Les Recommandations de l’Agence Française Anticorruption

By | February 23, 2018

L’Agence Française Anticorruption a émis à la fin de l’année 2017 un document très détaillé précisant ses recommandations destinées à aider les personnes morales de droit public et de droit privé à prévenir et à détecter les faits de corruption, de trafic d’influence, de concussion, de prise illégale d’intérêt, de détournement de fonds publics et de favoritisme.

Les entreprises françaises petites, moyennes ou grandes auraient tout intérêt à s’en imprégner et à mettre en place les directives et les outils permettant d’être en pleine conformité avec ces recommandations.

Les recommandations de l’Agence Française Anticorruption font en particulier l’objet de rubriques  thématiques dont les plus significatives pour une entreprise sont reproduites ci-après.

Engagement de l’instance dirigeante

L’engagement de l’instance dirigeante sur une politique de tolérance zéro envers tout comportement contraire à l’éthique, en général, et tout risque de corruption, en particulier, constitue un élément fondateur de la démarche de prévention et de détection de la corruption.

Cet engagement manifeste la volonté de l’instance dirigeante de l’organisation d’assurer et d’encourager des comportements et une éthique des affaires répondant à des règles strictes en matière d’intégrité, quand bien même la démarche de prévention et de détection de la corruption mise en œuvre nécessiterait la mobilisation de moyens spécifiques et serait susceptible d’affecter le fonctionnement de l’organisation.

1. Définition et objet de l’engagement de l’instance dirigeante

La mise en œuvre d’une stratégie de gestion des risques et d’un programme de conformité anticorruption s’appuie sur l’engagement des cadres dirigeants d’une organisation, d’y établir une culture d’intégrité, de transparence et de conformité.

Cet engagement se matérialise notamment par l’approbation du dispositif de prévention et de détection de la corruption mais également par le code de conduite de l’organisation. Le code de conduite anticorruption manifeste la décision de l’instance dirigeante d’engager l’organisation dans une démarche de prévention et de détection de la corruption, depuis le plus haut niveau.

2. Contenu de l’engagement de l’instance dirigeante

L’AFA recommande que l’engagement de l’instance dirigeante dans une politique de prévention et de détection de la corruption s’appuie sur quatre piliers.

2.1. L’adoption d’une politique de tolérance zéro face au risque de corruption

Au sein de l’organisation et vis-à-vis des tiers, l’instance dirigeante :

– érige la prévention et la détection des faits de corruption à un niveau prioritaire pour l’organisation ;

– veille à ce que les ressources allouées à la prévention et à la détection des faits de corruption soient proportionnées aux enjeux ;

– adopte une attitude ferme envers tout cas de corruption. L’élaboration d’un régime disciplinaire et l’application des sanctions concrétisent notamment cet engagement ;

– matérialise son engagement par la diffusion, en interne et en externe, de sa volonté de lutter contre la corruption ;

– mentionne, dans le code de conduite, que le recours à la corruption ne constitue pas une pratique utilisée par l’organisation dans ses affaires, dans ses relations avec ses partenaires privés ou publics, ou dans ses relations avec les usagers.

L’instance dirigeante s’engage en particulier à s’assurer, au moyen d’indicateurs et des rapports de contrôle et d’audit de l’organisation, que le dispositif anticorruption est organisé, efficace et à jour.

2.2. La prise en compte de l’anticorruption dans les procédures et politiques

Il est recommandé que des mesures anticorruption soient intégrées à l’ensemble des procédures et politiques de l’organisation, notamment :

– au sein des procédures de gestion des ressources humaines en s’assurant que la vérification de l’attachement au respect de pratiques éthiques est intégrée aux processus de recrutement et de nomination de l’ensemble des collaborateurs de l’organisation, notamment des cadres dirigeants. Elle devrait également être prise en compte dans la fixation de leurs objectifs annuels et l’évaluation de leur performance. Les initiatives des managers pour promouvoir la prévention et la détection de faits de corruption auprès de leurs équipes doivent être valorisées ;

– au sein du dispositif d’alerte visant notamment à rapporter des cas de corruption suspectés ou avérés, en garantissant au personnel que l’utilisation de cette procédure ou le refus des pratiques non conformes ne portera pas préjudice à leur déroulement de carrière, mais également que le recours à ces procédures ne fera pas l’objet de représailles, de discriminations ou de sanctions disciplinaires à leur égard ;

– au sein de toutes autres politiques et procédures en lien avec un processus défini comme à risque par la cartographie des risques de corruption.

2.3. La gouvernance du programme de prévention et de détection de la corruption

La gouvernance du programme de prévention et de détection de la corruption au plus haut niveau de l’organisation est un gage de crédibilité de la démarche et du volontarisme de l’instance dirigeante.

Celle-ci désigne un responsable de la conformité, chargé de piloter le déploiement, la mise en œuvre, l’évaluation et l’actualisation du programme de conformité anticorruption, en étroite coopération avec les parties prenantes de l’organisation. L’instance dirigeante valide formellement la stratégie de gestion des risques mise en œuvre sur le fondement de la cartographie des risques et s’assure de la mise en œuvre du plan d’actions retenu.

L’instance dirigeante s’assure également de l’adéquation des ressources allouées aux enjeux de la prévention et de la détection des faits de corruption. Dans ce cadre, elle identifie et organise, au sein de la chaîne hiérarchique, les responsabilités de chacun afin d’optimiser les effets de sa stratégie.

2.4. La mise en œuvre d’une politique de communication

L’AFA recommande l’adoption par l’organisation d’une politique de communication interne et externe adaptée à sa structure et à ses activités.

Il est ainsi recommandé de communiquer, auprès de l’ensemble du personnel et des partenaires extérieurs, sur la politique de prévention et de détection de la corruption adoptée par l’organisation, ainsi que sur les grands axes du programme de conformité.

La communication externe des grands axes de la politique de lutte contre la corruption de l’organisation contribuera à entraver les sollicitations internes et externes indues et favorisera le développement des bonnes pratiques et une harmonisation par le haut des pratiques éthiques.

Enfin, une action spécifique de communication pourra utilement être mise en œuvre afin de promouvoir le dispositif de formation aux risques de corruption.

Le code de conduite anticorruption

Le code de conduite anticorruption (quelle que soit la dénomination retenue par l’organisation en pratique) manifeste la décision de l’instance dirigeante d’engager l’organisation dans une démarche de prévention et de détection des faits de corruption. Il est clair, sans réserve et sans équivoque.

Il recueille les engagements et principes de l’organisation en cette matière. Il définit et illustre les différents types de comportements à proscrire comme étant susceptibles de caractériser des faits de corruption.

1. Contenu du code de conduite anticorruption

Le code de conduite anticorruption est introduit par l’instance dirigeante de l’organisation. Il rappelle ses valeurs et engagements en matière de prévention et de détection de la corruption. Ce portage favorise le développement d’une culture de la conformité, de l’éthique et de l’intégrité.

Le code de conduite contient des dispositions sur les types de comportements auxquels les collaborateurs sont susceptibles d’être confrontés du fait de l’activité de l’organisation. Il décrit les situations et comportements à proscrire. Cette description est appuyée d’illustrations pertinentes au regard de l’organisation concernée.

Le code de conduite peut renvoyer à des fiches « opérationnelles » (ou « processus », ou « procédures »…) le soin de définir, sur la base de la cartographie des risques, le détail opérationnel des comportements à respecter afin de maîtriser les situations à risques.

Le code de conduite n’est pas limité à un recueil de bonnes pratiques mais formule également des interdictions visant, dans le contexte particulier de l’organisation concernée, les usages constitutifs de manquements à la probité. A ce titre, il traite des cadeaux et invitations, des paiements de facilitations, des conflits d’intérêts, du mécénat, du sponsoring ainsi que, le cas échéant, de la représentation d’intérêts (lobbying).

Le code de conduite prévoit les conséquences disciplinaires sanctionnant les comportements proscrits et, plus généralement, les comportements non conformes aux engagements et principes de l’organisation en matière de prévention et de détection des faits de corruption. Lorsque ces conséquences disciplinaires sont prévues par le règlement intérieur, le code de conduite peut renvoyer à celui-ci.

Il présente le dispositif d’alerte interne destiné à recueillir les signalements émanant d’employés et relatifs à l’existence de conduites ou de situations contraires au code de conduite.

2. Champ d’application du code de conduite anticorruption

Le code de conduite est applicable à l’ensemble des collaborateurs de l’organisation.

