Les autorités judiciaires à travers le monde, à commencer par les autorités américaines, sont toujours plus sévères en matière de corruption, à l’encontre des acteurs économiques comme de leurs collaborateurs.
Les établissements bancaires font partie des organisations les plus fréquemment frappées par les autorités américaines au titre du Foreign Corrupt Practices Act (FCPA). On gardera en mémoire l’amende de 475 millions de dollars infligée au Credit Suisse en octobre 2021, et celle de 130 millions de dollars pour Deutsche Bank en janvier 2021. Les établissements bancaires sont aussi par nature particulièrement exposés aux risques de blanchiment de corruption.
Avec la lutte contre le blanchiment et le financement du terrorisme, le monde bancaire s’est armé bien avant les autres secteurs d’outils comparables à ceux attendus par la législation française en matière de lutte contre la corruption (analyse des risques, procédures KYC – Know Your Customer –, articulation en plusieurs lignes de défense).
Des marges de progrès subsistent
Toutefois, les exigences françaises sont élevées, comme en témoigne le dernier rapport annuel d’activité de l’Agence française anticorruption (ci-après « AFA ») publié en mai 2022. Si elle y indique que « la tendance au respect de l’obligation de se doter des mesures et procédures définies par l’article 17 de la loi se confirme », l’AFA constate toutefois que les contrôles effectués démontrent que des marges de progrès subsistent encore sur la qualité et l’efficacité des mesures et procédures.
Ainsi, 85 % des contrôles ont révélé un manquement relatif à la qualité de la cartographie des risques, notamment en raison des lacunes observées dans l’identification de ces derniers. Ce taux monte à 91 % pour le dispositif d’évaluation des tiers et même jusqu’à 100 % pour la mesure relative aux contrôles comptables anticorruption. Ce sont autant de constats de manquements qui pourront être réanalysés lors d’un « contrôle de suite » diligenté par l’AFA.
Éviter des contrôles immédiatement chronophages et coûteux en évitant de prêter le flanc à la critique dès la première visite de l’AFA semble être une bonne idée. Rien de mieux pour cela qu’un audit à blanc.
L’AFA peut initier des contrôles pour évaluer la conformité d’une entité aux obligations de conformité Sapin 2 de sa propre initiative ou à la demande, entre autres, du président de la Haute Autorité pour la transparence de la vie publique.
Beaucoup de ressources mobilisées
Comme indiqué dans la « Charte des contrôles » publiée par l’AFA en juin 2022, et à travers l’expérience de contrôles réels, il est important de rappeler que les opérations de contrôle se déroulent en deux phases successives, la deuxième phase consistant en un contrôle approfondi avec l’examen de pièces supplémentaires et la conduite d’entretiens additionnels. Cette deuxième phase est optionnelle et est décidée « lorsque cela paraît nécessaire à l’appréciation de la qualité et de l’efficacité du dispositif ».
Ce contrôle approfondi, bien plus chronophage, peut concerner tout ou partie du dispositif revu lors de la première phase, et tout ou partie du périmètre du groupe. Il peut venir sanctionner un dispositif jugé insuffisamment robuste par l’AFA, comme il peut être déclenché pour confirmer la mise en œuvre opérationnelle des dispositifs décrits lors de la première phase. On pourra s’y préparer en s’assurant là encore de la robustesse du dispositif avant la visite de l’Agence.
Un programme de travail à définir
La dernière version des recommandations de l’AFA, publiée en janvier 2021, détaille les contrôles de 3e niveau qui peuvent être mis en œuvre. Il convient de s’en inspirer au moment de construire son programme de travail. À titre d’exemple, pour évaluer la cartographie des risques de corruption, il conviendra de conduire les analyses suivantes :
– analyse de la couverture de l’ensemble des entités, des activités et des processus ;
– revue de la méthodologie mise en œuvre (de l’identification des risques à la validation des plans d’action par l’instance dirigeante) et de la façon dont l’exercice a été documenté ;
– analyse de la conception et du déploiement des actions de remédiation définis ;
– revue des modalités de mise à jour (y compris la prise en compte des insuffisances constatées et des incidents survenus) ;
– analyse de la gouvernance et de la correcte allocation des ressources (rôles et responsabilités).
Le programme doit aussi favoriser une évaluation holistique du dispositif.
