Etablir la cartographie des risques de corruption : un défi en pratique

Le sujet de la cartographie des risques reste sensible et l’exercice relativement technique. Si certaines modalités de réalisation sont communes à tous les exercices de cartographie, d’autres relèvent d’un dispositif plus spécifique, propre aux particularités de ce domaine de risques. Pour apporter un éclairage sur la question, il peut être utile de balayer quelques idées reçues.

Il est établi aujourd’hui que réaliser une cartographie des risques de corruption efficace et pertinente est un exercice qui fait appel à deux expertises cumulatives et complémentaires : une expertise de la conformité (ou compliance) d’une part et une expertise méthodologique de la gestion des risques d’autre part. Ceci étant dit, la fonction conformité n’est pas toujours portée par quelqu’un qui possède ces deux expertises. Il est donc courant dans cette situation que les sociétés fassent appel - et c’est une pratique tout à fait légitime - à un soutien externe, nécessaire pour ne pas avoir à réitérer / revisiter l’exercice à courte échéance voire à revoir complètement la méthodologie a posteriori.

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

La cartographie des risques de corruption n’est pas un audit et encore moins une investigation, il s’agit d’avoir une image à un instant donné des zones d’exposition potentielles et des risques de corruption susceptibles de survenir au sein de son entreprise. 

La cartographie des risques doit intégrer l’ensemble des dimensions des risques de corruption affectant une entité. Pour autant, la cartographie des risques de corruption n’est pas une liste exhaustive de l’ensemble des risques auxquels est exposée une entité. Elle doit être adaptée au contexte de l’entreprise. Elle ne fonctionne pas seule et doit être reliée à la cartographie des risques globaux et opérationnels du groupe pour avoir une vraie cohérence.

Ce dispositif ne doit pas être le fruit d’une réflexion théorique et très chronophage pour les opérationnels, déconnectée des opérations, des processus et de l’environnement de gestion des risques et de contrôle interne de l’entreprise. Elle ne devrait pas non plus être un outil complexe et sophistiqué, ni un instrument destiné exclusivement au management. 

Une cartographie pertinente doit au contraire se concevoir pour devenir un outil de pilotage utile à tous et constituer le socle du déploiement du programme de conformité de l’entreprise, et ce de façon différenciée et éclairée dans toutes ses strates. Il doit s’agir d’un outil utile, opérationnel, homogène mais évolutif. Véritable pierre angulaire, elle permettra au responsable de la conformité -  group compliance officer, responsable ou directeur de la conformité ou toute autre personne qui pilote officiellement la fonction conformité au sein de l’entreprise - de responsabiliser les acteurs du dispositif de prévention, de coordonner les actions engagées ou à engager, d’apprécier leur efficacité et leur degré de maîtrise et de suivre le plan de déploiement et d’amélioration continue de son programme de conformité au sein de l’organisation. 

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

La cartographie étant un exercice interne destiné à recenser les risques de l’entreprise et mieux comprendre les ressorts de leur survenance, le responsable de la conformité adaptera, en accord avec sa direction, la méthode employée à la taille, la (les) zone(s) géographique(s) où le groupe opère ou est implanté, la nature des activités exercées ainsi qu’aux caractéristiques des tiers avec lesquels le groupe interagit dans la marche de ses affaires. Il peut choisir de collecter les informations relatives aux facteurs de risques et d’exposition à la corruption au travers d’ateliers, par entretiens individuels ou encore - mais c’est le moins souhaitable si l’analyse se limite à cela - via l’administration de questionnaires d’évaluation, envoyés aux opérationnels et au management. 

Chaque technique est acceptable tant qu’elle est adaptée et que la société est capable - lors d’un audit du régulateur et en conformité avec les recommandations de celui-ci - d’expliciter, documenter et justifier de façon rationnelle et suffisamment robuste les choix méthodologiques retenus. 

Par exemple, en pratique, effectuer un unique atelier de 2h réunissant une quinzaine de managers et d’opérationnels pour recenser les risques de corruption de l’ensemble de la zone Europe d’un groupe présent dans 17 pays paraîtra certainement insuffisant.

