[Tribune] Comment concilier conformité et ressources limitées dans un exercice de cartographie des risques de corruption
L'utilisation de l'approche itérative pour l'identification et l'analyse des risques de corruption et de conflits d'intérêt dans un exercice de cartographie des risques peut faciliter l'adoption des nouvelles pratiques chez les collaborateurs et un meilleur contrôle des coûts.
Que ce soit les différents guides publiés, les lignes directrices de l'AFA, en passant par les multiples présentations et webinars produits sur le sujet, la cartographie des risques de corruption dans le cadre de la conformité à l'article 17 de la loi Sapin 2 a fait couler énormément d'encre depuis les 2 dernières années. De plus, la commission des sanctions de juillet 2019 a aussi confirmé l'ampleur des exigences de l'AFA sur ce sujet spécifique.
Entre la réalité économique et théorie
Néanmoins, toutes ces présentations et interprétations ne décrivent qu'une vision de la cartographie des risques de corruption : soit de démarrer la mise en place d'un dispositif de conformité avec une cartographie des risques très détaillée et d'en découler par la suite les autres éléments du dispositif anticorruption.
Cette vision très logique de l'amorce d'un dispositif est souvent en contradiction avec les objectifs opérationnels ainsi que les ressources limitées des organisations. En effet, concevoir dès le départ une cartographie exhaustive et détaillée des risques de corruption, par activités et/ou par implantation géographique, est très consommateur de temps et donc d'argent. Cette approche ne permet pas non plus de prendre du recul sur l'importance relative des risques mis en lumière ainsi que de démarrer rapidement des actions " quick-wins " de remédiation des lacunes.
L'approche itérative à la cartographie des risques de corruption
Une approche pragmatique et opérationnelle est de procéder par itérations, en augmentant à chaque fois le niveau de détail, selon l'importance des risques inhérents identifiés. Bien entendu, la première cartographie des " macro-risques " identifiera plutôt des zones de risques, par exemple, certains sous-processus achats, les cadeaux et les invitations, le mécénat et le sponsoring, etc., et ne sera pas encore conforme aux exigences de l'AFA. Toutefois, en identifiant et évaluant les moyens de maîtrise existants afin d'estimer le risque net, il sera possible de distinguer les premières actions de remédiation à mettre en place. Il sera aussi possible d'alimenter les autres chantiers du dispositif de conformité existants : le code de conduite anticorruption avec des exemples concrets portant sur les macro-risques identifiés, le dispositif d'alerte interne, le régime de sanctions disciplinaires, etc.
De plus, les populations plus à risque ayant été identifiées, il sera possible de les former une première fois. La mise à jour de la cartographie des risques, lors de la prochaine itération, approfondira la compréhension des risques de corruption et permettra d'enrichir la formation de ces populations qui devront de toute façon être formées très certainement à chaque année.
Des itérations pour cibler les zones à risques accrus et/ou les différentes implantations géographiques ou activités
Une deuxième itération pourra porter sur les zones de risque inhérent élevées afin de les analyser et d'augmenter le niveau de granularité de la documentation de ces risques. Les zones de risque inhérent plus faible pouvant être traitées plus en mode de " surveillance " et " réévaluation " plutôt que d'approfondissement de la granularité. D'ailleurs, ce sont sur les zones de risque inhérent élevées qu'il sera impératif de consulter les opérationnels qui sont confrontés régulièrement à ces risques de corruption.
Une troisième itération pouvant porter sur des activités spécifiques ou des implantations géographiques, et permettrait de décliner un peu plus la cartographie des risques et d'enrichir les autres piliers du dispositif anticorruption. Et ainsi de suite jusqu'à atteindre le niveau d'exigence attendu par l'AFA. Il sera également important de prendre du recul à chaque itération afin de s'interroger sur les évolutions de l'environnement ou de l'organisation qui pourrait influer sur les risques précédemment identifiés et documentés.
Faciliter la gestion du changement
Cette approche pragmatique et opérationnelle de la mise en conformité permet d'avancer en fonction des ressources de l'organisation et de faciliter la gestion du changement en encrant progressivement les nouvelles pratiques de conformité dans l'organisation tout en bâtissant sur les bonnes pratiques existantes.
Caroline Leblanc, Director Compliance & Regulatory Consulting chez Duff & Phelps, possède plus de 15 ans d'expérience, en France et au Canada, dans les domaines de la conformité réglementaire et du conseil et de l'audit des technologies de l'information. Elle dispose d'une solide expertise en criminalité financière, en protection des données à caractère personnel ainsi qu'en contrôles internes informatiques exercés sur l'information financière.
Sur le même thème
Voir tous les articles Risques