Mise à jour de la cartographie des risques de corruption (Loi Sapin 2) : l’âge de raison ?

Préambule

Une fois passées les confusions issues des premières cartographies appréhendées d’avantage comme une analyse de l’existant sur le dispositif de conformité, ou celles réalisées avec un objectif d’investigation des pratiques passées, les acteurs économiques sont confrontés à présent à la question suivante : « Comment rendre la cartographie utile et articulable avec le reste du dispositif, dans un objectif d’allocation de ressources et surtout, répétable dans la durée ? »

Nous nous sommes interrogés et avons fait évoluer nos convictions au fil de nos missions, des échanges avec nos pairs et des parutions de l’AFA (ainsi que des échanges en Commission des sanctions).

Nous sommes en outre toujours régulièrement consultés pour assister nos clients dans l’actualisation ou la revue de leur méthodologie utilisée pour réaliser de telles cartographies des risques de corruption.

Nous avons ainsi souhaité aborder au sein de ce point de vue certaines questions encore posées par nos clients à propos de la mise à jour (ou plus rarement la première réalisation) d’une cartographie des risques de corruption.

Ce point de vue illustre ainsi l’état de nos convictions afin de susciter des échanges, des réflexions (et également des objections), dans le seul objectif de faire évoluer la maturité des acteurs sur le sujet.

Il ne s’agit donc en aucun cas d’une interprétation des recommandations de l’AFA en matière de cartographie des risques de corruption ni d’une remise en cause des principes qui y sont décrits.

La définition du risque de corruption ou l’impérieuse nécessité d’intégrer le « Pourquoi » et le « Comment » dans la notion de scénario

Comme mentionné au préalable, une littérature abondante a été publiée depuis 2016 à propos de la cartographie des risques de corruption, mais étonnamment, peu d’articles ont été produits concernant le cadre conceptuel et la modélisation du risque de corruption (et encore moins de consensus associé).

Nous aboutissons toutefois toujours à la conclusion que deux notions distinctes méritent d’être identifiées et évaluées lorsque l’on parle de risque de corruption:

• Le « pourquoi » (plus familièrement le « dessus de table »), c’est à dire quelle motivation possible pour l’acte de corruption, dans quel processus et avec quelle contrepartie externe?
• Le « comment » (le « dessous de table »), c’est à dire les moyens possibles utilisés pour prodiguer le possible avantage (« sortie de cash » ou avantage équivalent de l’entreprise).

Les croisements (presque infinis) peuvent ainsi donner cours à des scénarios de corruption, ainsi que des recoupements et des angles d’attaques communs avec des démarches anti fraude (pour prévenir/détecter le « comment »).

Nous revoyons toutefois régulièrement des cartographies dans lesquelles les deux dimensions sont traitées sans rigueur conceptuelle : le référentiel de risque peut contenir sur le même plan le fait de faciliter un contrôle en douane ou d’effectuer du lobbying un peu agressif (le « pourquoi »), puis, deux lignes plus tard, de ne pas contrôler les cadeaux et hospitalités ou encore le mécénat (le « comment »).

Un tel cadre conceptuel peut paraître anecdotique mais il permet à notre sens d’articuler plus efficacement les zones de risques avec le reste du dispositif :

• Le « pourquoi », ainsi que le détail associé, va permettre de cibler les zones à risques au sein de chaque processus, c’est à dire les populations exposées en interne, les tiers à risques susceptibles d’intervenir (un lobbyste est différent d’un agent commercial) et ce, à des fins d’illustration (code de conduite), de formations ciblées (populations exposées) ou encore d’évaluation des tiers (identification des catégories de tiers à risque).
• Le « comment » va en revanche permettre de déterminer les processus de « sortie de cash » ou équivalent à mettre sous contrôle, via des procédures spécifiques à l’engagement (cadeaux, frais marketing, mécénat, produits gratuits, etc.), des contrôles comptables spécifiques à l’enregistrement et enfin des contrôles de second niveau plus spécifiques.

Comment (et à quelle fréquence) répéter l’exercice dans un Groupe international ?

Le débat sur la nécessité d’adopter une fréquence annuelle a été en partie clos avec la parution des dernières recommandations par l’AFA en 2021. La question se pose en revanche lorsqu’il s’agit de définir ces modalités pratiques de mises à jour (par exemple tous les 3 ans).

Est-il ainsi plus pertinent d’effectuer une mise à jour totale tous les 3 ans (et consacrer ainsi les 2 autres années à d’autres sujets) ou bien de lisser cette charge en découpant à la marge le cycle de mise à jour par zone ou activité (année 1 – Zone 1 / année 2 – Zone 2 / année 3 – Zone 3) ?