Il est applicable et, le cas échéant décliné, partout où l’entité concernée exerce une activité y compris à l’étranger, sans préjudice de l’application de références anticorruption plus exigeantes le cas échéant.

3. Formes du code de conduite et communication

Le code de conduite est écrit. Il est rédigé en langue française, en termes simples et clairs afin de favoriser son appropriation par l’ensemble des collaborateurs. Il peut être prévu une traduction en une ou plusieurs langues étrangères afin que le code de conduite soit compris des personnels ressortissants des Etats étrangers.

Le code de conduite est communiqué en interne et constitue un des éléments auxquels sont formés les collaborateurs de l’organisation.

Il est par ailleurs possible d’incorporer le code de conduite dans un dispositif « d’éthique » au périmètre plus large que la stricte lutte anticorruption, aux conditions d’en permettre la parfaite lisibilité dans sa présentation ainsi que son intégration dans le règlement intérieur.

En tant qu’instrument de bonne gouvernance, le code de conduite peut être commun à l’ensemble des sociétés d’un même groupe à la condition que la mise en œuvre de cette possibilité n’entrave pas l’efficacité du code.

Le code de conduite sert également d’outil de communication externe dans les relations avec les clients, les usagers, les fournisseurs et, plus généralement, les partenaires de l’organisation concernée.

4. Articulation du code de conduite avec le règlement intérieur

Dans la mesure où il participe de la définition des comportements que les personnels doivent respecter, le code de conduite est intégré au règlement intérieur.

Lorsque l’organisation n’est pas soumise à l’obligation de disposer d’un règlement intérieur, en France ou à l’étranger, le code de conduite est remis aux membres du personnel ou leur est rendu accessible, selon les modalités déterminées par l’organisation pourvu que cette diffusion ou cet accès puisse être démontré. La diffusion ou l’accès porte sur une version complète et à jour du code.

5. Mise à jour du code de conduite anticorruption

Le code de conduite est mis à jour régulièrement et notamment après une actualisation significative de la cartographie des risques, par exemple à la suite d’une réorganisation ou d’une restructuration d’entreprise. Il comporte à cette fin une indication de sa date d’effet.

Le dispositif d’alerte interne

Corollaire du code de conduite anticorruption, le dispositif d’alerte interne permet le recueil des signalements émanant d’employés et relatifs à l’existence de conduites ou de situations contraires à ce code et susceptible que constituer des faits de corruption.

1. Objectifs du dispositif d’alerte interne

Le dispositif d’alerte interne est la procédure mise en œuvre par les organisations afin de permettre à leurs employés, de porter à la connaissance d’un référent anticorruption, un comportement ou une situation potentiellement contraire au code de conduite, d’y mettre fin et de les sanctionner le cas échéant.

Le dispositif d’alerte interne fait partie d’un dispositif complet de prévention et de détection de la corruption.

2. Mise en œuvre opérationnelle du dispositif d’alerte interne

L’AFA recommande que le dispositif d’alerte interne précise les points suivants :

  • –  le rôle du supérieur hiérarchique, qui doit pouvoir orienter et conseiller ses collaborateurs, sauf dans l’hypothèse où il est l’auteur du comportement incriminé ;

  • –  le référent fonctionnellement désigné pour recueillir les alertes au sein de l’organisation : cette fonction peut être extérieure à l’organisation ou être désignée en son sein par l’employeur ;

  • –  les dispositions prises pour garantir la confidentialité de l’identité de l’auteur du signalement, des faits objets du signalement et des personnes visées par le signalement, y compris lorsque des vérifications ou lorsque le traitement du signalement nécessitent la communication avec des tiers.Dans l’hypothèse d’une mise en cause d’une ou plusieurs personnes, l’organisation doit être vigilante quant à la réunion de preuves ou documents, notamment lorsque la ou les personnes mises en cause dans l’alerte peuvent détruire des données ou des documents compromettants ;

  • –  les modalités selon lesquelles l’auteur du signalement fournit, le cas échéant, les informations ou documents à l’appui de son signalement ;

  • –  les modalités d’échange avec l’auteur du signalement ;

  • –  les dispositions prises pour informer sans délai l’auteur du signalement de la réception deson alerte et du délai nécessaire à l’examen de sa recevabilité. Il est à ce titre recommandé de mentionner que l’accusé de réception ne vaut pas recevabilité du signalement ;

  • –  les dispositions prises pour informer l’auteur du signalement de la clôture de la procédure et, le cas échéant, les personnes visées par celui-ci ;

  • –  les dispositions prises pour détruire, si aucune suite n’a été donnée, et dans les deux mois suivant la clôture des vérifications, les éléments du dossier permettant d’identifier l’auteur du signalement et les personnes visées par le signalement ;

  • –  si un traitement automatisé des signalements est mis en place, après autorisation de la CNIL ;

– le cas échéant, la politique relative au traitement des signalements anonymes : à cet égard, il conviendra de préciser les conditions de traitement adaptées à la complexité des vérifications engendrées par l’anonymat.Par ailleurs, il est recommandé, lorsqu’un échange est possible, de dialoguer avec l’auteur d’un signalement anonyme, afin de pouvoir investiguer sur les faits dénoncés.

Les organisations disposant d’une direction de la conformité ou d’un déontologue peuvent s’appuyer sur les structures existantes afin de consolider les dispositifs déjà en place.

Les faits portés à la connaissance des instances dirigeantes par ces signalements doivent permettre d’actualiser la cartographie des risques, en respectant la confidentialité garantie par le dispositif.

3. Articulation possible avec le dispositif légal applicable aux lanceurs d’alerte

Le dispositif d’alerte interne se distingue des procédures à mettre en œuvre en matière de protection des lanceurs d’alerte en application des articles 6 à 16 de la loi n° 2016-1691 du9décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, et du mécanisme d’alerte et de recueil des signalements relatifs à l’existence ou à la réalisation des risques prévu par la loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre.

Dans la mesure où le dispositif d’alerte interne inclut des signalements portant sur les faits et risques prévus par les dispositions législatives susvisées, il est possible de mettre en place un seul et unique dispositif technique de recueil de ces signalements dans le respect de ces dispositions.

Dans ce cadre, le régime légal des lanceurs d’alerte nécessite de veiller à garantir la protection de leurs droits et notamment la stricte confidentialité de leur identité, mais également des faits objets du signalement et des personnes visées par le signalement. Il est en outre nécessaire d’ouvrir la possibilité de signalement aux collaborateurs extérieurs et occasionnels.

Si, dans le cadre de la mise en place d’un seul et unique dispositif technique de recueil, les organisations ne sont pas en mesure de discriminer les signalements relevant des différents dispositifs d’alerte, le régime légal des lanceurs d’alerte pourra être étendu à l’ensemble des signalements.

3. Une présentation synthétique des dispositions relatives aux lanceurs d’alerte est jointe en annexe.

Annexe
Présentation synthétique des dispositions relatives aux lanceurs d’alerte

Les articles 6 à 15 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique prévoient le statut général des lanceurs d’alerte.

Ces dispositions ne sont toutefois pas applicables aux faits, informations ou documents couverts par le secret de la défense nationale, le secret médical ou le secret des relations entre un avocat et son client.

1. Définition des lanceurs d’alerte

Aux termes de l’article 6 de la loi du 9 décembre 2016, « un lanceur d’alerte est une personne physique qui révèle ou signale, de manière désintéressée et de bonne foi, un crime ou un délit, une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice graves pour l’intérêt général, dont elle a eu personnellement connaissance. »

La loi permet de caractériser un lanceur d’alerte au moyen de cinq caractéristiques cumulatives :

– il s’agit d’une personne physique : une personne morale (exemple : association, syndicat professionnel …) ne peut donc pas être considérée comme lanceur d’alerte et est exclue du champ d’application de la loi du 9 décembre 2016 ;

– le lanceur d’alerte a personnellement connaissance des faits qu’il signale : il ne s’agit donc pas de rapporter des faits constatés par autrui mais de rapporter des faits que l’on a personnellement constatés et dont on pense raisonnablement qu’ils constituent des faits relevant de l’article 6 susvisé ;

– le lanceur d’alerte agit de manière désintéressée : il ne bénéficie d’aucun avantage et n’est pas rémunéré en contrepartie de sa démarche. Le soutien que le lanceur d’alerte est, le cas échéant, susceptible de rechercher s’il se sentait menacé (exemple : accompagnement par un syndicat de représentants du personnel) ne remet pas en cause l’absence d’intéressement à la démarche ;

– le lanceur d’alerte agit de bonne foi : au moment où il effectue le signalement, les faits signalés doivent présenter les apparences d’un fait de corruption de sorte qu’a posteriori, il ne puisse être reproché au lanceur d’alerte d’avoir cherché à nuire à autrui.

