessaire à l’égard de tout risque éventuel.

Portée

La politique de gestion des risques de l’entreprise du Groupe s’applique de manière égale et complète à l’ensemble de ses opérations (à savoir toutes les entités, zones géographiques, fonctions, etc. de WDP).

Méthodologie

En ce qui concerne la gestion des risques, WDP applique une approche intégrée basée sur le « modèle des trois lignes de défense » (three lines of defence model). Ce modèle détermine comment attribuer les responsabilités spécifiques au sein de l’organisation de WDP en vue d’atteindre les objectifs de WDP et de maîtriser les risques associés. Cette approche contribue à renforcer la culture du risque, à assumer la responsabilité de la gestion des risques et du contrôle interne et à poursuivre l’optimisation et l’intégration des fonctions de contrôle indépendantes (gestion des risques, conformité, audit interne). • Première ligne - propriété et gestion des risques et du contrôle L’entreprise elle-même est responsable de tous les risques liés à ses propres processus et doit veiller à les identifier et à les contrôler efficacement. Dans ce cas, l’entreprise s’assure que les contrôles appropriés WDP NV | BE-REIT (RREC publique de droit belge) | Blakebergen 15 | 1861 Wolvertem | Belgique | +32 (0)52 338 400 info@wdp.eu | www.wdp.eu | Numéro d’entreprise : 0417.199.869 | TVA BE 0417.199.869 | RLE Section Bruxelles-Néerlandais

Politique de gestion des risques d’entreprise | 2

sont effectués correctement, que l’auto-évaluation par l’entreprise est de qualité adéquate, que la sensibilisation aux risques est suffisante et que des capacités adéquates sont allouées aux questions de risque. La gestion des risques fait partie intégrante de la gestion du Groupe. Elle va de la gestion financière et opérationnelle quotidienne - y compris le principe dit « des quatre yeux » - à l’analyse des nouveaux dossiers d’investissement et à la formulation de la stratégie et des objectifs, en passant par des procédures décisionnelles strictes et fermement établies. C’est pourquoi la gestion des risques relève de la responsabilité de l’ensemble du Groupe WDP, à savoir tous les niveaux de l’organisation, avec des responsabilités différentes à chaque niveau. • Deuxième ligne - surveillance continue des risques et du contrôle Ces fonctions assurent un soutien à l’entreprise et à la direction grâce à leur expertise et à la formulation d’une opinion indépendante de l’entreprise en ce qui concerne les risques auxquels WDP est confronté : fonction de gestion des risques, fonction de compliance, fonction de contrôle financier, fonction de sécurité informatique. Ces fonctions offrent la certitude que l’entreprise elle-même (par le biais de la gestion de première ligne) maîtrise ses risques. De toute évidence, la responsabilité première incombe toujours à la première ligne. Par conséquent, les fonctions de deuxième ligne servent à identifier, mesurer et signaler les risques. • Troisième ligne - fourniture d’un système de contrôle indépendant L’audit interne peut être compris comme une fonction d’évaluation indépendante intégrée à l’organisation, se concentrant sur l’examen et l’évaluation du bon fonctionnement, de l’efficacité et de l’efficience des processus, procédures et activités de WDP. Cela peut concerner des domaines tels que les questions opérationnelles (qualité et adéquation des systèmes et des procédures, des structures organisationnelles, des lignes de conduite et des méthodes et ressources utilisées pour atteindre les objectifs), les questions financières (fiabilité de la comptabilité, des états financiers annuels et du processus de compte rendu financier) et la conformité aux réglementations comptables et autres applicables, les questions de gestion (qualité de la fonction de gestion et des services du personnel par rapport aux objectifs du Groupe), ainsi que la fonction de compliance officer et de risk manager.

Gouvernance

Du point de vue de la gouvernance, notre approche intégrée combine une vision stratégique descendante avec un processus opérationnel ascendant complémentaire.

