L’utilité de la cartographie des risques de corruption se manifeste dans deux dimensions principales :
– elle est tout d’abord un outil de prévention et de pilotage. À la manière d’un tableau de bord, elle aide l’organisation à se prémunir contre les conséquences réputationnelles, juridiques, humaines et financières que pourrait générer la survenance de risques de corruption. En explicitant et en hiérarchisant ses risques, l’organisation a la capacité de communiquer en interne sur les enjeux de corruption, et de déployer des mesures de protection proportionnées et ciblées ;
– elle est également un outil de pédagogie vis-à-vis de l’Agence française anticorruption (AFA). Lors d’un contrôle, la cartographie des risques de corruption est le premier document décortiqué par l’AFA. Les auditeurs s’attendent à retrouver certains scénarios et cherchent à comprendre la hiérarchisation des risques qui a été retenue. Il s’agit donc de structurer sa communication en matière de prévention des risques de corruption en argumentant et en justifiant les niveaux de criticité, incluant une présentation des dispositifs de maîtrise des risques.
L’enseignement des décisions des commissions des sanctions
Alors que le rapport d’activité 2021 de l’AFA1 indique que « 85 % des contrôles ont révélé un manquement relatif à la qualité de la cartographie des risques, notamment en raison des lacunes observées dans l’identification des risques », il paraît pertinent de repréciser les griefs les plus régulièrement remontés.
Au gré des contrôles et des rapports de l’AFA, ses agents ont montré qu’ils avaient des critiques de prédilection :
– l’absence d’analyse fine des scénarios de corruption (« La méthodologie d’identification qui s’appuie sur des scénarios génériques de corruption [...] ne permet pas [...] de réaliser une analyse fine des vulnérabilités existantes ») ;
– la contribution limitée des parties prenantes (« Elle n’a associé qu’un panel réduit de fonctions, ce qui conduit à des lacunes dans l’identification des risques relatifs aux fonctions ressources humaines et sécurité informatique ») ;
– la couverture géographique partielle (« Aucun élément n’a été fourni pour démontrer qu’une analyse des risques a été effectuée pour l’Amérique du Sud [...], l’Ukraine [...] ») ;
– la construction à méthodologie variable (« L’application successive de méthodologies hétérogènes d’évaluation des risques “nets” ne permet pas d’avoir l’assurance que les risques ont été correctement évalués »).
Les principes fondamentaux
Complétude
Dans ses recommandations, l’AFA précise que la cartographie « doit résulter de l’analyse de l’ensemble des processus de l’entreprise qui la conduisent à interagir avec les tiers » et qu’il est par conséquent nécessaire « de disposer d’une connaissance étendue de l’entreprise et de ses activités, dont les processus managériaux, opérationnels et support ».
Spécificité
L’AFA s’attend à ce que chaque acteur économique établisse « sa propre cartographie des risques, qui lui est spécifique, et ne peut en conséquence être appliquée en l’état à une autre entreprise ». Il convient de considérer ses propres situations ainsi que le profil de ses propres tiers pour établir des scénarios pertinents.
Auditabilité
L’AFA demande que l’exercice de cartographie des risques prenne « la forme d’une documentation écrite et structurée, qui décrit en détail les méthodes retenues pour son élaboration et les mesures prises pour maîtriser les risques ». L’AFA veut des preuves. Il est essentiel de conserver les éléments permettant de justifier la mise en œuvre de la démarche : comptes rendus d’entretiens et d’ateliers, méthodes de calcul de la criticité et du niveau de maîtrise, versions de la cartographie etc. En outre, il est recommandé de formaliser un document annexe explicatif décrivant les rôles et responsabilités de chacun dans l’élaboration et la mise à jour de la cartographie.
Proportionnalité
Comme le directeur de l’AFA aime à le rappeler lors de ses interventions, il ne s’agit pas d’éliminer 100 % des risques en déployant des efforts disproportionnés. L’AFA recommande d’avoir recours à des « modalités adaptées et proportionnées au profil de risque de l’organisation ». Tout l’intérêt de la cartographie réside justement dans l’opportunité d’invoquer le principe de Pareto2 pour orienter les efforts opérationnels vers les zones les plus critiques.
Le bon contenu pour se conformer aux attentes
de l’AFA
Une bonne cartographie des risques de corruption est un document concret : les scénarios de corruption sont clairement définis. Au très général « corruption d’agents publics », on préférera un libellé dans lequel sont mentionnés l’avantage octroyé et la contrepartie attendue (par exemple, « Cadeau octroyé à un agent public afin de faciliter une démarche administrative dans le cadre de la construction d’un site »). Expliciter l’avantage indu (le cadeau dans l’exemple précédent) a en outre le mérite de faciliter le recensement des dispositifs de maîtrise correspondants.