Il est à cet égard rappelé que l’auteur d’allégations qu’il sait fausses ne peut être considéré comme « de bonne foi » et encourt les poursuites prévues par la loi à l’encontre des auteurs de dénonciations calomnieuses (article 222-10 du code pénal).

– les faits révélés sont graves : ce critère s’apprécie au regard de la loi, qui mentionne un crime ou un délit, une violation grave et manifeste d’un engagement international pris par la France, ou d’un acte d’une organisation internationale pris sur ce fondement, ou une menace ou un préjudice graves pour l’intérêt général. Les délits de corruption répondent à ce critère de gravité.

2. Les procédures de signalement des alertes
2.1. La procédure ordinaire de signalement des alertes

Nonobstant la mise en place d’un dispositif de recueil des signalements, toute personne souhaitant signaler des faits mentionnés à l’article 6 de la loi du 9 décembre 2016 les porte à la connaissance de son supérieur hiérarchique, direct ou indirect, ou d’un référent désigné par l’employeur.

Toute personne peut également adresser son signalement au Défenseur des droits afin d’être orientée vers l’organisme approprié de recueil de l’alerte.

Si ce signalement n’a pas fait l’objet de diligences de la personne destinataire dans un délai raisonnable, le lanceur d’alerte pourra, dans un deuxième temps, s’adresser à l’autorité judiciaire, à l’autorité administrative ou aux ordres professionnels.

A cet égard, des signalements portant sur des manquements à l’article 17 de la loi du 9 décembre 2016 ou sur des faits de corruption pourront être adressés directement à l’AFA. L’Agence communiquera le cas échéant ces derniers faits au procureur de la République compétent en application de l’article 40 du code de procédure pénale.

Enfin, à défaut de traitement dans un délai de trois mois du signalement par l’un des organismes saisis, le signalement pourra être rendu public.

2.2 La procédure d’urgence de signalement des alertes

En cas de danger grave et imminent ou en présence d’un risque de dommages irréversibles, le signalement relatif à des faits mentionnés à l’article 6 de la loi du 9 décembre 2016 peut être adressé directement à l’autorité judiciaire, à l’autorité administratives ou aux ordres professionnels. Il peut également être rendu public.

3. La protection des lanceurs d’alerte

Pour l’essentiel, cette protection est la suivante :

  • –  le lanceur d’alerte est pénalement irresponsable dès lors que les critères de définition fixés par la loi n° 2016-1691 du 9 décembre 2016 sont remplis, que la divulgation de l’information « est nécessaire et proportionnée à la sauvegarde des intérêts en cause » et qu’elle intervient dans le respect des procédures de signalement des alertes (article 122-9 du code pénal) ;

  • –  qu’il soit salarié ou agent public, civil ou militaire, le lanceur d’alerte ne peut être licencié, sanctionné ou discriminé d’aucune manière pour avoir signalé des faits dans le respect de la procédure de signalement des alertes (article L 1132-3-3 du code du travail ; article 6 ter A alinéa 2 de la loi n° 83-634 du 13 juillet 1983 ; article L. 4122-4 alinéa 2 du code de la défense).

La cartographie des risques

Indispensable levier de pilotage des risques de corruption, la cartographie des risques constitue le socle de la stratégie de gestion des risques. Elle est mise en œuvre par les organisations afin d’appréhender les facteurs susceptibles d’affecter leurs activités et leur performance, dans l’objectif de se prémunir contre les conséquences juridiques, humaines, économiques et financières que pourrait générer une vigilance insuffisante.

En cartographiant leurs risques, les organisations créent les conditions d’une plus grande connaissance et donc d’une meilleure maîtrise de ces risques.

Par ailleurs, la cartographie des risques contribue à la sécurisation des interactions avec l’écosystème et des modèles économiques dans la mesure où :

– elle implique de disposer d’une connaissance précise des risques internes et externes de l’organisation et, à ce titre, des processus4 managériaux, opérationnels et support que les activités nécessitent de mettre en œuvre ;

– elle nécessite d’identifier les rôles et responsabilités des acteurs concernés à tous les niveaux de l’organisation.

1. Définition et objectifs de la cartographie des risques de corruption

La cartographie des risques de corruption se définit comme la démarche d’identification, d’évaluation, de hiérarchisation et de gestion des risques de corruption inhérents aux activités de l’organisation.

La cartographie des risques de corruption vise deux séries d’objectifs croisés :

– d’une part, identifier, évaluer, hiérarchiser et gérer les risques de corruption pour garantir un programme de conformité anticorruption efficace et adapté au modèle économique des organisations concernées ;

– d’autre part, informer l’instance dirigeante et donner aux personnes en charge de la conformité, la visibilité nécessaire pour la mise en œuvre de mesures de prévention et de détection proportionnées aux enjeux identifiés par la cartographie.

2. Caractéristiques de la cartographie des risques de corruption

La cartographie des risques est :

– complète dans la mesure où elle couvre « de bout en bout » les processus managériaux, opérationnels et support mis en œuvre par les organisations dans le cadre de leurs activités. Elle identifie les risques de corruption en prenant en compte les particularités propres à chaque organisation : secteurs d’activité, zones géographiques, parties prenantes, métiers et processus.

Pour cette raison, la démarche de cartographie nécessite de faire participer les acteurs maîtrisant les processus, à différents niveaux hiérarchiques, des cadres dirigeants aux équipes opérationnelles ;

4. Dans le cadre des présentes recommandations, la notion de processus s’entend d’un ensemble de tâches corrélées ou en interaction qui visent à la satisfaction d’un besoin managérial, opérationnel ou support.

– formalisée c’est-à-dire qu’elle prend la forme d’une documentation écrite, structurée, synthétique. Elle doit pouvoir être présentée sans délai aux agents de l’AFA ;

– évolutive eu égard à la nécessité de réévaluer les risques de manière périodique, en particulier chaque fois qu’évolue un élément important de l’organisation. A la faveur de son actualisation, la cartographie participe d’un processus d’amélioration continue permettant aux organisations de renforcer la maîtrise de leurs risques.

3. Une méthodologie en six étapes

La cartographie des risques de corruption procède d’une analyse objective, structurée et documentée des risques de corruption auxquels une organisation est exposée dans le cadre de ses activités. La description fait ressortir l’impact des risques (gravité) et leur probabilité d’occurrence (fréquence), les éléments susceptibles de les accroître (facteurs aggravants), et les réponses apportées ou à apporter, dans le cadre d’un plan d’actions.

Dans ce contexte, afin d’identifier, d’évaluer et de gérer les risques de corruption, il est recommandé de respecter les six étapes ci-après.

1ère étape : clarifier les rôles et les responsabilités dans l’élaboration, la mise en œuvre et la mise à jour de la cartographie des risques.

Au sein des organisations, les rôles et responsabilités sont répartis comme suit :

– l’instance dirigeante prend la décision et endosse seule la responsabilité, au nom de l’organisation, d’engager une démarche de lutte contre le risque de corruption. Cette responsabilité ne peut être déléguée.

Par son engagement clair, sans réserve et sans équivoque, l’instance dirigeante promeut une culture de la conformité et de la transparence indispensable à l’évaluation des risques. La cartographie des risques de corruption lui est communiquée, par exemple à l’occasion d’un comité dédié. L’instance dirigeante valide la cartographie et appuie la stratégie de gestion des risques mise en œuvre sur son fondement.

L’instance dirigeante veille à ce que les ressources allouées à la lutte contre la corruption soient proportionnées aux enjeux. Elle garantit que les acteurs de la conformité anticorruption disposent des moyens humains et financiers suffisants pour exercer leurs responsabilités.

– le responsable de la conformité est désigné par l’instance dirigeante. Il n’est pas nécessaire que cette fonction soit confiée à une entité exclusivement dédiée à cette responsabilité pourvu que la personne désignée rende compte à l’instance dirigeante et dispose d’un positionnement hiérarchique adapté. Il bénéficie – pour sa mission de conformité – par ailleurs, à l’égard des services, d’une indépendance fonctionnelle réelle, des compétences et des moyens nécessaires à l’exercice de sa fonction.

Le responsable de la conformité ainsi désigné pilote le déploiement, la mise en œuvre, l’évaluation et l’actualisation du programme de conformité anticorruption, en étroite coopération avec les parties prenantes de l’organisation.

