Comment se déroule un audit SAPIN II ?
Nous vous présentons ici les différentes étapes de notre méthodologie et nos points de contrôle.
Comment planifions-nous les missions ?
Notre méthodologie d’audit s’appuie sur la norme ISO 37001 et une adaptation de la norme ISO 9001. Pendant toute la durée de l’audit, toutes les données collectées sont conservées et hiérarchisées de manière à appuyer nos conclusions. Dans un objectif de transparence, nous les rendons disponibles aux personnes que nous rencontrons, au commanditaire et à l’organisation auditée.
Nous initions la démarche d’audit par l’organisation d’une réunion de lancement avec les parties prenantes. Nous présentons notre méthodologie, les étapes à suivre, les documents qui nous seront utiles et les livrables produits. C’est également l’occasion d’établir la liste des personnes à interviewer et de répondre aux éventuelles questions de l’audité ou du commanditaire.
Pour les missions complexes ou longues, un comité de pilotage du projet est mis en place avec notre chef de projet, un membre de l’organisation auditée et éventuellement le commanditaire de l’audit. L’organisation de ce comité de pilotage garantit le bon déroulement de la mission et assure que les livrables produits correspondent au mieux aux attentes du commanditaire.
Comment procédons-nous pour collecter les informations nécessaires à l’audit ?
Une revue documentaire est réalisée par nos consultants en début de mission avant de rencontrer les membres du personnel de l’audité. Cette revue nous permet de comprendre l’organisation de l’entité que nous auditons, de soulever les premières interrogations et d’identifier les éventuelles premières non conformités. Une seconde phase d’analyse a souvent lieu après les interviews, lorsqu’on nous indique l’existence de procédures ou documents qui n’ont pas été identifiés lors du lancement du projet.
Nous complétons notre étude en réalisant des entrevues avec les personnes identifiées préalablement. Ces rencontres nous permettent d’approfondir notre étude en confrontant les procédures documentées à la réalité du terrain. Nous nous assurons également de la connaissance par les personnes interviewées de l’existence du code de conduite, des procédures d’alertes internes et la procédure à suivre pour signaler une atteinte à la probité.
La démarche est réalisée en étroite collaboration avec les équipes de l’organisation auditée, avec bienveillance et respect des personnes que l’on rencontre. Nous mettons en valeur notre présence comme une opportunité pour la réduction des risques et l’amélioration de l’organisation interne. Nous croyons dans le vecteur de la positivité pour la réussite des projets qui nous sont confiés.
Quels sont les types de vérifications que nous opérons dans le cadre de nos audits ?
Notre démarche vise à vérifier l’existence des documents et procédures concourant au respect de la règlementation contre la corruption. Les vérifications portent non seulement sur leur valeur juridique, mais également sur leur effectivité. Nous contrôlons ainsi que le personnel impacté par les dispositifs anticorruptions est bien informé de leur existence, et que ceux-ci sont adaptés au contexte de l’organisation. Cette méthodologie nous permet d’aller au-delà de la l’évaluation théorique et d’établir une estimation réelle des risques encourus par l’organisation auditée.
Le commanditaire de l’audit pourra donc savoir si les dispositifs existent, s’ils sont adaptés à la structure de l’organisation auditée, s’ils sont réellement appliqués et d’obtenir ainsi une évaluation précise des risques.
Quels sont les éléments pris en compte dans l’évaluation de la mise en place de chaque mesure anticorruption ?
Pour chaque mesure anticorruption, nous avons établi une liste de points de contrôle afin de nous assurer du respect de l’intégralité des recommandations de l’AFA. À l’issue de l’audit, une notation précise et chiffrée est attribuée à chaque mesure. Les rapports permettent au commanditaire d’évaluer et de comparer les résultats de chaque organisation auditée.