Outre le sujet de la fréquence, la question se pose également en matière de rôles et responsabilités pour l’actualisation de la cartographie. Celles-ci peuvent en effet varier entre un premier exercice et un processus pérenne, répétable dans le temps. A ce titre, l’AFA a insisté sur la nécessite d’impliquer le plus possible des opérationnels.

Nous dégageons toutefois une tendance en matière de bénéfice coût / efficacité, notamment pour des Groupes internationaux :

• Au risque d’aller à l’encontre de certains principes communément admis, il nous semble (une fois passé le premier exercice) que la majorité des scénarios peuvent être validées avec des fonctions clés (ou du moins à partir d’un panel d’entretiens mêlant responsables de processus clés et opérationnels) et que le « référentiel » de situations ne devrait ainsi pas changer fondamentalement à chaque mise à jour (toute chose égale par ailleurs, c’est-à-dire hors acquisition, nouveau marché, contexte géopolitique mouvant, etc.). Ce principe n’exclut bien entendu pas la possibilité (et même la nécessité) de solliciter des niveaux locaux et opérationnels pour des enrichissements à la marge sur des situations spécifiques. A ce titre, on ne manquera pas d’observer la plus-value des entretiens face au questionnaire en matière d’identification des risques. L’usage de questionnaire devant à notre sens être réservé pour enrichir et « challenger » les référentiels existants sur des nouvelles situations non envisagées initialement.
• Concernant l’évaluation du risque brut, nous restons également mesurés (après avoir testé plusieurs formules) sur la pertinence de solliciter des ressources au niveau local. Les concepts et prérequis méthodologiques sont-ils suffisamment bien appréhendés localement pour ne pas générer des divergences d’avantages dues à des hétérogénéités d’application de méthode plutôt qu’à des réelles différences locales ? A ce titre, nous pourrons également regretter qu’un consensus tarde à se dégager quant aux critères objectifs à considérer pour mesurer impact et probabilité d’un risque de corruption. Gageons à ce titre que les récentes publications du PNF en matière de CJIP renforcerons la corrélation entre avantage économique perçu, amende potentielle et impact financier du risque de corruption.
• Enfin, l’évaluation du risque net nous semble un exercice tout à fait pertinent pour évaluer les progrès locaux en matière de déploiement du dispositif anticorruption, et ce, d’autant plus en l’absence d’un dispositif de contrôle de 2^nd niveau au niveau de maturité attendu au sein de la dernière mesure du dispositif. Un questionnaire bien conçu prend ainsi tout son sens, supporté le cas échéant par l’outillage adéquat (outil de type GRC pour la diffusion de questionnaire d’autoévaluation, le suivi de plan d’action, etc.) Encore faut-il que le cadre conceptuel en matière de risque net soit également correctement établi. Que cherche-t-on à mesurer ? La maturité du dispositif anticorruption sur l’ensemble de ses composantes (théoriquement destiné à maîtriser les risques) ? La maîtrise des processus de « sortie de cash » ou équivalent, de nature à prévenir les risques les plus critiques ? Ou bien encore le niveau de contrôle interne et de séparation des tâches des processus susceptibles d’exposer l’entreprise à des faits de corruption ?

La délicate question de la consolidation (représentation?) et du reporting

Vous l’avez sans doute perçu, nous ne pensons pas qu’une approche intégralement « bottom-up » ou « top-down » soit des plus pertinentes en matière de cartographie des risques de corruption :

Quelle est valeur ajoutée attendue de la mise en place d’une approche récurrente de type « bottom-up » sur du risque brut ? Quelle méthode adopter pour aboutir à une vision consolidée (moyenne pondérée, scénario du pire) ? Pour quelle fiabilité, et surtout quelles actions ? En matière de bénéfice coût / efficacité, n’est-il pas plus vertueux d’évaluer le risque brut au niveau Groupe (ou par activité), après avoir collecté des éléments quantitatifs localement, puis communiquer ensuite sur les résultats obtenus afin de susciter le dialogue et sensibiliser les managers (dans un objectif de formation) ?

En revanche, n’est-il pas difficile, voire impossible de juger de la maîtrise d’un risque de corruption au niveau central (dépendance aux processus et procédures locaux, aux ERPs, etc.) en l’absence d’un dispositif de contrôle de 2^nd et 3^ème niveau ? Une approche de type « bottom-up » peut prendre ainsi tout son sens afin de décliner par le même temps des plans d’actions et une feuille de route au plus près des réalités du terrain et selon les maturités rencontrées.