L’instance dirigeante impulse l’exercice de la cartographie des risques et donne les moyens de sa mise en œuvre au responsable de la conformité. Celui-ci pilote l’élaboration de la cartographie des risques, en accompagnant l’organisation dans l’audit des métiers, des fonctions et des processus, dans l’identification des risques de corruption induits, et dans la mise en œuvre de mesures préventives adéquates.

A l’issue de son élaboration, le responsable de la conformité communique la cartographie des risques à l’instance dirigeante. Celle-ci valide la stratégie de gestion des risques mise en œuvre sur son fondement. Enfin, l’instance dirigeante s’assure de la mise en œuvre du plan d’actions retenu.

– les responsables des processus managériaux, opérationnels et support (exemples: le responsable commercial, le responsable des achats …) contribuent à l’élaboration et à la mise à jour de la cartographie des risques. Ils rendent compte des risques spécifiques au périmètre relevant de leur responsabilité afin qu’en soient tirées les conséquences sur la probabilité d’occurrence, les potentiels facteurs aggravants et la cotation des risques.

– le responsable des risques définit la méthodologie utilisée pour identifier, analyser et hiérarchiser les risques de corruption. Il travaille en étroite collaboration avec le responsable de la conformité et rend compte à l’instance dirigeante de la mise en œuvre de la stratégie de gestion des risques.

– les personnels apportent leur contribution à l’exercice de cartographie en rendant compte des facteurs spécifiques aux fonctions exercées et aux risques encourus afin qu’en soient tirées les conséquences sur la probabilité d’occurrence, les potentiels facteurs aggravants et la cotation des risques.

2ème étape : identifier les risques inhérents aux activités des organisations concernées

Cette étape vise à dresser la typologie des risques à laquelle les organisations sont exposées dans le cadre de leurs activités.

Il ne s’agit pas de décliner la typologie théorique des risques auxquelles ces organisations sont exposées mais de procéder à un état des lieux précis permettant d’identifier, de manière circonstanciée et documentée, les risques qui leur sont propres.

De ce fait, le recensement des risques inhérents aux activités nécessite, outre la connaissance de l’organisation et des rôles impartis, une analyse fine des processus mis en œuvre au sein de l’organisation concernée.

Dans ce cadre, la cartographie des risques veille à prendre en considération l’intervention des tiers à l’organisation concernée, dans la mesure où cette intervention peut occasionner une exposition à une sollicitation aux fins de corruption (facteur de risque). Afin de prévenir le risque de sollicitation externe, l’organisation met par ailleurs en œuvre de procédures d’évaluation des tiers adaptées au niveau de risque (« due diligences »).

3ème étape : évaluer l’exposition aux risques de corruption

Cette étape vise à évaluer le niveau de vulnérabilité de l’organisation en cause pour chaque risque identifié à l’étape précédente. Il s’agit ici d’identifier les risques « bruts » auxquels cette organisation est exposée du fait de ses activités, c’est-à-dire les risques considérés en amont des moyens de prévention mis en œuvre.

Ce niveau de vulnérabilité est évalué au moyen de trois indicateurs :

– une analyse des facteurs ou sources de risques : pays ou secteur d’activité sensible, nature des opérations, nouveau produit, contrat à haute valeur commerciale et/ou particulièrement complexe, interactions avec les tiers, pression commerciale, faiblesse du contrôle interne, environnement fortement compétitif, opérations de fusions-acquisitions, entrée et sorties de marchés, cessions d’actifs, association avec un nouveau partenaire stratégique, définition d’objectifs commerciaux … ;

– une probabilité d’occurrence déterminée à l’aide des informations les plus complètes et les plus adaptées à la spécificité du risque identifié (exemple : historique des incidents) ;

– une appréciation des facteurs jugés aggravants par l’application, par exemple, de coefficients de gravité.

Afin d’optimiser la lecture de la cartographie des risques, il est recommandé d’y annexer la méthodologie de calcul des risques « bruts », ainsi que les définitions retenues. Les procédures d’identification et de classification des risques adoptées peuvent également être annexées.

4ème étape : évaluer l’adéquation et l’efficacité des moyens visant à maîtriser ces risques

Cette étape vise à évaluer le niveau de maîtrise par l’organisation des risques de corruption afin de déterminer les risques « nets » ou « résiduels » auxquels elle est exposée du fait de ses activités. Il s’agit donc de réévaluer les risques « bruts » en prenant en considération les moyens de prévention mis en œuvre.

Il convient dès lors, à ce stade d’élaboration de la cartographie, d’évaluer l’efficacité des mesures de prévention existantes afin de maîtriser les risques. Cette évaluation sera fonction de la structuration des dispositifs en place et du bilan tiré de leur mise en œuvre.

Afin d’optimiser la lecture de la cartographie des risques, il est recommandé d’y annexer la méthodologie de calcul des risques « nets » ou « résiduels » ainsi que les définitions retenues. Les procédures d’identification et de classification des risques adoptées peuvent également être annexées.

Exemple de tableau d’aide à l’évaluation d’un dispositif de prévention :

5ème étape : hiérarchiser et traiter les risques « nets » ou « résiduels »

Une fois les risques de corruption « nets » ou « résiduels » déterminés, il convient de les hiérarchiser en distinguant les risques pour lesquels le niveau de contrôle interne est considéré comme suffisant pour avoir une assurance raisonnable que le risque est maîtrisé et ceux pour lesquels l’instance dirigeante souhaite améliorer la maîtrise du risque et renforcer le contrôle interne.

Une fois cette limite d’acceptabilité fixée et définie dans la procédure annexe, il s’agit de déterminer, dans le cadre de la stratégie de gestion des risques, les mesures à mettre en œuvre afin de corriger les lacunes du dispositif de prévention et ainsi limiter la probabilité d’occurrence et le défaut d’anticipation de facteurs aggravants.

Sur la base de ces éléments, un plan d’actions sera élaboré. Le calendrier et les modalités de mise en œuvre de ce plan d’action, ainsi que son suivi et les modalités de compte rendu associés, sont confiés à la responsabilité d’acteur(s) précisément désigné(s).

6ème étape : formaliser la cartographie et la tenir à jour.

La cartographie des risques est écrite et structurée. Son résultat est présenté de manière synthétique. A cet égard, il est rappelé que la forme de la cartographie des risques facilite son appropriation comme outil de pilotage des risques de corruption.

Au choix de l’organisation, la documentation peut être organisée par métier, par processus, par entité ou par zone géographique. Elle est accompagnée d’une annexe décrivant les modalités d’élaboration de la cartographie des risques et la méthodologie de classification des risques de corruption.

Enfin, la nécessité d’actualiser la cartographie est évaluée chaque année. En tout état de cause, la cartographie des risques de corruption est mise à jour en fonction de l’évolution de l’activité. Parmi les évènements nécessitant de réévaluer la cartographie: l’évolution du modèle économique, de nouveaux processus ou leur transformation, un changement affectant l’organisation (exemples : mise en œuvre d’un nouvel organigramme, fusion-acquisition …), une évolution significative du contexte réglementaire ou économique.

Procédures d’évaluation des tiers

En tant qu’acteur évoluant dans un secteur d’activité donné, l’organisation est en relations d’affaires avec différentes parties tierces (clients, fournisseurs, intermédiaires, sous-traitants…). Si elle n’est pas suffisamment vigilante sur l’intégrité des tiers avec lesquelles elle est en relation, l’organisation peut se trouver impliquée, plus ou moins directement, dans des affaires de corruption.

Le risque pour l’organisation est juridique, commercial et financier. Son image et sa réputation peuvent également être affectées. Il convient dès lors qu’elle mette en œuvre des procédures d’évaluation afin de s’assurer que ses tiers présentent des garanties suffisantes en termes d’intégrité.

Les procédures d’évaluation des tiers se traduisent par la mise en œuvre d’évaluations consistant, sur le fondement de la cartographie des risques de corruption, à apprécier le risque spécifique induit par la relation entretenue ou qu’il est envisagé d’entretenir avec un tiers donné. Ces évaluations sont également connues sous les termes de « due diligences ». Elles n’excluent pas que l’organisation puisse prendre d’autres mesures prudentielles par ailleurs (exemple: introduction dans le contrat d’une clause spécifique compte tenu du secteur d’activité du co- contractant).

1. Définition des évaluations

Les évaluations sont définies sur le fondement de la cartographie des risques. Elles se traduisent par la collecte d’informations et de documents sur un tiers afin d’identifier (ou d’actualiser) et d’apprécier les risques de corruption auxquels s’expose l’organisation qui entre en relation ou poursuit une relation avec ce tiers.

