L’identification des risques est un préalable à la démarche de mise en conformité avec la réglementation relative à la lutte anticorruption. L’élaboration d’une cartographie des risques de corruption permet de recenser les risques et d’élaborer un plan d’action visant à réduire leur probabilité de survenance.
Qu’est-ce qu’une cartographie des risques ?
C’est un outil essentiel du dispositif anticorruption. Elle prend la forme d’une documentation qui doit être régulièrement actualisée et qui est destinée à analyser et identifier les risques d’exposition de l’entreprise à la corruption.
La mise en œuvre d’une cartographie des risques au sein d’un organisme est souvent facultative. Mais elle est fortement recommandée. Selon la loi Sapin II, la cartographie est obligatoire pour toutes les entreprises qui comptent au moins 500 salariés et dont le chiffre d'affaires est supérieur à 100 millions d’euros.
Sa fonction est de prévenir et détecter les risques. En cela, elle constitue un instrument indispensable d’anticipation. Ce que l’on entend par « risque », c’est un événement potentiellement défavorable, qui va avoir des conséquences négatives sur l’entreprise visée.
Dans un premier temps, la cartographie intervient dans une démarche d’identification du risque. Elle permet ensuite d’évaluer le degré de survenance du risque. Elle a aussi pour but de hiérarchiser tous les risques identifiés afin de les classer par ordre de priorité. Elle permet enfin de gérer ces risques, c’est-à-dire d’apporter des solutions de lutte efficaces contre ces risques.
En résumé, la cartographie a pour but de prévenir les conséquences liées à la réalisation des risques de corruption dans l’entreprise. A titre d’exemple, elle sert à prévenir les atteintes à la réputation ou à l’image de l’entreprise auprès de ses clients.
La cartographie doit obligatoirement prendre en compte les spécificités de chaque entreprise, pour être fidèle à la réalité des risques auxquels l’entreprise est confrontée. Elle est donc personnalisée, spécifique à chaque organisme. Elle doit être formalisée et évolutive : sa mise en place nécessite des mises à jour régulières.
Que recommande l’AFA pour cartographier les risques de corruption ?
L’Agence française anticorruption (AFA) est un service à compétence nationale créé par la loi Sapin II du 9 décembre 2016. Elle est placée auprès du ministre de la Justice et du ministre chargé du budget.
L’une des missions de l’AFA est d’aider à prévenir et à détecter les faits de corruption. Pour cela, elle énumère les différentes étapes à respecter et à mettre en place dans chaque entreprise. Dans ses recommandations, elle formule un guide à appliquer pour lutter efficacement contre la corruption, en six points, détaillés ci-dessous un par un.
Clarifier les rôles et responsabilités : qui fait quoi ?
La première étape des recommandations fournies par l’AFA est la suivante : la clarification des rôles et des responsabilités de chaque acteur.
D’abord, l’instance dirigeante est l’entité qui doit prendre l’initiative d’établir la cartographie des risques. Elle doit la valider et valider sa stratégie de gestion des risques. La direction se doit d’assurer les moyens humains et financiers à mobiliser pour mettre en œuvre l’évaluation des risques présentés dans la cartographie.
Ensuite, le responsable conformité est la personne à l’origine du pilotage de la cartographie dans les différents métiers qui composent l’entreprise ou l’organisme public. Il définit la méthodologie à laquelle la cartographie doit obéir ainsi que les différentes questions à poser aux professionnels de l’entreprise afin d'identifier les risques. Ce responsable agit en communiquant les faits relevés à l’instance dirigeante. Il a pour mission de mettre concrètement en place le programme de conformité de la cartographie, et de le mettre à jour.
Enfin, le responsable métier est la personne qui doit rendre compte des risques spécifiques à son périmètre d’activité. Il peut s’agir, à titre d’exemples, du responsable commercial, du responsable des achats de l’entreprise ou du responsable des ressources humaines. Il doit aussi s’assurer que la cartographie est bien adaptée à son périmètre de responsabilité. Pour cela, il doit bien comprendre quel est son rôle dans la mise en œuvre du programme, d’où la nécessité que la cartographie soit la plus claire et pratique possible.
Comment identifier les risques de corruption ?
La deuxième étape énumérée par l’AFA est l’identification des risques inhérents aux activités de l’organisation privée ou publique. Cela nécessite de bien adapter la cartographie selon le contexte. C’est à ce niveau que l’on se questionne sur la structure de la cartographie. Est-ce que l’on élabore une stratégie en séparant par direction ? Par activités ? Par localisation ?
Cela va permettre d’identifier l’ensemble des facteurs qui constituent le risque inhérent qui est rattaché à tel ou tel secteur. Il s’agit du risque présent avant toute mesure de maîtrise par l’organisme. Plus il y a de facteurs de risque, plus il y aura de probabilité que le risque se réalise. Le risque ne sera pas le même selon le secteur étudié, il faut donc se poser les bonnes questions pour déceler le facteur de risque.
En pratique, la conduite d’entretiens individuels va permettre de trouver le facteur de risque. Il s’agit d’identifier une personne exposée et de lui poser des questions ouvertes sur son activité pour en dégager un scénario de réalisation d’un risque de corruption. Les personnes qui font l’objet d’entretiens individuels doivent avoir une bonne connaissance de l’entreprise. Aussi, elles doivent bien connaître les rôles répartis au sein de l’entreprise. Enfin, ces personnes doivent avoir une excellente maîtrise du secteur d’activité auquel elles appartiennent.