Au contraire, passer en revue un certain nombre d’indicateurs choisis, exogènes et endogènes, pré-identifier les zones, processus et transactions les plus exposés, puis lancer une mission, avec ou sans aide extérieure, d’un mois avec 15 entretiens individuels de 2h chacun sur les 2 sites d’implantation en Inde par exemple afin d’effectuer une cartographie des risques de corruption adaptée au pays pourra constituer un bon niveau de granularité, ou du moins permettre une meilleure appréhension du niveau de risques de corruption par la direction.

Les entretiens, dont il convient de conserver une trace écrite, doivent refléter l’implication de la direction et de ses collaborateurs. Ceux-ci s’efforceront d’examiner lors des entretiens pour chacun des principaux processus métiers les facteurs de risques et les procédures attenantes, les dispositifs de contrôles existants et les axes d’amélioration à mettre en œuvre par la suite. De plus, il est nécessaire de veiller à la cohérence entre le verbatim collecté lors des entretiens et les notations remontées (criticité du risque ou degré de maîtrise des activités de contrôle) afin de garantir le sérieux et l’implication de l’exercice effectué par tous.

A cette question, il n’y a pas de réponse toute faite et préétablie. Le champ de l’examen est à construire avec les personnes interrogées : si l’entretien du directeur des ressources humaines par exemple, fait ressortir des failles dans les procédures de notes de frais, le responsable de la conformité devra s’intéresser plus particulièrement à ces procédures. 

Il faut garder à l’esprit que la construction d’un programme de conformité n’est pas une obligation de résultats mais bien une obligation de moyens, encore faut-il que ces moyens soient réellement donnés par la direction.

En effet, l’engagement de l’instance dirigeante se reflète d’abord et avant tout dans l’efficacité de la méthodologie déployée, les moyens alloués et le niveau élevé des équipes mobilisées pour aider le compliance officer dans cet exercice. 

Dans ce projet stratégique et lourd pour la société, l’erreur est admise. Cependant, le fait d’omettre de faire ressortir le risque de corruption dans un pays donné sous prétexte que son plan d’action sera intégré à ceux des autres pays de la zone géographique à laquelle il appartient peut être considérée comme une autre manière de minimiser la perception des risques pour le groupe. 

La bonne pratique réside donc très certainement dans le fait de mettre en avant le choix stratégique de la direction de la société : prioriser son implication pour combattre la corruption au sein du groupe et dans ses filiales plutôt que de réaliser l’exercice à l’économie, en sous estimant les risques, notamment à l’international, en ne faisant preuve que d’un effort faible.

On l’a dit, il est attendu que le responsable de la conformité pilote cet exercice crucial de cartographie avec le soutien réel et visible de l’instance dirigeante au siège comme sur les sites français ou étrangers car de cet exercice dépend le plan d’actions du programme de conformité qui sera porté pendant plusieurs années. 

Or, le responsable de la conformité ne pilote pas seul, il sera soutenu par le management, la gouvernance de l’entreprise et les acteurs clés de l’environnement de contrôle du groupe : du comité exécutif au conseil d’administration et à ses comités spécialisés tel le comité d’audit, de la direction des ressources humaines au directeur juridique ou financier, de l’audit interne au contrôle interne et au risk manager, l’implication de tous est la condition de la réussite de ce travail d’équipe, qui s’inscrit dans un projet d’amélioration continue du groupe, en accord avec les valeurs du groupe, stratégique et d’avenir si celui-ci veut présenter sa candidature devant un fonds d’investissement par exemple. 

En conclusion, une cartographie non validée par la gouvernance est très vraisemblablement un exercice voué à l’échec. Un plan d’actions non suivi par le comité de direction produira un programme de conformité inutile. 

Lorsqu’il est construit sur une analyse pertinente des risques et au-delà du seul impératif juridique, un engagement volontaire, proactif peut faire de ce programme de conformité un avantage compétitif, une valeur commerciale, mais aussi un vecteur d’innovation sur le plan des process opérationnels, des organisations, des outils ou du reporting. 

Lorsque l’entreprise n’a pas été sanctionnée par une autorité française ou étrangère, c’est pour elle le moment où il est plus facile et stratégique de structurer et de « penser » son programme de conformité de la manière la plus efficace, homogène et en intégrant ses démarches dans l’amélioration continue et globale du groupe. Cette opportunité se fait de plus en plus rare, il ne tient qu’aux sociétés de se lancer aujourd’hui.