Ces évaluations sont effectuées avant que la relation ne soit formellement engagée. En cours de relation, elles sont mises à jour périodiquement (selon une fréquence prédéfinie en fonction du niveau de risque), en cas d’évènements impactant ou de nature à impacter le niveau de risque du tiers. Ce cas de figure se produit notamment en cas de fusions-acquisitions, de modification des statuts, de changement de direction.

2. Objectifs des évaluations

Les évaluations ont une double finalité :

  • –  d’une part, de permettre de décider d’entrer en relation avec un tiers, de poursuivre une relation en cours ou d’y mettre fin ;

  • –  d’autre part, d’optimiser l’efficacité des mesures de prévention et de détection de la corruption mises en œuvre sur le fondement de la cartographie des risques et de l’évaluation des tiers.

3. Champ d’application des évaluations : les tiers concernésLes évaluations portent sur les tiers avec lesquels l’organisation est en relation ou entre en relation, en priorité sur ceux identifiés dans la cartographie des risques comme présentant un risque de corruption.

Le périmètre des évaluations qu’il est recommandé d’effectuer est donc plus large que celui prioritairement fixé par l’article 17-II-4 de la loi n° 2016-1691 du 9 décembre 2016 relative à la lutte contre la corruption et à la modernisation de la vie économique5.

La démarche d’évaluation implique de cartographier l’ensemble des tiers – discriminés selon leur nature, leur statut, leur taille – afin d’identifier ceux auxquels des procédures d’évaluation devront être appliquées et adaptées en fonction du niveau de risque.

La mise en place d’une base de données informatisée recensant les tiers6, si ce n’est d’un système d’information, en faciliterait le traitement et la gestion.

Bien que compatibles, les évaluations qu’il est recommandé de mettre en œuvre doivent être distinguées des obligations de vigilance à l’égard de la clientèle auxquelles sont assujetties les personnes définies à l’article L. 561-2 du code monétaire et financier dans le cadre de la lutte contre le blanchiment des capitaux et le financement du terrorisme (article L.561-1 et suivants du code monétaire et financier).

4. Modalités des évaluations

 Les acteurs participant aux évaluations
Au sein de l’organisation, les évaluations font intervenir trois niveaux d’acteurs :

  • –  le niveau opérationnel, qui réalise les évaluations et qui en est responsable, collecte les informations et documents utiles à l’évaluation des tiers avec lesquels il est ou est appelé à être en relation. Il émet une première appréciation. Cette appréciation vaut décision dans les cas considérés comme peu risqués ;

  • –  le responsable de la conformité (ou tout autre responsable désigné) apporte son expertise et ses conseils au niveau opérationnel. Il accompagne le niveau opérationnel dans l’appréciation des cas les plus risqués ;

  • –  l’instance dirigeante décide des suites à donner aux cas les plus risqués que lui communique le niveau opérationnel.L’articulation interne entre ses différents niveaux doit permettre d’obérer le risque d’erreur opérationnelle, de conflit d’intérêt et de fraude.L’organisation peut, en tant que de besoin, avoir recours à des prestataires externes, notamment lorsqu’elle n’est pas en mesure d’obtenir par elle-même les informations ou documents, ou lorsque le tiers réside et/ou intervient dans un pays où l’organisation n’est pas implantée.

 Les informations et documents utiles

La nature des informations et des documents utiles est déterminée par l’organisation, sur le fondement de sa cartographie des risques de corruption, de son modèle économique et de ses enjeux. A titre indicatif, les évaluations peuvent inclure :

  • –  la collecte d’informations au moyen de la consultation de listes internes à l’organisation ;

  • –  la collecte d’informations en sources ouvertes, de documents publics ou à disposition du public (exemples : articles de presse, états financiers, décisions de justice lorsqu’elles sont publiées…). Circonscrit aux clients, aux fournisseurs de premier rang et aux intermédiaires.

    6. Dans le respect des principes et procédures édictés par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

  • –  la vérification de la présence du tiers ou de ses bénéficiaires effectifs7, de ses dirigeants ou de ses administrateurs, sur les listes des personnes physiques et morales sanctionnées, (notamment la liste des personnes exclues des marchés publics financés par les banques de développement ainsi que la liste des personnes sous sanctions financières et internationales des ministères économiques et financiers) ;

  • –  la vérification de la présence éventuelle de personnes politiquement exposées au sein du tiers ou de ses bénéficiaires effectifs, de ses dirigeants ou de ses administrateurs ;

  • –  la collecte d’informations dans des bases de données payantes ;

  • –  la collecte d’informations et de documents auprès du tiers, au moyen par exemple d’unquestionnaire, d’un entretien, d’un audit, d’un processus interne d’agrément ou de certification.

5. Contenu des évaluationsL’organisation s’assure, en particulier pour les prestataires ou intermédiaires, que le recours au tiers est justifié et que sa prestation répond à un besoin avéré. Elle identifie également les raisons qui conduisent à retenir ce tiers et pas un concurrent. Par exemple, constitue une alerte pour une entreprise le fait que le tiers soit recommandé ou imposé par le client.Au-delà, il est recommandé de vérifier les points ci-après, dans le respect des réglementations applicables notamment celles relatives à la protection des données personnelles, à la lutte contre le blanchiment et au droit de la concurrence…

 Identité

L’organisation recense les principaux éléments d’identité du tiers : nom, raison ou dénomination sociale, nature juridique de la structure, date de création, effectifs, chiffre d’affaires, capital, secteur(s) d’activité, domaines de compétences (notamment pour les intermédiaires et prestataires de services), implantation(s) géographique(s).

 Actionnariat

L’organisation identifie les noms, prénoms des principaux actionnaires ainsi que les bénéficiaires effectifs, c’est-à-dire toute personne physique ou morale possédant directement ou indirectement plus de 25 % du capital ou des droits de vote ou à défaut la personne exerçant un contrôle sur les organes de direction et de gestion dans le cas des sociétés et organismes de placements collectifs (article R 561-1 et R 561-2 du code monétaire et financier).

 Risque pays

Dans le cadre de l’élaboration de la cartographie des risques, il est recommandé d’apprécier la sensibilité des pays au risque de corruption au regard de l’expérience de l’organisation. En complément, ce risque peut être apprécié au moyen notamment :

  • –  de la liste des pays sous sanctions financières et internationales publiée par les ministères économiques et financiers ;

  • –  des rapports de suivi de l’OCDE concernant la mise en œuvre de la convention sur la corruption d’agents publics étrangers dans les transactions commerciales dans les pays signataires ;

  • –  de l’indice de perception de la corruption (CPI) publié chaque année par l’organisation non-gouvernementale Transparency International.

7. Soit la ou les personnes physiques qui contrôle, directement ou indirectement, le tiers.

Lors de l’évaluation, le risque pays est déterminé en fonction du niveau de sensibilité du pays du lieu de résidence d’une part, et des pays d’enregistrement du tiers et de ses activités, d’autre part. Par exemple, l’enregistrement du tiers dans un Etat non coopératif ou dans un pays à législation non équivalente peut être défini comme un facteur de risque lors de l’évaluation du niveau de risque du tiers.

 Secteur d’activité

L’organisation met en place une procédure d’évaluation de la sensibilité des secteurs d’activité au regard du risque de corruption. Cette liste sectorielle est mise à jour régulièrement, notamment en fonction de la cartographie des risques de corruption et de l’expérience tirée par l’organisation de ses activités. En complément, la liste indicative publiée par l’organisation non- gouvernementale Transparency International (Transparency International Bribes Payer Index Report 2011, dernière version en date) pourra être utilisée.

Lors de l’évaluation, le risque sectoriel est fixé en fonction du niveau de sensibilité des secteurs d’activité dans lesquels le tiers réalise une part de ses revenus.

 Expertise
L’organisation s’assure que le tiers (intermédiaire ou prestataire) dispose de l’expérience, des

qualifications et des compétences nécessaires à la réalisation de sa mission.

A ce titre, l’organisation peut demander au tiers de lui communiquer les références professionnelles qu’elle jugera nécessaire en fonction des données déjà recueillies (date de constitution, date du lancement de l’activité…).

Le manque de qualification ou d’expérience peut être défini comme un facteur aggravant lors de l’évaluation du niveau de risque du tiers. L’organisation s’assure également que la rémunération est cohérente au regard de son expertise et des prestations réalisées.

