Depuis juin 2017, date de mise en œuvre du volet anti-corruption de la loi Sapin 2, beaucoup d'entreprises ont déployé ou renforcé leur dispositif anti-corruption à travers la mise en œuvre de huit mesures clés destinées à prévenir et détecter des faits de corruption.
Alors que certaines entreprises ont créé des départements de compliance avec des équipes dédiées, d'autres, en particulier les PME et ETI, aux moyens plus limités mais ayant la volonté de se mettre à niveau en matière de lutte anti-corruption, font évoluer leur organisation notamment au niveau de la direction juridique, du contrôle interne ou du risk management. Ces différents départements s'adaptent pour intégrer dans leur périmètre d'activité le déploiement d'une ou de plusieurs mesures du dispositif Sapin 2.
De son côté, l'Agence française anticorruption (AFA) multiplie les contrôles réalisés auprès des entreprises privées et publiques pour vérifier le correct déploiement du dispositif. Cela passe par des contrôles réalisés sur pièce et sur site, y compris un certain nombre d'entretiens avec des collaborateurs impliqués directement ou indirectement dans sa mise en œuvre.
Des huit mesures, la dernière, qui porte sur le dispositif de contrôle et d'évaluation interne des mesures mises en œuvre, est celle qui est aujourd'hui la moins systématiquement déployée. En effet, elle nécessite un certain niveau d'avancement concernant la mise en œuvre des autres éléments/mesures du dispositif.
En ce qui concerne l'évaluation du dispositif, le questionnaire de l'AFA, qui a été rendu public, constitue une base de travail intéressante afin de passer en revue les différents points clés du dispositif du point de vue du régulateur. Etant entendu que l'entreprise doit adapter cette approche au regard de ses risques, de son organisation et du rythme auquel son dispositif a été déployé, notamment dans les filiales.
Trois mesures clés
Par ailleurs, les contrôles effectués par l'AFA montrent que celle-ci porte une attention particulière à trois mesures, qui structurent l'ensemble du programme de compliance. Par conséquent, l'évaluation du dispositif devra mettre l'accent sur ces mesures, qui sont :
- La cartographie des risques de corruption est la clé de voûte autour de laquelle doit s'articuler le dispositif anti-corruption en permettant à l'entreprise d'appréhender concrètement les risques de corruption pour les différentes filiales/activités /processus, ainsi que d'identifier les contrôles ou procédures déjà en place ou nécessitant une amélioration. Dans le cadre de l'évaluation du dispositif, une cartographie mal documentée ou qui ne refléterait pas les risques de l'entreprise remettrait en cause la pertinence et l'efficacité de l'ensemble du programme.
- La mise en place d'un processus/dispositif d'évaluation des tiers est également un point clé : l'audit du programme devra prendre en compte l'approche par les risques du dispositif sur les tiers, tant au moment de l'entrée en relation d'affaires avec les tiers que de manière périodique.
- Les contrôles comptables : cette mesure, déployée en lien avec la cartographie des risques, permet à l'entreprise de renforcer son contrôle interne afin d'être en mesure de prévenir et détecter des transactions pouvant masquer des cas éventuels de corruption à partir des données comptables et financières. L'évaluation de cette mesure devra s'attarder sur l'articulation entre les contrôles de niveaux 1 (contrôle opérationnel), 2 (contrôle permanent) et 3 (audit).
Que l'évaluation porte sur la mesure 5 (contrôles comptables) ou sur le dispositif en général, la question de la gouvernance du programme se posera rapidement, notamment pour les entreprises qui ne disposent pas de fonction contrôle interne ou audit interne. En effet, seule une revue indépendante et objective du dispositif permettra à la direction de l'entreprise et à son conseil d'administration, d'avoir une évaluation précise de l'efficacité du dispositif et, en cas d'insuffisance, de définir, mettre en œuvre et surveiller les plans d'action.
