Révision des recommandations AFA : la cartographie des risques (4/6)
16.11.2020
En réponse à la consultation ouverte par l'AFA en vue de réviser les recommandations qu'elle avait publiées en décembre 2017, l'AFJE et l'ACE ont formulé de nombreuses observations afin d'améliorer leur compréhension et leur mise en oeuvre effective par les entreprises. Ici, la cartographie des risques.
Le projet de recommandations apporte d’utiles précisions à la lumière de l’expérience acquise depuis 2017, en reconnaissant notamment que la cartographie des risques de corruption peut s’insérer dans des démarches de cartographies préexistantes, par exemple des risques opérationnels ( §59).
Toutefois, outre les commentaires résumés dans le tableau ci-après, l'AFJE et l'ACE insistent sur les points suivants :
- Il serait utile que l’AFA apporte plus de précisions sur la cartographie consolidée de la maison-mère, à la lumière de l’expérience de ses contrôles. En effet, les cartographies des risques de corruption devant être établies au plus près des opérations, il s’ensuit que ce sont de multiples cartographies qui sont de facto établies par les filiales et sous-filiales, la ou les cartographie des risques consolidées ne pouvant à l’évidence refléter la multiplicité des risques et des dispositifs de maitrise propres à chacune des cartographies.
Il serait par conséquent utile que l’AFA explique sa vision de la cartographie groupe (utilité, protection effective contre la corruption au-delà des cartographies locales, cotations de « macro-risques », etc). - Le texte du § 47 parle « d’autres risques d’atteinte à la probité, comme le recel de favoritisme, afin d’en faciliter la gestion ». Cette exigence va au-delà de la loi qui mentionne « une cartographie des risques d’exposition de la société à des fins de sollicitations externes aux fins de corruption ». Ce point est important dans la mesure où il ne saurait être question qu’à la faveur de ces nouvelles recommandations l’exigence de cartographie des risques de corruption ne dérive vers une exigence de cartographie des risques d’atteinte à la probité.
- Aux § 67 et suivants, l’AFA préconise une cotation des scénarii de risques et non pas des risques eux-mêmes, alors même que les scenarii ne sont que des illustrations de ces risques. AFJE et ACE pensent que cette préconisation est excessive et risque de compliquer encore les multiples exercices en cours de cartographie au sein des groupes.
- Le § 75 préconise que ce soit le responsable en charge de la conformité, avec l’appui éventuel de l’audit interne et du responsable en charge de la maitrise des risques qui « fasse » l’évaluation des risques nets. Cette préconisation parait contraire au principe selon lequel cette évaluation devrait d’abord émaner des fonctions opérationnelles à l’occasion des ateliers de cotation.
Remarque : le COSO (Committee of Sponsoring Organizations of the Treadway Commission) a publié le 11 novembre 2020 un nouveau Guide : Compliance Risk Management : Applying COSO ERM Framework. Le COSO y revient, entre autres, dans son Principe 10 sur les façons dont les risques peuvent être identifiés, précisant qu’il est difficile d’identifier tous les risques selon la même méthodologie.