 Intégrité et réputation

L’organisation recherche si le tiers, ses dirigeants, ses principaux actionnaires et ses bénéficiaires effectifs font ou ont fait l’objet d’informations défavorables, d’allégations, de poursuites ou de condamnations pour des faits délictueux en général, de corruption en particulier. Le niveau de risque du tiers est modulé en fonction du résultat de ses investigations.

 Conformité

L’organisation recherche si ce tiers a développé un dispositif de conformité anticorruption. Le fait que le tiers ne communique pas sur la mise en place d’un tel dispositif et ne le documente pas peut être défini comme un facteur de risque lors de l’évaluation du niveau de risque du tiers.

 Coopération

Le comportement du tiers est pris en compte dans l’évaluation du risque : le fait que le tiers refuse de fournir ou tarde à fournir les informations ou documents demandés peut être défini comme un facteur de risque lors de l’évaluation du niveau de risque du tiers.

 Nature et objet de la relation
L’organisation définit avec précision les conditions d’exécution du contrat, le niveau de risque

du tiers étant à moduler en fonction de la nature et de l’objet de la relation contractuelle.

Ainsi, certaines relations comportent un risque aigu de corruption comme, par exemple, le cas d’un tiers ayant pour mission d’assister l’organisation dans l’obtention de contrats : d’une part, l’organisation peut inciter le tiers à se livrer à des pratiques non conformes de façon à contourner son programme de conformité anticorruption ; d’autre part, le tiers peut se livrer à de telles pratiques de sa propre initiative, sans que l’organisation n’en soit informée.

 Autres intervenants

L’organisation peut évoluer dans un écosystème regroupant plusieurs intervenants, sans pour autant être liée avec chacun d’entre eux (exemple : chaînes contractuelles). Dans ce cas, il est recommandé de s’assurer que les tiers avec lesquels l’organisation est liée, effectuent l’évaluation de leurs propres tiers.

Il est également recommandé d’apprécier le niveau du risque du tiers en fonction du canal de distribution utilisé et/ou de la présence d’intermédiaire.

D’une manière générale, le niveau de risque du tiers est modulé en fonction de la nature des autres intervenants et de leur propre niveau de risque.

 Interaction avec des agents publics ou des personnes politiquement exposées (PPE)

Les relations public/privé présentent un risque identifié en termes de corruption. Il est pertinent que l’organisation identifie les interactions que le tiers peut avoir avec des agents publics, en recueillant leur nom et prénom, a fortiori lorsqu’il s’agit de personnes politiquement exposées.

La présence de personnes politiquement exposées au sein du tiers constitue un facteur de risque lors de l’évaluation du niveau de risque du tiers.

 Aspects financiers en jeu
L’établissement d’une relation financière de longue durée et/ou à forte valeur peut constituer un

facteur de risque lors de l’évaluation du niveau de risque du tiers.

Par ailleurs, la devise est également un élément à prendre en considération du fait de l’extraterritorialité de certaines législations anticorruption étrangères.

 Modalités de rémunération

S’agissant des fournisseurs, prestataires et intermédiaires, le montant de la rémunération est cohérent avec la nature et l’ampleur des biens ou services vendus par le tiers, et conforme au prix du marché. Si une incohérence était relevée, l’évaluation s’interrompt le temps d’en justifier les raisons.

Le versement de commissions liées à l’obtention de contrats constitue un facteur de risque lors de l’évaluation du niveau de risque du tiers.

 Modalités et flux des paiements

La localisation du compte bancaire du tiers peut constituer un facteur aggravant lors de l’évaluation du niveau de risque du tiers (par exemple, si le compte bancaire est domicilié dans un Etat non coopératif).

De plus, l’organisation s’assure que les modalités de paiement demandées sont conformes aux pratiques habituelles. Les paiements en espèces, les paiements transfrontaliers ou n’appartenant pas au tiers en cause, les paiements effectués sur présentation de factures non détaillées constituent des facteurs de risque lors de l’évaluation du niveau de risque du tiers. C’est-à-dire les personnes physiques qui exercent ou ont exercé d’importantes fonctions publiques au sein de leur pays, d’un pays étranger ou d’une organisation internationale.

6. L’évaluation du niveau de risque du tiers

Le niveau de risque résultant de l’évaluation est déterminé en deux étapes consécutives :

  • –  une évaluation (ou notation) basée sur des critères objectifs et quantifiables (sanctions, secteur d’activité, date de création…) ;

  • –  la prise en compte d’éléments qualitatifs nécessitant une analyse ou un jugement (facteurs aggravants, coopérations…).Le niveau de risque résultant de l’évaluation à l’issue de la première étape peut ainsi être modifié, à la hausse ou à la baisse, par la prise en compte des éléments qualitatifs.Au total, les tiers évalués sont classés par niveau de risque (exemple : risque faible, risque moyen, risque élevé).

7. Conclusions à tirer des évaluations

À la suite de l’évaluation du niveau de risque, il est décidé :

  • –  d’approuver la relation – avec ou sans réserves ;

  • –  de mettre un terme à la relation ou de ne pas l’engager ;

  • –  de reporter la prise de décision (pour cause d’évaluations complémentaires, par exemple).La décision est prise par les acteurs appropriés en fonction notamment du stade de la relation d’affaires (entrée en relation ou renouvellement…), de la catégorie à laquelle appartient le tiers et de son niveau de risque (cf. point 4 ci-avant).L’absence de facteurs de risque en suite d’évaluation ne garantit pas que la relation avec le tiers soit absolument dénuée de risque. A l’inverse, l’identification de facteurs de risques n’interdit pas la relation, mais doit conduire l’organisation à prendre les mesures appropriées de prévention et de détection de la corruption.7.1. Mesures de prévention du risque de corruptionCompte tenu du fait que les mesures de prévention et de détection de la corruption doivent être adaptées à l’environnement de chaque organisation, il revient à cette dernière de définir les mesures qu’elle juge cohérentes avec son modèle économique.Dans ce cadre, l’organisation peut utilement envisager l’une ou plusieurs des options suivantes :

  •   informer le tiers de l’existence de son programme anticorruption en communiquant, par exemple, le code de conduite ;

  •   former ou sensibiliser le tiers au risque de corruption ;

  •   exiger du tiers un engagement écrit de lutte anticorruption.A cet égard, des clauses anticorruption peuvent être intégrées dans les contrats considérés à risque, ce type de clauses permettant de mettre un terme à la relation contractuelle en cas de manquement à la probité ;

  •   exiger du tiers qu’il vérifie l’intégrité de ses sous-traitants afin de sécuriser la chaine contractuelle.7.2. Suivi de la relation avec le tiersLa relation avec le tiers fait l’objet d’un suivi afin de prévenir et de détecter des faits de corruption.Dans le cadre des relations contractuelles, des dispositions spécifiques décrivent les prestations réalisées par l’organisation ou par le tiers, ainsi que la rémunération et les modalités de paiement.

A cet égard, l’organisation doit avoir une visibilité complète sur les paiements reçus de tiers ou effectués aux tiers afin de s’assurer que la rémunération et les modalités de paiement sont conformes aux dispositions contractuelles. Les services financiers alertent le responsable de la conformité ou tout autre responsable désigné lorsque des modalités anormales de paiement sont exigées (exemple : des paiements en espèces ou un changement de localisation du compte bancaire vers un Etat non-coopératif).

Le processus de renouvellement sera l’occasion de s’assurer que le tiers a respecté ses engagements anticorruption tout au long de la relation.

7.3. Renouvellement et mise à jour de l’évaluation du tiers

Le processus d’évaluation est reconduit de manière périodique, en fonction de la catégorie et du risque du tiers. A ce titre, il est utile de fixer, lors de toute entrée en relation, une date de renouvellement.

Un changement significatif dans la situation du tiers comme, par exemple, une fusion-acquisition donne lieu, en parallèle du processus de renouvellement, à une nouvelle évaluation de celui-ci.

Une simple mise à jour des éléments qualitatifs est possible, lorsque l’organisation recueille, en cours de relation, des informations qui n’impactent pas son niveau de risque.

8. Les contrôles du processus d’évaluation des tiers

Le contrôle du processus d’évaluation des tiers s’articule en :

  •   un contrôle dit de « premier niveau » effectué par les opérationnels, visant à s’assurer de la complétude et de la cohérence des évaluations ;

  •   un contrôle dit de « deuxième niveau », assuré par le responsable de conformité ou tout autre responsable désigné, ayant pour objectif de vérifier la bonne exécution des contrôles de premier niveau;

  •   un contrôle dit de « troisième niveau », effectué par l’audit interne, assurant que le dispositif d’évaluation des tiers est conforme aux exigences de l’organisation et est efficacement mis en œuvre et tenu à jour.

