Principales modalités d’établissement d’une cartographie des risques de corruption

À l’occasion de la publication des nouvelles recommandations de l’Agence française anticorruption (AFA) le 12 janvier dernier [1] , destinées à aider les établissements assujettis à mettre en place un dispositif anticorruption en application de l’article 17 de la loi dite « Sapin II » [2] , il paraissait opportun de revenir sur les modalités de conception et de mise en œuvre de la cartographie des risques, élément central du dispositif anticorruption ; d’autant plus que l’AFA dans un diagnostic publié en septembre 2020, constate que « les dispositifs restent […] trop lacunaires sur les cartographies des risques » [3] . À cet égard, il convient de noter que les deux décisions rendues par la Commission des sanctions de l’AFA sont riches d’enseignements en matière de cartographie des risques qui sont pris en considération dans les développements qui suivent.

La cartographie, pilier du dispositif anticorruption

La cartographie des risques de corruption est le socle de la stratégie de gestion des risques. C’est un pilier fondamental du dispositif global anticorruption à partir duquel les autres mesures de prévention et de détection du risque de corruption seront définies [4] . Cette cartographie des risques doit permettre l’identification, l’évaluation, la hiérarchisation et la gestion des risques de corruption. C’est également un outil d’information de l’instance dirigeante sur le profil de risque de l’entreprise en question.

À titre liminaire, il est important de rappeler que cette cartographie doit être exhaustive et adaptée au profil de risque de l’entreprise concernée. En effet, la conception d’une cartographie des risques est un exercice éminemment « personnel » : il ne devrait pas y avoir des cartographies des risques similaires d’une entreprise à une autre. Elle doit être personnalisée et adaptée aux spécificités de l’entreprise (en prenant notamment en compte les secteurs d’activité, les zones géographiques d’intervention, l’ensemble des processus, les différents métiers, son contexte réglementaire et concurrentiel, la typologie de ses tiers, etc.).

Les étapes clés

Le projet de mise en place d’une cartographie peut prendre du temps et son déploiement efficace nécessite une approche méticuleuse, un séquencement adéquat des travaux et l’implication des personnels clés [5] . On peut retenir les trois étapes fondamentales suivantes : la conception, le déploiement et la vérification de la viabilité de la cartographie des risques définie.

La conception de l’approche par les risques

La mise en place d’une cartographie des risques de corruption est un exercice collégial et transversal qui requiert l’implication de plusieurs collaborateurs à chaque niveau de l’entreprise dont les rôles et responsabilités devront être clairement définis. Sont notamment concernés :

– l’instance dirigeante qui donne l’impulsion et promeut la diffusion du message de lutte contre la corruption. Il convient de souligner que c’est l’instance dirigeante qui, in fine, validera l’approche par les risques retenue. Cette validation devra être documentée et consignée ;

– la direction de la conformité, quant à elle, aura un rôle de pilotage et devra travailler en étroite collaboration avec les autres directions ; en particulier avec la direction des risques qui pourra l’appuyer dans ses travaux en optimisant par exemple les dispositifs et autres cartographies existants (par exemple, la cartographie des risques opérationnels, la cartographie des risques de non-conformité, la classification des risques de lutte contre blanchiment et le financement du terrorisme) ;

– les opérationnels qui disposent d’une expérience concrète et pratique des processus de l’entreprise et qui peuvent mettre l’accent sur les risques sous-jacents.

Il convient de prévoir un spectre très large d’intervenants incluant la direction, la direction conformité, la direction des risques, la direction juridique (sur cet aspect, il convient de rappeler l’importance du service juridique notamment pour appréhender des infractions « complexes » à cerner comme la corruption et le trafic d’influence), la direction des ressources humaines, la direction informatique, l’audit interne (le cas échéant) et les opérationnels [6] .

En outre, il est également important de réfléchir à la stratégie des entretiens que l’entreprise doit mener. Il peut s’agir :

– d’entretiens collectifs au sein d’ateliers de travail. Ces entretiens collectifs peuvent s’avérer être très intéressants dans la mesure où cela permet de confronter les points de vue et de disposer in fine d’une analyse plus complète ;

– et/ou d’entretiens individuels qui peuvent paraître plus adaptés à la direction générale ;

– et/ou encore d’envoyer des questionnaires par courriel qui permettent pour certains de se sentir plus libres pour apporter des réponses.

