Contrôles comptables
et services financiers :
toujours prêts ?

Le contrôle, dans le monde des services financiers, est une seconde nature, nécessaire à son existence même. Ce monde s’applique, systématiquement, des contrôles permanents de premier et deuxième niveaux, et d’autres, périodiques, de troisième niveau. Les services non financiers, l’industrie, le secteur public, sont un peu moins rompus à l’exercice.

La loi Sapin 2 et l’Agence française anticorruption (AFA) ont imposé aux entités, financières ou non, privées ou non, soumises à son dispositif, la mise en œuvre des trois niveaux de contrôle aux risques de corruption. Les services financiers auraient alors dû se trouver, logiquement, avantagés dans le déploiement du dispositif.

Pour autant, l’expérience montre que, malgré cet avantage initial, le déploiement des contrôles comptables de la loi Sapin 2 n’a pas été, loin de là, la promenade de santé initialement envisagée.

La raison en est simple, si l’AFA dans ses différentes recommandations a bien exigé de voir ces trois niveaux de contrôle, cette exigence était précédée de quelques autres, auxquelles le monde des services financiers n’était pas toujours préparé.

La méthode souhaitée par l’AFA est relativement simple à appréhender, mais délicate à mettre en œuvre. De façon assez schématique, l’Agence attend les entreprises contrôlées sur les points suivants.

Première exigence, les contrôleurs cherchent tout d’abord à s’assurer que les fondamentaux du contrôle interne sont en place. Sans être exhaustif, l’Agence cherchera à s’assurer que la séparation des tâches est en place, que les habilitations et délégations de pouvoir sont maîtrisées, que l’information financière est traçable... Autant de sujets qui auront du mal à être mis en défaut dans les environnements surcontrôlés des banques et assurances.

Deuxième exigence : puisque la pierre angulaire du dispositif Sapin 2 est la cartographie des risques de corruption, alors, chacun de ses risques doit être encadré par des contrôles, pas uniquement comptables, de contrôle interne, de niveau 1 et 2, éprouvés par des contrôles de niveau 3. Et l’AFA, lors de ses contrôles d’initiative, s’évertue à trouver trace d’un recensement, d’une matérialisation très formelle de ce lien entre risques de corruption et contrôles.

Troisième exigence, ce lien entre risques et contrôle doit pouvoir être affiché, suivant l’expression consacrée, « aux bornes du Groupe », c’est-à-dire en tout point du territoire sur lequel l’entreprise soumise au dispositif, exerce ses activités.

Si l’on s’arrête à ces deux dernières exigences formelles, l’on réalise que si toute entreprise soumise à Sapin 2 croit raisonnablement en la validité de son dispositif de maîtrise des risques, elle l’a souvent (toujours) pensé en termes opérationnels, rarement (jamais) sous le prisme des risques de corruption. Ce qui s’entend.

Les attentes de l’AFA sont différentes, et souvent ignorées par nombre d’entreprises contrôlées. Celles-ci cherchent à démontrer que, parce que leurs risques opérationnels sont couverts, il n’est nul besoin de faire d’autre démonstration en matière de prévention de la corruption. Argumentaire, à son tour, peu écouté par l’Agence.

Le plus robuste des dispositifs de contrôle interne peut être jugé insuffisant en matière de prévention de la corruption, parce que la maîtrise des risques de corruption sort assez souvent du cadre des seuls risques opérationnels.

Illustration triviale, les invitations. Avant la loi Sapin 2, dans l’immense majorité des cas, l’on vérifiait pour chaque invitation, l’existence d’un justificatif, le respect de seuils, le nom des invités... Avec Sapin 2, l’on exigera la vérification de l’absence de récurrence discutable des invitations pour une seule personne. Il ne s’agit ici pas d’un risque directement lié aux opérations courantes, il est pourtant nécessaire à la prévention de la corruption.

Autre particularité qui coule de source, mais qui mérite d’être rappelée, recenser les contrôles liés à un référentiel de risques de corruption impose d’identifier ce qui est fait en matière de contrôle, mais également de s’assurer de la complétude et de l’utilité de l’arsenal de contrôles déployés ; et c’est alors que l’on réalise que le dispositif de contrôle en place répond à 85, ou 90 % des risques de la cartographie, ce qui, évidemment, ne convaincra que partiellement les contrôleurs de l’AFA.

Certains risques se retrouvent parfois assez chichement pourvus en contrôles permanents. Mécénat et sponsoring, par exemple, ne sont la plupart du temps qu’insuffisamment couverts, tant ils sont éloignés, par nature, de la notion d’opérations courantes.

La troisième exigence formulée pose également un certain nombre de problèmes organisationnels que l’on découvre à l’occasion d’un contrôle de l’AFA. Reprenons le cas des contrôles des invitations, qui serait, par exemple, parfaitement maîtrisé au siège. Un contrôleur de l’Agence ne manquerait pas de demander si les contrôles identifiés au siège sont également appliqués à une « petite » filiale située aux antipodes du quartier général de l’entreprise. Et c’est rarement le cas. Ni l’éloignement, ni le faible volume d’activité d’une filiale ne constitueront une excuse valable au caractère lacunaire d’un dispositif de contrôle, même local, des risques de corruption. La notion de caractère significatif joue beaucoup moins, ou pas, que pour des travaux d’audit financier « classiques ».

La question qui ne manquera pas de se poser ensuite est : faut-il en outre démontrer que les contrôles recensés sont appliqués de façon systématique, comme on le ferait pour un dispositif Sarbanes Oxley (SOX), aux « bornes du Groupe » ?

La réponse est, pour l’instant, non. Mais ceci n’est peut-être pas, tant que cela, une bonne nouvelle : là où une certaine tolérance est admise dans le cadre du SOX, il apparaît à peu près certain que si un contrôleur de l’AFA voulait tester la réalité d’un contrôle donné, il ne laisserait probablement pas passer le premier contrôle défaillant...

Dernière exigence en matière de prévention de la corruption, sans doute moins connue, mais très contraignante, la transparence comptable des opérations à risque : si les invitations, les cadeaux, le mécénat, le sponsoring sont considérés à risque, il est alors exigé que chacune des opérations concernées soit enregistrée dans un compte spécifique de comptabilité générale. Ainsi, au mécénat, un compte, aux cadeaux et invitations, respectivement, deux autres... Mais certaines organisations, dotées de systèmes informatiques contraints, stockent, sans distinction de nature des « notes de frais », et obligent à un « détricotage » de l’information stockée. Le diable est dans les détails.

Pour conclure, si le fait de maîtriser les notions de contrôle permanent et périodique est une nécessité à la bonne mise en œuvre d’un dispositif Sapin 2, cet avantage n’est toutefois pas suffisant, et autant maîtres de leurs opérations que soient le monde de la banque et de l’assurance, l’effort à fournir pour se mettre en conformité avec les exigences « contrôles comptables » de Sapin 2 est tout sauf anecdotique.