9. Indicateurs sur le dispositif d’évaluation des tiers

Il est recommandé de mettre en place un suivi du dispositif d’évaluation des tiers. Ce suivi peut comprendre notamment :

  •   des indicateurs portant sur les évaluations réalisées ;

  •   des indicateurs de renouvellement traçant le respect des fréquences de révision desévaluations des tiers;

  •   des résultats des contrôles de premier et de deuxième niveau ;

  •   des indicateurs de renouvellement prioritaire, suite à un plan ponctuel de régularisationissu des contrôles de deuxième et de troisième niveau, consistant à traiter les cas échus ou non conformes.L’ensemble de ces indicateurs et résultats peuvent, en fonction de leur objet, être transmis à la hiérarchie et au responsable de la conformité ou tout autre responsable désigné.10. Conservation des informations et documents relatifs à l’évaluation des tiersL’intégralité du dossier d’évaluation du tiers ainsi que l’historique des modifications sont à conserver pendant 5 ans après la cessation de la relation d’affaires (ou après la date d’une opération occasionnelle).

Les procédures de contrôles comptables, outils de prévention et de détection de la corruption

La comptabilité d’une organisation est un outil d’évaluation contenant et présentant des informations sur son activité ainsi que sur les éléments de son patrimoine incorporel, matériel et financier. Les écritures comptables sont saisies, classées, retraitées et agrégées en vue de produire des documents retraçant fidèlement le détail des opérations.

Les procédures de contrôles comptables contribuent à sécuriser les organisations et participent à la maîtrise des risques en général et des risques de corruption en particulier. Elles constituent à ce titre un instrument de prévention et de détection des faits de corruption à prendre en compte dans le cadre de la stratégie de gestion des risques.

1. Définition des procédures de contrôles comptables

Les procédures de contrôles comptables regroupent l’ensemble des dispositifs organisés, formalisés et permanents, choisis par l’instance dirigeante de l’organisation et mis en œuvre afin de maîtriser le fonctionnement de ses activités financières et patrimoniales. Ces procédures portent sur les traitements de l’information comptable.

2. Objectifs des procédures de contrôles comptables

Les procédures de contrôles comptables ont pour objectifs :

– d’améliorer la maîtrise des activités de l’organisation concernée, l’efficacité et l’exhaustivité des opérations qu’elle réalise et l’utilisation des ressources qu’elle y consacre afin de sauvegarder ses actifs et sa trésorerie (sécurisation des transactions par exemple), en veillant notamment à prendre en compte les risques opérationnels, financiers ou de conformité ;

– de s’assurer, en application de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, que la comptabilité est tenue de sorte qu’elle ne présente pas le risque de masquer des faits de corruption.

Ces procédures permettent d’avoir l’assurance raisonnable de la qualité de l’information comptable. Elles garantissent la régularité9, la sincérité10 et la fidélité11 des opérations comptables et financières.

Les procédures de contrôles comptables sont un instrument assurant que l’information sur la situation financière et patrimoniale de l’organisation considérée et la gestion de celle-ci sont fiables.

9. En application du principe comptable de régularité, les comptes d’une organisation doivent être établis par référence à des principes et règles comptables définis par les textes législatifs et réglementaires.
10. En application du principe comptable de sincérité, les comptes d’une organisation doivent être établis de bonne foi et traduire fidèlement la connaissance que les responsables de l’établissement des comptes ont de la réalité des événements enregistrés.

11. La fidélité qualifie la traduction qui doit être faite, dans les documents comptables, des opérations, du résultat des opérations, de la situation financière et du patrimoine de l’organisation.

Les objectifs des procédures de contrôles comptables peuvent être représentés comme suit :

Dès lors, s’assurer que la comptabilité soit tenue de sorte qu’elle ne présente pas le risque de masquer des faits de corruption n’implique pas de créer une procédure comptable complémentaire. Il convient donc d’intégrer le fait que le risque de dissimulation de faits de corruption est l’un des risques que font courir l’irrégularité, l’insincérité et l’infidélité des documents comptables. Les personnes chargées de vérifier que les documents comptables ne sont pas manipulés doivent avoir conscience de ce risque et de l’enjeu attaché de prévention et de détection des faits de corruption.

3. Articulation des contrôles comptables et des audits comptables

Les procédures de contrôles comptables mises en œuvre prennent la forme de contrôles et/ou d’audits :

  • –  les contrôles regroupent l’ensemble des dispositifs formalisés et permanents mis en œuvre par les responsables de tous les niveaux afin de maîtriser les risques inhérents aux activités des organisations. Ces contrôles contribuent à la présentation fidèle des comptes ;

  • –  les audits se définissent comme les activités exercées de manière indépendante qui donnent une assurance sur le degré de maîtrise des opérations et apporte un conseil pour l’améliorer. Les audits visent à s’assurer que les dispositifs de contrôle sont efficaces.Les contrôles comptables et les audits comptables sont donc complémentaires.

4. Modalités de mise en œuvre des procédures de contrôles comptables

Les procédures de contrôles comptables peuvent être mises en œuvre :

  • –  en interne, par les services comptables et financiers ou par des services spécialisés (centres de services partagés, contrôle de gestion …) que l’organisation mobilise à cette fin ;

  • –  en externe, par les entités que l’organisation mandate à cette fin.

    En interne comme en externe, il est recommandé de mettre en œuvre des contrôles dits de« premier niveau », de « deuxième niveau » et de « troisième niveau ». 4.1 Les contrôles de premier niveauLes contrôles de premier niveau sont généralement effectués par les personnes en charge de la saisie et de la validation des écritures comptables. Ces personnes s’assurent que les écritures sont convenablement justifiées et documentées (en particulier les écritures manuelles).

Afin de limiter le risque lié à l’auto-contrôle, il est recommandé de s’assurer que les écritures comptables à risque soient examinées et validées par un collaborateur indépendant de celui qui en a effectué la saisie.

Il est également possible de prévoir qu’une validation croisée entre collaborateurs suffit pour des écritures inférieures à un certain seuil défini et, qu’au-delà, les écritures nécessitent une validation par la hiérarchie ou, inversement, être portées directement au contrôle de deuxième niveau.

4.2 Les contrôles de deuxième niveau

Les contrôles de deuxième niveau, réalisés par des personnes indépendantes de celles ayant réalisées les contrôles de premier niveau, sont répartis tout au long de l’année. Ils permettent de s’assurer de la qualité du système comptable et ainsi alimenter la cartographie des risques sur ce point.

Ces contrôles visent à s’assurer de la bonne exécution des contrôles de premier niveau et du bon fonctionnement des procédures de contrôles comptables. Ainsi, lors des contrôles par sondage, l’échantillon retenu doit être représentatif des risques inhérents au système comptable de l’organisation (population des écritures manuelles, niveau d’habilitation et séparation des tâches, par exemples).

Les résultats du contrôle de deuxième niveau donnent lieu à une synthèse conclusive incluant, en cas d’anomalies, la définition d’actions correctives.

4.3 Les contrôles de troisième niveau

L’efficacité des procédures de contrôles comptables est évaluée régulièrement dans le cadre de contrôles de troisième niveau, également appelés « audits internes ».

Ces audits ciblés et planifiés couvrent l’ensemble des dispositifs comptables afin de s’assurer, que les procédures de contrôles comptables sont conformes aux exigences de l’organisation, efficacement mises en œuvre et tenues à jour.

Dans ce cadre, les contrôles de troisième niveau apprécieront notamment la pertinence :

  • –  de la gouvernance et des ressources allouées aux procédures de contrôles comptables ;

  • –  de la méthode d’élaboration et de l’application des contrôles de premier niveau et de deuxième niveau ;

  • –  de la prise en compte, dans les contrôles comptables, du risque de corruption.Le choix d’internaliser les procédures de contrôles comptables, de les externaliser ou de cumuler les deux est laissé à la libre appréciation de l’organisation. Cependant, il est impératif que les procédures de contrôles comptables soient appliquées à tous les niveaux de l’organisation. Si, pour des raisons propres à la structure du groupe ou de la personne morale, certaines entités n’entrent pas dans le processus de contrôle général, il est recommandé de mettre au point des contrôles spécifiques pour celles-ci en veillant à les adapter à leurs activités.Les contrôles comptables externes peuvent être réalisés par un auditeur externe à l’occasion de l’accomplissement des audits de certification de comptes prévus à l’article L. 823-9 du code du commerce.Dans cette hypothèse, il convient de distinguer cette possibilité de l’obligation pour les sociétés anonymes, les sociétés en commandite simple et les sociétés par actions, de nommer un commissaire aux comptes chargé du contrôle des comptes12.

