Une tribune de Romain Maillard, Senior Manager au cabinet d'audit et de conseil BM&A.
Au début de l’été, deux publications ont marqué l’actualité de l’AFA (Agence française anticorruption) :
- en juin, son rapport d’activité 2018 ;
- en juillet, la décision de la première commission des sanctions (saisie pour la société Sonepar SAS, qui a finalement été blanchie par décision du 4 juillet 2019).
Ces publications soulignent plusieurs manquements et permettent de cerner les points particulièrement scrutés par l’Agence. C’est l’occasion de rappeler quelques bonnes pratiques.
L’engagement de l’instance dirigeante : peut mieux faire !
Point d’attention
Sur la base des contrôles réalisés en 2018, l’AFA déplore un engagement de l’instance dirigeante « souvent insuffisant ou insuffisamment perceptible ».
Bonnes pratiques
Pour convaincre l’AFA, les dirigeants doivent démontrer une implication personnelle suffisante dans la mise en œuvre du dispositif, au travers notamment d’actions de communication efficaces (messages clairs et réguliers) et d’un comportement exemplaire (strict respect des procédures définies).
Ce sont bien les directions qui endossent la responsabilité d’engager une démarche de lutte contre la corruption. Il appartient au management, par exemple, d’impulser l’exercice de cartographie des risques de corruption.
La cartographie des risques de corruption : le niveau de granularité à revoir
Point d’attention
Dans son rapport d’activité comme dans les griefs initialement adressés à la société Sonepar, l’AFA a regretté l’imprécision des cartographies de risques qui lui ont été présentées lors des contrôles. L’AFA évoque des scénarios trop « génériques » et, dans certains cas, un recensement partiel des risques de corruption. Ces insuffisances ont des répercussions sur tous les autres volets (défaut d’exemples concrets dans le code de conduite, inadéquation des procédures de contrôle comptable par rapport aux spécificités de l’entité concernée, etc.).
Bonnes pratiques
Rappelons que la cartographie des risques de corruption constitue la pierre angulaire de l’ensemble du dispositif. Elle doit être aussi spécifique que possible.
Pour atteindre un niveau de connaissance suffisamment fin de ses risques, l’entreprise peut commencer par cartographier sa chaîne de valeur et ses interactions avec les parties prenantes. L'important est de rendre concret un exercice qui peut paraître conceptuel de prime abord. Pour faciliter la description des scénarios de corruption, on combinera a minima une partie prenante, une situation à risque et un avantage indu. Améliorer le niveau de granularité facilitera aussi le recensement des dispositifs de maîtrise des risques et leur renforcement (si nécessaire).
Pour couvrir l’ensemble du spectre, l’entreprise se forcera à élargir le panel au moment de dresser la liste des interlocuteurs à interviewer. Toute impasse (activité, pays ou processus non couvert) devra être particulièrement bien argumentée et documentée.
Des dispositifs de maîtrise des risques « lacunaires »
Point d’attention
Dans son rapport annuel, l’AFA note que les « dispositifs de prévention et de détection des faits de corruption » analysés « sont souvent incomplets ». Outre la carence de procédures d’évaluation des tiers ou la mise en œuvre inaboutie de dispositifs d’alerte, l’Agence déplore « l’insuffisance des contrôles comptables et du contrôle interne ».
Bonnes pratiques
L’entreprise doit considérer toutes les actions de contrôle interne utiles dans le cadre de la lutte contre la corruption. Déployer les autres volets prévus par la loi Sapin 2 ne suffit pas, même s’ils constituent, chacun à leur manière, d'excellents moyens de prévention et de détection. Les dispositifs encadrant la sélection des fournisseurs, les règles en matière de remises clients et le processus de recrutement sont autant d'axes pertinents qu'il convient de prendre en compte au moment d'évaluer les dispositifs de maîtrise.
En matière de contrôle interne comptable, s’appuyer sur l’analyse de données constitue un puissant moyen de réponse aux exigences de l’AFA en facilitant la détection des vulnérabilités les plus prégnantes. L’audit interne pourra croiser les faisceaux d’analyse les plus pertinents – tiers à risques par nature (secteur public, intermédiaires, etc.) ou dans les faits (en doublon, protéiformes), typologies de dépenses à risques, schémas atypiques en termes de séparation des tâches, etc. – en vue d’obtenir un « concentré » utile à analyser de façon approfondie.
Romain Maillard, Senior Manager au cabinet BM&A