Politique de gestion des risques d’entreprise | 3

Le Conseil d’Administration a la responsabilité générale de superviser les risques et de maintenir un système de gestion des risques et de contrôle interne solide. Le Conseil d’Administration reconnaît l’importance d’identifier et de surveiller activement les risques de marché, stratégiques, opérationnels, financiers et de conformité, ainsi que les autres menaces, tendances et défis à long terme auxquels l’entreprise est confrontée. Le Comité d’audit assiste le Conseil d’Administration dans la gestion des risques et est chargé d’examiner l’efficacité des processus de gestion des risques et de contrôle interne au cours de l’année. Les membres du Comité de gestion sont responsables de la gestion quotidienne des risques au sein de leurs unités opérationnelles respectives. Par conséquent, les membres, en collaboration avec leurs équipes respectives, identifient les risques clés et émergents et s’approprient le suivi et la surveillance internes de ces risques. Ensuite, le Comité de gestion se concentre sur l’évaluation des stratégies proposées pour la gestion des risques, ainsi que sur la conception, la mise en œuvre et l’évaluation du contrôle interne. Les cadres et les membres de la direction peuvent également assister aux réunions du Comité d’audit ou du Comité de gestion afin de fournir des informations et des points de vue pertinents concernant leurs domaines de responsabilité.

Politique de gestion des risques d’entreprise | 4

Le rôle de risk manager au sein de WDP est assumé par le CFO. Sa fonction, qui permet d’avoir une vision globale du Groupe sous toutes ses facettes, assure le bon fonctionnement des activités de gestion des risques. Le risk manager remplit cette fonction en procédant à une analyse des risques auxquels le Groupe est confronté, ventilés par catégorie, tant à intervalles réguliers que de manière ponctuelle. Cette analyse est effectuée en étroite collaboration avec l’agent de conformité et les différents risk ambassadors de l’entreprise. En outre, le risk manager est responsable de tâches telles que la rédaction, le développement, le suivi, la mise à jour et la mise en œuvre de la gestion des risques de l’entreprise. Le risk manager supervise et soutient le réseau de risk ambassadors dans l’ensemble de l’entreprise. Si nécessaire, le risk manager facilite l’escalade des risques. Pour chaque plate-forme commerciale, un risk ambassador a été désigné. Les risk ambassadors doivent être considérés comme le point de contact unique pour les employés de WDP lorsqu’ils ont besoin de signaler un risque (potentiel). À cette fin, un système de signalement à bas seuil a été mis en place pour permettre à chaque employé de la #TeamWDP de signaler les risques (potentiels) d’une manière accessible et conviviale. Le risk ambassador fournit des conseils pour évaluer et cartographier le risque dans les limites de l’outil d’évaluation du risque. Pour chaque risque figurant dans le risk register, un ensemble non exhaustif Key Risk Indicators a été élaboré afin de servir de signal précoce d’une exposition croissante aux risques et de fournir des orientations concrètes pour l’évaluation des risques. En outre, les risk ambassadors jouent un rôle essentiel dans la promotion d’une culture du risque positive au sein de l’entreprise et dans la sensibilisation au risque. L’audit interne fournit des garanties au Comité d’audit en évaluant la conception et l’efficacité opérationnelle des processus de gestion des risques et de contrôle interne, par le biais d’un examen indépendant (voir la Charte de gouvernance d’entreprise pour plus d’informations sur la fonction d’audit interne). En outre, la fonction de gestion des risques est examinée chaque année par un consultant indépendant qui présente les résultats au Conseil d’Administration.

Culture du risque

WDP est convaincu que l’intégration de la gestion des risques au fonctionnement quotidien de la #TeamWDP lui permettra de tirer le meilleur parti de sa gestion des risques d’entreprise. Nous nous efforçons d’instaurer une culture du risque où chaque membre de la #TeamWDP comprend l’approche de WDP en matière de risque, se sent à l’aise pour parler ouvertement et honnêtement du risque, prend la responsabilité personnelle de gérer le risque dans chacune de ses actions, implique autrui lorsque c’est la meilleure approche et encourage autrui à suivre son exemple. Nous nous assurons donc de la bonne mise en place d’une infrastructure des risques et nous nous concentrons sur la sensibilisation aux risques au sein de WDP par le biais de sessions de formation à la gestion des risques, la disponibilité de risk ambassadors, l’engagement des membres du Comité de gestion, la création d’une culture de défi constructif.