En tout état de cause, ces entretiens ou ateliers devront faire l’objet de comptes rendus précis qui devront être conservés soigneusement car ils permettent de formaliser les débats et réflexions relatifs à l’approche par les risques, d’alimenter le corpus procédural dédié à la cartographie mais également de dégager les premières lignes d’un plan d’actions.

Ensuite, la revue en profondeur des processus est primordiale. L’entreprise devra procéder à une analyse très fine, de l’ensemble des facteurs de risques (implantations géographiques, secteurs d’activité, nature des opérations, la nature des tiers, l’historique des incidents).

À l’issue de cette revue et des entretiens menés, l’entreprise doit être en mesure de disposer d’un état des lieux précis permettant d’identifier de manière documentée et circonstanciée les scénarios des risques qui lui sont propres. Il est important de souligner l’importance de dégager des scénarios en lien avec les processus métiers et plus largement sur le modèle d’affaires. L’AFA a en effet pu reprocher des scénarios de risques « génériques ».

Cette revue exhaustive structurée, objective et documentée doit permettre à l’entreprise de dresser un listing complet, objectif et adapté des scénarios de risque de corruption.

Enfin, l’entreprise devra procéder dans un premier temps à l’évaluation des risques bruts. Il s’agit là d’évaluer le niveau de vulnérabilité de l’entreprise fondée sur trois indicateurs :

– l’impact potentiel (qui peut être réputationnel, financier, économique et juridique), sur cet aspect chaque entreprise devra établir une échelle de risque ;

– la fréquence c’est-à-dire la probabilité d’occurrence du risque ;

– et l’existence de facteurs aggravants (par l’application de coefficient de gravité).

Puis il convient de déduire les risques nets : il s’agit d’évaluer le niveau de maîtrise des risques au travers des dispositifs de maîtrise des risques (existants ou à mettre en place) comme les procédures, les processus et les contrôles.

À l’issue de l’évaluation des risques, un classement des scénarios doit être effectué : c’est la hiérarchisation des risques.

Le déploiement opérationnel

L’implémentation opérationnelle d’une cartographie des risques de corruption repose d’abord sur un plan d’actions robuste. Il convient bien sûr de maîtriser ce plan d’actions en définissant un calendrier précis, en le formalisant et en le suivant.

Il est également important de formaliser l’approche par les risques retenue ayant abouti à la mise en place de cette cartographie des risques. À ce titre, un corpus procédural exhaustif devra être mis en place et contenir a minima : les comptes rendus d’entretiens collectifs/individuels et l’ensemble des échanges avec les personnels concernés, les retours sur les questionnaires envoyés (le cas échéant), la méthodologie d’élaboration de la cartographie des risques de corruption, la méthodologie de calcul des risques bruts, la méthodologie de calcul des risques nets, la procédure relative à la lutte contre la corruption et le trafic d’influences et toutes les autres procédures/modes opératoires pertinents en la matière et la validation de la cartographie des risques par les instances dirigeantes. Il est important d’avoir une piste d’audit claire : les documents doivent donc être datés, référencés et archivés.

Pour être viable, la cartographie des risques et le corpus procédural qui l’encadre doivent être évolutifs et mis à jour sur une base régulière (ou sur événement affectant l’entreprise qui nécessiterait une réévaluation du risque).

Post-déploiement

Après sa mise en place la cartographie des risques est susceptible de faire l’objet d’un audit interne ou externe (en cas de contrôle administratif ou de procédure judiciaire). D’où l’importance d’avoir un document auditable qui permet de faciliter l’appréciation interne et externe de la pertinence de cet élément essentiel du dispositif.

Pour apprécier la fiabilité de sa cartographie des risques de corruption, l’entreprise pourrait se livrer à l’exercice suivant : répondre aux questions relatives à la cartographie des risques contenues dans le questionnaire AFA [7] . Si l’entreprise n’éprouve pas de difficultés particulières alors elle peut légitiment déduire que sa cartographie est fiable. Au contraire, si l’entreprise ne parvient pas à répondre à l’ensemble des questions ou qu’elle a des difficultés pour répondre aux questions alors cela peut signifier que des efforts pour renforcer son approche par les risques sont encore nécessaires.

En définitive, la mise en place sereine et efficiente de la cartographie des risques repose sur les facteurs suivants : une forte implication des instances dirigeantes, la mise en place d’une gouvernance renforcée du projet, une connaissance approfondie et une analyse fine du modèle d’affaires et des processus existants, la formalisation de la méthodologie retenue, et des ressources budgétaires et humaines adéquates.