Comment élaborer une évaluation de l’exposition aux risques bruts ?
La troisième étape des recommandations de l’AFA consiste à évaluer l’exposition à ce qu’on appelle le risque brut. Cette analyse est effectuée une fois que le scénario de réalisation du risque a été identifié, à l’issue de la deuxième étape.
Le risque brut est le risque considéré avant l’intervention des outils de maîtrise et de gestion mis en œuvre pour lutter contre la corruption. Son identification permet d’évaluer le niveau de vulnérabilité de l’entreprise. Pour procéder à l’évaluation, on prend en compte l’impact du risque, sa fréquence, et ses facteurs aggravants.
L’impact, d’abord, peut être un impact réputationnel, qui va nuire à l’image de l’entreprise. Il peut aussi s’agir d’un impact financier, qui va porter atteinte aux moyens économiques de l’entreprise. Il peut exister plusieurs impacts pour un même scénario de risque. En prenant en compte cet impact, on facilite la maîtrise du risque brut.
La fréquence permet ensuite d’évaluer l’exposition au risque brut. C’est le nombre de fois où le risque se produit dans un temps donné. L’évaluation de la fréquence sert à la prévention du risque.
Enfin, on prend en compte les facteurs aggravants de production du risque brut. Par exemple, le turn-over serait un facteur interne à l’entreprise. Quand l’entreprise a un turn-over important, c’est-à-dire qu’il y a beaucoup de départs suivis de recrutements, la conséquence possible est que l’on n’a pas le temps de former les gens correctement quant aux différents processus de la cartographie des risques de l’entreprise. Cela peut constituer un facteur aggravant.
Comment effectuer la maîtrise des risques bruts ?
Le quatrième point préconisé par l’AFA est celui de la maîtrise des risques bruts identifiés et évalués au cours des étapes précédentes. Au cours de cette étape, on évalue l’efficacité du dispositif mis en place pour lutter contre la corruption au sein de l’entreprise.
Cette évaluation implique de se poser les bonnes questions, à savoir : est-ce que le dispositif de maîtrise des risques nécessite d’être amélioré ? Est-il adéquat ? Si ce n’est pas le cas, il faut mettre en place un plan d’action qui vise à améliorer le dispositif pour le plus efficient possible.
Pour évaluer la qualité du dispositif de maîtrise des risques, on évalue à nouveau les scénarios de risques bruts grâce aux moyens de maîtrise actuels du dispositif. Le résultat de cette évaluation nous donne la position de ce qui est appelé le risque « net », ou « résiduel ».
Pourquoi hiérarchiser les risques ?
Le risque net correspond à ce qu’il nous reste, en matière de risque. La cinquième étape du procédé consiste à évaluer ces risques nets et à les classer par ordre de priorité. Cette hiérarchisation des risques nets ou résiduels permet d’identifier les éléments du dispositif qui sont insuffisants. On opère alors une séparation entre les risques pour lesquels la maîtrise est efficace et ceux pour lesquels la maîtrise doit être améliorée.
L’amélioration passe par l’élaboration d’un plan d’action qui sert à rendre efficace le dispositif en place. Ce plan d’action est spécifique à chaque risque identifié.
Comment formaliser la cartographie ?
Il s’agit de la sixième et dernière étape des recommandations de l’AFA. La cartographie des risques est formalisée : elle doit être écrite et structurée. Elle doit contenir plusieurs éléments : la méthodologie ; des échelles d’évaluation des risques ; une liste des facteurs aggravants ; une présentation des risques bruts et nets ; une fiche de risques pour chaque processus.
La cartographie doit être synthétique. Il faut pouvoir être capable de la présenter, de l’expliquer et de la documenter lors des contrôles devant les agents de l’AFA, ce pour quoi elle doit être claire et compréhensible. La présentation de la cartographie est très importante, car les différents acteurs de sa mise en œuvre doivent absolument la comprendre. On peut utiliser différents logiciels pour exploiter facilement les informations relevées et que l’on souhaite mettre en lumière dans la cartographie.
La cartographie doit également être complète, c’est-à-dire qu’elle recouvre l’ensemble des processus de l’entreprise. Il faut qu’elle soit personnalisée, spécifique à l’organisme. Elle doit faire contribuer tous les acteurs de l’organisme.
Enfin, il est indispensable de mettre à jour la cartographie. Elle doit être régulièrement actualisée pour être efficace. Elle est évolutive. Cela implique de la réévaluer, par exemple de manière annuelle. Elle peut aussi avoir lieu chaque fois qu’il y a une modification dans la structure de l’entreprise, ou à chaque fois que la réglementation évolue.
Comment vérifie-t-on l’efficacité de la cartographie ?
Une fois que les six étapes recommandées par l’AFA ont été exécutées et que la cartographie est élaborée, il faut vérifier qu’elle soit efficace. Cela se fait par le biais d’audits internes ou externes.
Il peut s’agir d’audits externes, qui sont réalisés par des personnes extérieures à l’organisation. Pour s’y préparer, l’organisme suit les questions et recommandations indiquées par l’AFA qui sont dédiées à l’élaboration d’une cartographie.
Quant aux audits internes, ils sont effectués par des personnes qui appartiennent à l’entreprise et qui contrôlent que la cartographie mise en place répond bien aux attentes de l’audit. Si ce n’est pas le cas, ils vérifient qu’il existe un plan d’action efficace pour améliorer le programme.