Politique de gestion des risques d’entreprise | 5

Risk appetite

Le Conseil d’Administration détermine le niveau de risque acceptable pour WDP afin d’atteindre ses objectifs stratégiques. Au moins une fois par an, le Conseil d’Administration examine le risk appetite de l’entreprise, et réévalue les informations disponibles et les facteurs de risque pertinents. Cette approche dynamique nous assure une exposition au risque appropriée à tout moment. Le risk dashboard - l’outil de signalement au Conseil d’Administration - définit également le risk appetite pour chaque risque dans une fourchette allant d’une tolérance proche de zéro pour une prise de risque limitée à un risk appetite ouvert où des pertes potentielles seraient acceptées. Le Groupe opère dans une fourchette de risque globale prudente à équilibrée. Le risk appetite quasi nul ou prudent concerne les risques juridiques, réglementaires, HSES, de compliance et financiers. Le risk appetite limité à équilibré est appliquée aux efforts du Groupe pour atteindre ses objectifs stratégiques et opérationnels.

Processus de gestion des risques

7.1

Informations générales

L’environnement économique et les conditions générales statutaires et réglementaires auxquels WDP est soumis évoluent constamment. WDP a mis en place un système de gestion des risques qui garantit de pouvoir identifier, évaluer, gérer et surveiller les risques pertinents pour le Groupe. Cela permet de réduire le potentiel de risque, de soutenir le développement stratégique du Groupe et de promouvoir une action entrepreneuriale responsable. En 2021, la politique de gestion des risques d’entreprise du Groupe a été revue, améliorée et mise en conformité avec les objectifs de complexité, de dimension et stratégiques actuels de WDP, ainsi qu’avec l’évolution des contextes tels que la réglementation, l’ESG et les changements climatiques. •

• •

Tout d’abord, le risk manager a élaboré un risk register qui sert de référentiel des risques auxquels l’entreprise est confrontée. Les risques sont catégorisés et étiquetés (tendance, durée, source, type). Ce risk register a été examiné et validé par le Comité de gestion et le Comité d’audit, avant d’être présenté au Conseil d’Administration et approuvé par celui-ci. Après l’approbation du risk register, le Conseil d’Administration a déterminé le risk appetite pour chacun des risques et - après une évaluation des risques - a défini la valeur de chaque risque. En outre, le Conseil d’Administration procédera chaque année à une évaluation approfondie de la gestion des risques de l’entreprise du Groupe, car cet examen et ce suivi périodiques garantissent l’amélioration continue de la gestion des risques de WDP (p. ex., l’identification de nouveaux WDP NV | BE-REIT (RREC publique de droit belge) | Blakebergen 15 | 1861 Wolvertem | Belgique | +32 (0)52 338 400 info@wdp.eu | www.wdp.eu | Numéro d’entreprise : 0417.199.869 | TVA BE 0417.199.869 | RLE Section Bruxelles-Néerlandais

Politique de gestion des risques d’entreprise | 6

risques, le renforcement de la résilience de WDP, l’ajustement du niveau de propension au risque, l’alignement entre la gestion des risques de l’entreprise et les objectifs stratégiques de WDP, l’évaluation de la pertinence de l’outil d’évaluation des risques, etc.) Le risk register divise les risques de WDP en cinq types généraux de risques afin de faciliter leur identification : •

Risques de marché

•

Risques stratégiques

• •

Risques opérationnels Risques financiers

•

Risques de compliance

7.2

Risques induits par des facteurs externes tels que les cycles commerciaux, économiques ou de taux d’intérêt. Risques ayant un impact sur ou étant liés à la stratégie commerciale et la fixation des objectifs du Groupe. Risques inhérents à l’activité et aux opérations commerciales. Les risques financiers comprennent les risques de liquidité, de crédit, d’évaluation, de budgétisation et de signalement. Risques de conformité juridique et réglementaire, ainsi que risques politiques et éthiques.