Code de conduite SAPIN II
- Opposabilité à l’ensemble du personnel de l’organisation
- Application du code à l’étranger
- Engagement contractuel des tiers au respect du code de conduite
- Validation du code par l’instance dirigeante
- Annexion du code au règlement intérieur
- Communication du code aux membres du personnel
- Recensement des comportements à proscrire
- Présentation du dispositif d’alerte interne
- Présentation des sanctions disciplinaires
- Présentation du responsable de la conformité et des modalités de contact
- Code rédigé en des termes clairs et simples de compréhension
Cartographie des risques de corruption
- Couvre les processus managériaux, opérationnels et supports
- Prise en compte du contexte et particularités de l’organisation auditée
- Description des processus et scénarios de risques
- Prise en compte des risques inhérents aux organisations contrôlées (filiales…)
- Cartographie écrite et structurée
- Description des méthodes d’élaboration
- Description des mesures adoptées
- Description des rôles et responsabilités de chaque entité
- Évolutive et adaptable aux changements d’organisation
- Évaluation de la vulnérabilité de l’organisation
- Identification des probabilités d'occurrence
- Appréciation des facteurs aggravants
- Hiérarchisation des risques
- Proposition de plans d’action
Dispositif d’alerte interne
- Adapté au profil de l’organisation
- Présentation du rôle des supérieurs hiérarchiques dans le dispositif
- Identification des supérieurs hiérarchiques entrant dans le dispositif
- Formation des personnes impactées par la mise en œuvre du dispositif
- Présentation systématique du dispositif d'alerte interne aux nouveaux collaborateurs
- Déploiement du dispositif sur toutes les entités contrôlées
- Description des différentes étapes concourant au traitement des alertes
- Mise en place de mesures assurant la sécurité et la confidentialité du dispositif
- Description des mesures assurant le respect de la règlementation sur les données personnelles
- Formalisation des procédures d’enquêtes internes
- Obligations de confidentialité pour les personnes chargées de mener les enquêtes
- Modalités d’information de la direction pour les enquêtes internes
- Modalités de rédaction et de communication du rapport d’enquête
- Application des sanctions disciplinaires
- Modalités de signalement à l’autorité judiciaire des faits d’atteinte à la probité
- Présentation du dispositif dans le code de conduite
- Mise en place d'indicateurs de qualité et d’efficacité du dispositif d’alerte
Procédures d’évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires
- Évaluation individuelle des tiers
- Mise en place d’une base de données listant les tiers
- Identification des acteurs participant à l’évaluation des tiers
- Formalisation des procédures d’évaluations des tiers
- Recensement des documents et informations nécessaires à l’évaluation des tiers
- Modalités de collecte des documents et informations nécessaires à l’évaluation des tiers
- Recensement des coordonnées des tiers et des bénéficiaires effectifs
- Appréciation de la sensibilité du secteur d’activité des tiers
- Évaluation de l’expérience, des qualifications et des compétences des tiers, des dirigeants, des actionnaires et des bénéficiaires effectifs
- Obligation contractuelle du tiers à la mise en œuvre de dispositif de conformités anticorruption
- Modalités d’évaluation du niveau de risque des tiers
- Modalités de prise de décisions sur la continuité des relations avec les tiers
- Recensement des mesures de vigilance
- Mise en place d’un système de suivi du processus d’évaluation des tiers
Procédures de contrôles comptables
- Identification des rôles et responsabilités
- Identification de l’objet et du périmètre du contrôle
- Modalités d'échantillonnages des opérations à contrôler
- Mise en œuvre d’un plan de contrôle
- Gestion des incidents
- Définition de critères de seuils conduisant à la réalisation de contrôles
Sensibilisation destinée aux cadres et aux personnels les plus exposés
- Présentation des enjeux et des formes de corruption
- Présentation des obligations juridiques
- Présentation du code de conduite et de l'engagement de la direction
- Présentation des processus et risques
- Présentation des infractions d’atteintes à la probité
- Présentation des comportements à adopter
- Présentation des sanctions disciplinaires
- Présentation du dispositif d’alerte anticorruption
- Présentation des outils de détection de la corruption
- Présentation de cas pratiques
Régime disciplinaire
- Gradation des sanctions en fonction de la faute commise
- Documentation de la procédure
- Mise en place d’un recensement des sanctions
- Communication interne des sanctions anonymisées
Dispositif de contrôle des mesures anticorruption
- Mise en place de trois niveaux de contrôle
- Établissement d’un plan de contrôle
- Identification de l’objet et des périmètres de chaque contrôle
- Identification des responsables du contrôle
- Qualification des modalités de contrôle
- Définition de la fréquence des contrôles
- Communication des résultats du contrôle
- Identification des mesures correctives
- Évaluation de l’efficacité des mesures et procédures adoptées
- Formalisation des dispositifs de contrôle
Comment sont établis les livrables de l’audit anticorruption ?
Les réunions organisées avec l’entité auditée ou le commanditaire font l’objet systématiquement de PV d’entretiens. Ils sont partagés avec les personnes concernées afin de garantir l’exactitude des informations collectées.
À l’issue de la réunion de lancement, un rétroplanning est établi et partagé par le chef de projet. Il permet d’identifier les dates prévisionnelles de la revue documentaire, les dates des entrevues, les périodes de rédaction, les dates de réunions (état d’avancement et restitution) et la date de communication des livrables.
Des réunions sont planifiées avec les responsables du projet chez l’organisation auditée et éventuellement chez le commanditaire. Les membres du comité de pilotage sont également informés de l’état d’avancement au travers d’un compte-rendu hebdomadaire ou bimensuel. Les livrables sont rédigés de manière itérative et partagés en temps réel avec les membres du comité.
Nos rapports d’audit comprennent une synthèse d’évaluation, les résultats de la revue documentaire, un état des lieux à partir des entretiens réalisés, et les recommandations de mise en conformité avec la loi SAPIN II.
Nous communiquons également à l’organisation auditée des modèles de code de conduite, des procédures types, et un guide de réalisation de la cartographie des risques.