S’il convient de passer du temps à analyser la méthodologie mise en œuvre dans le cadre de la cartographie des risques de corruption ou encore la correcte application des contrôles de 1er et 2e niveaux, il ne faut jamais perdre de vue la logique d’ensemble du dispositif et son efficacité pour atténuer les risques de corruption auxquelles l’entité est exposée.
Se poser les bonnes questions
Il serait donc malheureux de réduire l’audit à un simple examen de la conformité réglementaire.
Pour avoir une valeur ajoutée auprès des audités, l’audit doit se concentrer sur l’essentiel en traitant les problématiques en profondeur. Prenons l’exemple d’une entité dont le risque le plus significatif se situe au niveau de ses apporteurs d’affaire. Les questions que l’auditeur devra se poser seront les suivantes :
– A-t-on défini et met-on en œuvre des contrôles spécifiques pour atténuer la criticité de ce risque au niveau de chaque rouage du dispositif ?
– Les apporteurs d’affaire font-ils l’objet d’une vigilance particulière en matière d’évaluation d’intégrité ou sont-ils soumis à un processus allégé applicable à l’ensemble des tiers ?
– A-t-on prévu un processus spécifique pour contractualiser avec ce type de tiers ?
– Des contrôles comptables particuliers ont-ils été conçus pour suivre ces flux avec attention ? Existe-t-il un compte comptable dédié permettant de suivre finement cette typologie de charges ? A-t-on demandé à ces tiers de détailler finement leurs fees ? Existe-t-il un workflow de validation spécifique ?
– En parle-t-on dans le code de conduite anticorruption et dans les supports de formation ?
Un dispositif anticorruption fonctionne comme un engrenage : pour que son efficacité soit démultipliée, chaque rouage doit être opérationnel et être lié à l’ensemble.
Les trois phases d’un audit à blanc
L’audit du dispositif anticorruption comporte traditionnellement trois phases : l’analyse préliminaire, la phase d’entretiens et de tests, enfin l’élaboration du rapport d’audit.
L’analyse préliminaire. Les objectifs clés de cette phase sont l’orientation des travaux et la détermination du temps qui doit être alloué à chaque rouage du dispositif.
L’analyse consiste à revoir la documentation clé (cartographie des risques, code de conduite, politiques, procédures et modes opératoires en place – notamment en matière d’évaluation des tiers, de contrôles comptables, de cadeaux, de gestion des notes de frais, etc. –, organigrammes, rapports d’audit, référentiels, liste de dossiers de due diligence de tiers, etc.) et à procéder à une première analyse des données comptables (forensic accounting).
L’analyse des données comptables en amont de la phase d’entretiens permet de collecter des éléments factuels (flux avec des tiers à risques, natures de transactions sensibles, etc.). Ces opérations concrètes seront l’occasion d’ouvrir les discussions sur des activités ou des pratiques à risques et de s’interroger sur certaines déclarations émises par les interlocuteurs rencontrés. Cette analyse rend possible l’élaboration d’un premier avis quant à la robustesse de l’environnement de contrôle interne.
La phase d’entretiens et de tests. Au cours des entretiens, sont notamment évalués le degré d’exposition aux risques de corruption des principaux évènements survenus (signature de contrats stratégiques, acquisitions d’une entité, mise en place d’un partenariat majeur, etc.), l’engagement de l’instance dirigeante, le niveau de connaissance des procédures en place et les ressources allouées à la fonction conformité. En parallèle de ces entretiens, l’analyse documentaire se poursuit pour approfondir les problématiques évoquées au cours des échanges.
Rappelons que la preuve documentaire a un caractère fondamental dans la conduite des travaux d’audit. Ceci, à plus forte raison qu’il n’est pas exclu que ces travaux soient revus par l’Agence française anticorruption.
L’élaboration du rapport d’audit. Enfin, le rapport présente le niveau de déploiement du dispositif anticorruption. Le diagnostic doit recenser les points forts à maintenir, les points à renforcer et les zones éventuellement surmaîtrisées (pour lesquelles les efforts pourraient être redéployés ailleurs). On formulera un nombre raisonnable d’actions de remédiation pragmatiques, en se concentrant sur les zones les plus à risques. Une réunion d’échanges doit alors entériner les plans d’actions à mettre en œuvre et définir les responsables de chaque action.