Identification des risques

Étant donné que les risques évoluent, augmentent, diminuent et/ou apparaissent constamment en fonction de l’environnement externe, ainsi qu’en fonction des objectifs stratégiques et des performances du Groupe, WDP considère l’identification des risques comme un processus continu. Par conséquent, le réseau des risk ambassadors de l’entreprise, combiné aux discussions continues avec la direction, les conseillers externes et les parties prenantes, est essentiel pour identifier les risques auxquels WDP est confronté tout au long de l’année. Cette identification des risques est effectuée au moins sur une base trimestrielle par les risk ambassadors, d’après les informations fournies par la #TeamWDP par le biais de l’outil de signalement ou directement à un risk ambassador. Ces contributions sont discutées lors de réunions dédiées aux risk ambassadors.

7.3

Évaluation des risques

Sur une base trimestrielle, le risk manager effectue une analyse et une évaluation des risques signalés par les différents départements et pays, en prêtant attention à l’impact négatif potentiel, à la valeur attendue en termes de matérialisation du risque, ainsi qu’au degré de contrôle du risque. Cette analyse est effectuée en collaboration avec l’agent de conformité et les différents risk ambassadors de l’entreprise, avec le soutien, si nécessaire, de conseillers spécialisés (externes). WDP utilise un outil d’évaluation des risques afin de garantir une évaluation cohérente des risques. Cet outil prend en compte d’une part la probabilité et d’autre part l’impact négatif sur les opérations et les processus de WDP, sur ses résultats d’exploitation, sur sa réputation, sur la conformité du Groupe (sur le plan juridique, de la santé et de la sécurité, etc.). L’impact et la probabilité sont mesurés de préférence en termes quantitatifs et, si ce n’est pas possible, en termes qualitatifs, toujours selon une échelle de 1 à 5 WDP NV | BE-REIT (RREC publique de droit belge) | Blakebergen 15 | 1861 Wolvertem | Belgique | +32 (0)52 338 400 info@wdp.eu | www.wdp.eu | Numéro d’entreprise : 0417.199.869 | TVA BE 0417.199.869 | RLE Section Bruxelles-Néerlandais

Politique de gestion des risques d’entreprise | 7

(très faible, faible, moyen(ne), élevé(e), très élevé(e)). En multipliant ces deux composantes (impact x probabilité), une valeur de risque peut être définie pour chaque risque. Lors de l’évaluation des risques, nous tenons compte du risque inhérent ou brut (le niveau de risque avant toute mesure d’atténuation) et du risque résiduel ou net (le risque qui subsiste après avoir pris en compte l’effet des mesures d’atténuation et des contrôles). Les risques sont évalués individuellement et collectivement, et il est déterminé dans quelle mesure le Groupe contrôle ces risques et quels devraient être les mesures à prendre pour les contrôler et pour limiter le risque résiduel autant que possible. Dans ce contexte, une analyse de scénario est également établie en fonction de la valeur attendue de chaque scénario et des possibilités d’éviter ou de remédier à un risque, dans la mesure où cela peut être influencé. Ces analyses de sensibilité et de simulation de crises sont actuellement effectuées pour les risques financiers (de crédit, de liquidité, de marché) et non financiers (opérationnels, réglementaires, juridiques, de solvabilité). Dans un avenir proche, WDP effectuera également une analyse de sensibilité concernant le niveau des risques liés aux changements climatiques (notamment sur la base du rapport conforme aux exigences de la TCFD). Cette analyse nous aide également à identifier les fortes dépendances aux contrôles internes (p. ex., pour un risque brut relativement élevé et un risque résiduel relativement faible), qui orienteront les actions de la fonction d’audit interne.

7.4

Gestion des risques

Sur la base de l’évaluation ci-dessus, la mise en œuvre de la gestion des risques peut se faire par différentes méthodes : • Prévenir (éliminer, s’écarter de ou ne pas s’impliquer) • Atténuer (réduire ou optimiser) • Partager (transférer - externaliser ou assurer) • Retenir (accepter et budgétiser) Par exemple : • Prendre toutes les mesures raisonnables pour éviter le risque • Réponse proactive • Essayer de convertir le risque en perspectives • Essayer d’influencer la valeur attendue • Essayer de changer le résultat • Se prémunir contre les conséquences et/ou transférer la responsabilité des conséquences La propriété et la gestion des risques sont attribuées aux membres de la #TeamWDP. Ils sont chargés d’assurer l’efficacité opérationnelle des systèmes de contrôle interne et de mettre en œuvre des plans d’atténuation des risques.