Une cartographie est bonne si les niveaux de criticité sont justifiés : les facteurs d’atténuation et d’aggravation de la criticité brute sont recensés, des informations contextuelles et des exemples sectoriels permettent d’étayer l’impact et la probabilité brute.
Une bonne cartographie est précise : les contrôles permettant de maîtriser chaque risque de corruption sont systématiquement identifiés, qu’il s’agisse des contrôles dédiés à la gestion des risques de corruption tels que prévus par la loi Sapin 2 (exemple : processus d’évaluation des tiers) ou des contrôles généraux des processus opérationnels et financiers (exemple : processus de recrutement).
Enfin, une bonne cartographie est utile : des plans de remédiation pragmatiques et proportionnés sont identifiés. Idéalement, on renseignera les propriétaires d’actions et les délais de mise en œuvre pour faciliter le déploiement des actions et asseoir l’engagement des instances dirigeantes.
Une cartographie des risques de corruption est donc un document très riche. Dès lors se pose la question de sa maintenabilité.
Rendre sa cartographie maintenable
Pour apprécier correctement le niveau de maîtrise d’un risque, il est nécessaire de recenser tous les dispositifs de couverture. Si ce travail est réalisé de façon rigoureuse, la quantité de dispositifs et d’actions de remédiation listés devient rapidement colossale. De plus, une même mesure apparaîtra généralement à de multiples endroits. En clair, le niveau de granularité attendu devrait rendre mécaniquement la cartographie indigeste et difficilement maintenable.
Pour éviter ce phénomène, notre préconisation est de raisonner par famille de dispositifs (exemples : dispositifs de sensibilisation, contrôles portant sur la validation des factures / des paiements, etc.) et d’inclure des renvois vers des fiches détaillées.
De cette façon, le contenu de la cartographie n’a pas à être modifié à de multiples endroits à chaque fois qu’un contrôle évolue ou qu’un plan d’action est finalement déployé. Le travail de mise à jour de la cartographie consistera principalement à réévaluer les niveaux de maîtrise et de criticité.
La fiche détaillée d’une famille de dispositifs a également comme vertu de pouvoir être confiée à un responsable désigné, en charge de sa mise à jour régulière. La diffusion du contenu aux acteurs se fait ainsi plus facilement.
Les vertus de l’approche combinée
Si l’approche « en chambre » (i. e. réflexions conduites uniquement au niveau de la fonction Compliance) permet d’avancer rapidement, elle ne permet ni d’atteindre une granularité suffisante, ni de prendre en compte les réalités opérationnelles.
L’approche par questionnaire permet pour sa part d’atteindre un large panel d’interlocuteurs, mais si ces questionnaires ne sont pas administrés (i. e. renseignés en séance), les réponses obtenues sont souvent incomplètes, inexploitables ou non pertinentes.
L’approche par entretien est incontournable pour gagner en profondeur, valider la pertinence des acteurs et profiter de ces échanges pour sensibiliser et impliquer les acteurs, mais consomme beaucoup de temps.
Il est en fait pertinent d’opter pour une approche combinée :
– en amont de l’exercice, la cellule Compliance élaborera les référentiels (dimensions, échelles, univers de risques etc.). Elle pourra s’appuyer sur des questionnaires envoyés avant la phase d’entretiens pour cadrer les discussions ;
– les entretiens permettront de collecter du contenu concret et précis, et d’évoquer les plans d’actions, évaluer leur pertinence et susciter l’engagement des porteurs ;
– a posteriori, la cellule Compliance agrégera les résultats et finalisera la hiérarchisation. Pour affiner le niveau de maîtrise, des questionnaires pourront permettre d’évaluer le niveau d’application des procédures en place dans les différentes entités du groupe.
Le juste choix des contributeurs
Si on devait appliquer à la lettre les recommandations de l’AFA, il conviendrait d’impliquer dans l’élaboration de la cartographie des risques les responsables de toutes les fonctions de l’organisation, ainsi que leur n-1 et n-2 pour recueillir les réalités opérationnelles, qu’il s’agisse de situations propices aux faits de corruption ou de failles de contrôle interne.
Le fait est que s’entretenir avec autant d’interlocuteurs est chronophage et dispendieux, a fortiori au sein d’un groupe composé de dizaines d’entités.
Nombre d’organisations décident donc naturellement de n’impliquer que les fonctions les plus exposées aux risques de corruption. Cela peut se justifier. Il convient toutefois de veiller à impliquer les fonctions moins exposées mais fortement contributrices en termes de contrôle interne (directions comptable, des ressources humaines, des systèmes d’information, de l’audit interne). Les entretiens avec ces interlocuteurs doivent moins se focaliser sur les situations que sur les mesures de protection et les vulnérabilités éventuellement constatées. Car la réussite de l’exercice repose sur cette stratégie : décortiquer à 360° les sujets les plus critiques avec les interlocuteurs les mieux informés.
