Article co-écrit avec Morgane Gabrion, Manager Risk Advisory et Rémy Boisseau, Consultant Senior Risk Advisory.

Au-delà des exigences réglementaires imposées par la loi Sapin II, se doter d’un dispositif anticorruption solide peut conférer un avantage concurrentiel important sur un marché de plus en plus sensible aux questions d’éthique des affaires. Le socle de ce dispositif est la cartographie des risques de corruption et de conflits d’intérêts. Quels sont les principes à respecter pour définir une cartographie des risques de corruption conforme, efficace et adaptée à la société concernée ?

L’Agence Française Anticorruption (AFA) a souligné dans son rapport d’activité 2018[1] que les cartographies des risques de corruption sont souvent non alignées avec ses attentes, et plus précisément que les dispositifs de contrôle interne et d’audit sont rarement articulés avec la cartographie des risques. Dans sa décision de juillet dernier[2], la Commission des sanctions de l’AFA est venue rappeler les principes applicables à cet exercice. Il ressort de nos expériences et des différentes communications de l’AFA que les éléments ci-dessous, entre autres, sont primordiaux dans le cadre de l’exercice de cartographie.

Dans un premier temps, la méthodologie d’élaboration de la cartographie des risques doit être définie et documentée. Elle doit ainsi intégrer un référentiel objectif d’évaluation des risques et du dispositif de maîtrise, afin d’éviter la sous-évaluation des risques. Dans le cadre d’un groupe de sociétés, cette formalisation permet de transmettre la méthodologie à toutes les entités du groupe et par conséquent d’uniformiser les approches et de faciliter la comparaison des risques identifiés.

Les processus couverts doivent être exhaustifs. En effet l’ensemble des processus propres à l’entité doit être couvert par la cartographie des risques. Ainsi, dans le cadre d’un groupe de sociétés où la cartographie aurait été réalisée par la société mère, il faut à minima tester la cartographie du groupe sur certaines entités, en ciblant en premier lieu celles les plus exposées aux risques, afin de mesurer les risques communs et d’identifier les risques éventuellement spécifiques à ces entités.

Une analyse de l’historique des incidents (cas de corruptions avérés ou suspicions) au sein de l’entité est également nécessaire. La cartographie des risques de corruption doit prendre en compte les rapports d’audit, permettant de comprendre la situation de l’entité et ses risques actuels, ainsi que les incidents déjà rencontrés dans le secteur d’activité de l’entité. C’est d’ailleurs la méthodologie utilisée par les agents de l’AFA lors d’un contrôle, ceux-ci pouvant observer tout document, même antérieur à l’entrée en vigueur de la loi Sapin II, qu’ils considéreraient comme « utile », pour apprécier l’exposition aux risques.

Une série d’entretiens individuels sont à conduire afin d’associer à l’exercice de cartographie un ensemble représentatif de cadres dirigeants et d’opérationnels potentiellement exposés aux risques. L’objectif est alors d’identifier des risques propres à l’entité (activité, géographie, taille, organisation…).

Par ailleurs, les moyens alloués à l’exercice de cartographie des risques de corruption et de conflits d’intérêts doivent permettre d’atteindre un niveau de qualité et de fiabilité suffisants. Les moyens attendus sont d’ordre humains, organisationnels ou encore financiers.

À la suite de l’exercice de formalisation de la cartographie, des plans d’actions doivent être arrêtés afin de réduire les risques identifiés : par exemple, détermination et mise en place d’un plan des contrôles en adéquation avec les risques identifiés et avec des fréquences de contrôle adaptées à la typologie des risques identifié et leur criticité et par la suite l’élaboration des rapports de contrôle. De même, des illustrations de comportements proscrits peuvent être intégrés dans le code de conduite en réponse à des risques spécifiquement identifiés. Une gouvernance de projet est également à mettre en place afin d’effectuer le suivi de la réalisation de ces plans d’actions, à l’échelle locale le cas échéant. La cartographie des risques est par ailleurs à actualiser annuellement.

Nous sommes convaincus que la mise en œuvre de ces principes concoure à la définition d’une cartographie conduisant in fine à une meilleure maitrise des risques de corruption et de conflits d’intérêts.

[1] https://www.agence-francaise-anticorruption.gouv.fr/files/files/RA%20Annuel%20AFA_WEB_0.pdf

[2] Commission des Sanctions de l’AFA – Décision n°19-01 du 4 juillet 2019