Politique de gestion des risques d’entreprise | 8

7.5

Surveillance des risques

Une fois que les risques sont identifiés et évalués, et qu’une réponse est décidée, nous surveillons ces risques afin de déceler ce qui a changé et comment cela affecte l’organisation. La surveillance des risques est intégrée dans le processus de gestion des risques de l’entreprise et la responsabilité de la surveillance relève de différents niveaux de l’organisation : la #TeamWDP, le Comité de gestion et le Conseil d’Administration. Le Groupe peut ainsi assurer l’efficacité et l’effectivité des contrôles tant au niveau de leur conception que de leur fonctionnement, l’identification des risques émergents, l’amélioration continue du processus d’évaluation des risques et la détection des changements dans le contexte externe et interne, ce qui peut nécessiter une révision de certaines mesures d’atténuation ou des priorités fixées.

7.6

Signalement interne des risques

Le résultat de l’analyse trimestrielle, l’évaluation des risques ainsi que la formulation de recommandations concrètes aux autres départements de WDP sont formalisés dans un risk dashboard sous la supervision du risk manager, lequel est abordé en détail par le Comité de gestion. Sur la base de l’évaluation des risques réalisée, en tenant compte des mesures d’atténuation et des contrôles, ainsi que du jugement du risk manager, il est déterminé quels risques ne doivent pas être signalés dans le tableau de bord de gestion des risques. Si nécessaire, le risk dashboard est réajusté avant soumission par le risk manager au Comité d’audit et au Conseil d’Administration afin de mettre en évidence les risques les plus importants affectant les objectifs stratégiques de WDP. Le risk manager discute également des principaux développements dans le domaine des risques sur la base d’indicateurs clés et de documents justificatifs. En tenant compte de ces contributions, le Comité d’audit et le Conseil d’Administration procèdent à des évaluations trimestrielles des risques auxquels le Groupe est exposé et prennent les décisions nécessaires sur la base de ces évaluations (par exemple en ce qui concerne la stratégie de couverture des taux d’intérêt, l’évaluation des risques liés aux locataires, etc.)

Signalement externe des risques

Le rapport annuel de WDP comprend une liste de facteurs de risque spécifiques et conséquents avec leur description et une estimation de leur impact potentiel, ainsi que les facteurs d’atténuation et quelques exemples Key Risk Indicators. WDP attache de l’importance à la transparence et informe donc ses parties prenantes concernant les risques et la gestion des risques à la fois sur une base ad hoc et par le biais de rapports périodiques dans les communiqués de presse trimestriels.

Politique de gestion des risques d’entreprise | 9

9. •

• •

• • • •

Glossaire Enterprise Risk Management Policy : description détaillée de la manière dont WDP traite le sujet des risques au sein de son organisation, dont la philosophie de WDP en matière de risques, son approche des risques, son évaluation des risques ; tout ceci est formalisé dans le document/la politique intitulé(e) « Enterprise Risk Management Policy ». Philosophie du risque : ensemble de croyances et d’attitudes partagées qui caractérisent la manière dont le risque est considéré dans nos activités organisationnelles. Risk register : référentiel des risques auxquels l’entreprise WDP est confrontée. Ces risques sont catégorisés et étiquetés (tendance, durée, source, type). Cette liste non exhaustive est mise à jour chaque année sur la base d’une évaluation approfondie, qui est examinée et validée par le Comité de gestion et le Comité d’audit. Elle est finalement soumise à l’approbation du Conseil d’Administration. Outil d’évaluation des risques : outil d’évaluation comprenant les critères de cartographie des risques et la matrice d’impact et de probabilité. Key Risk Indicator : indicateur agissant comme avertisseur précoce de l’exposition au risque et fournissant une orientation concrète pour l’évaluation des risques. Risk dashboard : outil de signalement au Conseil d’Administration et au Comité de gestion. Risk ambassador : point de contact unique pour les employés de WDP souhaitant signaler un risque (potentiel). Le risk ambassador fournit des conseils pour évaluer et cartographier le risque dans les limites de l’outil d’évaluation du risque.

Politique de gestion des risques d’entreprise | 10