12. Lorsque ces sociétés dépassent certains seuils variant selon leur statut juridique.

En effet, aux termes de l’article L 823-9 du code de commerce, « les commissaires aux comptes certifient, en justifiant de leurs appréciations, que les comptes annuels sont réguliers et sincères et donnent une image fidèle du résultat des opérations de l’exercice écoulé ainsi que de la situation financière et du patrimoine de la personne ou de l’entité à la fin de cet exercice. »

La certification des comptes comptables est la principale mission des commissaires aux comptes. Le rapport de certification rendu dans le cadre de cette mission vérifie :

  • –  la conformité et régularité des comptes par rapport au plan comptable général ;

  • –  la sincérité des comptes (loyauté et bonne foi dans l’établissement des comptes) ;

  • –  l’image fidèle de l’entreprise (principe de prudence, traduction financière de la réalité).A l’occasion de ces vérifications et dans l’objectif qui leur est assigné de contribuer à la prévention des difficultés éventuelles de l’organisation auditée, les commissaires aux comptes participent à la prévention et à la détection de la corruption. Du reste, ils doivent révéler au Procureur de la République les faits délictueux – y compris les faits de corruption – dont ils ont connaissance au cours de leur mission.

5. Le contenu des contrôles comptables

Il est rappelé que les contrôles comptables visent à vérifier la réalité des opérations comptables, leur conformité aux lois et règlements ainsi qu’aux procédures définies par l’organisation, la proportionnalité des montants et des opérations, l’origine ou le destinataire du paiement, etc.

Dans ce cadre, il convient de contrôler les droits d’accès au système de saisie comptable (habilitations) en s’assurant que ces droits respectent le principe de séparation des tâches.

A cet égard, le système comptable doit :

  • –  donner la possibilité de distinguer les écritures manuelles13 des écritures générées automatiquement ;

  • –  identifier le service et le collaborateur ayant passé et validé l’écriture ;

  • –  permettre la conservation des écritures extournées ;

  • –  mettre à disposition les listes/journaux d’écritures permettant de recenser les écritures manuelles comptabilisées par journée/par service ;

  • –  disposer de système bloquant (par exemple, en cas de déséquilibre des écritures ou de tentative de suppression d’écriture).Par ailleurs, certaines opérations identifiées comme à risques en application de la cartographie des risques, doivent être ciblées dans le cadre du plan de contrôle des livres, registres et comptes.Peuvent ainsi être ciblées :

  • –  les opérations telles que les dons, les legs, le sponsoring, le mécénat, les honoraires et les commissions, les frais de représentation et les frais de marketing, les cadeaux et invitations, etc. ;

  • –  les flux atypiques (exemple : comptes d’attente ou transitoires) ;

  • –  les opérations exceptionnelles ou à enjeu (exemple : acquisition d’une société) ;

  • –  les opérations liées au recours à des tiers tels que des intermédiaires ou des consultants ;

  • –  les flux financiers ou de matière vers des comptes ou des tiers présentant un niveau de risque élevé.13. Il est rappelé que toute écriture comptable doit s’appuyer sur une pièce justificative datée et approuvée, comporter un libellé précis permettant de comprendre la nature de l’opération et toute référence nécessaire justifiant son traitement.

Le dispositif de formation aux risques de corruption

Vecteur de la culture d’intégrité au sein de l’organisation, un dispositif interne de formation efficace et adapté favorise une large diffusion des engagements en matière de lutte contre la corruption pris par l’instance dirigeante, leur appropriation par les collaborateurs et la constitution d’un socle de connaissances commun aux personnels exposés.

Si le dispositif de formation aux risques de formation s’adresse prioritairement aux cadres et personnels les plus exposés, il est recommandé d’organiser une sensibilisation de l’ensemble des personnels.

Il peut par ailleurs être pertinent de sensibiliser aux enjeux de la prévention et de la détection de la corruption, les personnes chargées d’administrer l’organisation, notamment à la faveur des changements de gouvernance.

1. Les personnes à former

Sur le fondement de la cartographie des risques de corruption établie par l’organisation, le responsable des ressources humaines identifie, avec l’aide du responsable de la conformité (ou tout autre responsable désigné), les cadres et les personnels les plus exposés aux risques de corruption c’est-à-dire les personnes en charge des processus à risque. Il peut s’agir, en particulier, des cadres et des personnels en relation avec des tiers exposés (commerciaux, acheteurs, etc.).

Au-delà de ces personnes à former en priorité, il est recommandé d’élaborer et de mettre en œuvre un plan de formation/sensibilisation plus global afin que l’ensemble des collaborateurs de l’organisation, indépendamment de leur exposition aux risques, soit progressivement formé à la prévention et à la détection des faits de corruption.

2. Contenu des formations

Le contenu des formations varie selon que ces formations s’adressent aux cadres et aux personnels les plus exposés aux risques de corruption ou à d’autres catégories de personnes.

Ce contenu est adapté à la nature des risques de corruption, aux fonctions exercées et aux zones géographiques d’activité de l’organisation. Il est actualisé régulièrement, en lien avec la mise à jour de la cartographie des risques.

2.1. Les formations destinées aux cadres et aux personnels les plus exposés

Ces formations visent à ce que les cadres et les personnels les plus exposés s’approprient le dispositif anticorruption de l’organisation et contribuent à prévenir et à détecter les faits de corruption.

La réalisation de cet objectif implique une compréhension et une connaissance :

  • –  des processus et des risques induits ;

  • –  des diligences à accomplir pour réduire ces risques ;

  • –  des comportements à adopter face à une sollicitation indue ;

  • –  des sanctions disciplinaires encourues en cas de pratiques non-conformes.

Ces formations portent sur :

  • –  l’engagement de l’instance dirigeante et le code de conduite ;

  • –  la corruption en général, ses enjeux et ses formes;

  • –  les obligations juridiques applicables et les sanctions afférentes ;

  • –  le dispositif de conformité anticorruption ;

  • –  le comportement à adopter, le rôle et les responsabilités de chacun face à des faits decorruption.En complément, des formations thématiques sont dispensées, en lien avec des activités à risques spécifiques à l’organisation identifiés dans la cartographie des risques (par exemple, la commande publique).Une formation spécifique est consacrée au recueil des signalements de conduites contraires au code de conduite et aux alertes éthiques (article 6 à 16 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique), à leur transmission au service compétent pour les traiter et aux obligations des responsables hiérarchiques dans le cadre des règles relatives au dispositif d’alerte interne.

2.2. Les formations destinées aux autres personnes

Ces formations portent, par exemple, sur :

  • –  l’engagement de l’instance dirigeante et le code de conduite ;

  • –  la corruption en général, ses enjeux, ses formes et les sanctions afférentes ;

  • –  le comportement à adopter, le rôle et les responsabilités de chacun face à des faits decorruption.

3. Modalités des formations

Les formations peuvent être assurées par l’organisation ou être mises en œuvre par un organisme extérieur, sous le contrôle de l’organisation.

Les formations sont mises en œuvre sur des supports adaptés, en présentiel et/ou en ligne (e- learning). Elles doivent être accessibles et dispensées dans une langue comprise par les publics auxquels elles s’adressent.

Il est recommandé de dispenser en présentiel les formations destinées aux cadres et aux personnels les plus exposés. Ces formations s’appuient notamment sur des cas pratiques et des scenarii personnalisés par public et adaptés selon les risques de corruption identifiés au sein de l’organisation. Des membres de l’organisation peuvent être invités à faire partager leur expérience en la matière, leurs réactions et les conclusions qu’ils en ont tirées.

Les formations à distance peuvent être utilisées en complément des formations en présentiel. Elles peuvent également être utilisées pour sensibiliser les publics les moins exposés aux risques de corruption.

Les cadres s’assurent que leurs équipes ont suivi et compris les formations à l’anticorruption. L’accomplissement des formations peut être pris en compte dans l’évaluation des collaborateurs.

4. Contrôle du dispositif de formation

Pour garantir la qualité et l’efficacité du dispositif de formation, la mise en place d’un contrôle à trois niveaux est recommandée :

– les contrôles de « premier niveau », effectués par l’encadrement, s’assurent que les équipes ont bien suivi et compris les formations spécifiques à la lutte contre la corruption ;

  • –  les contrôles de « deuxième niveau », effectués par le responsable de la conformité ou tout autre responsable désigné, visent à s’assurer de la bonne exécution des contrôles de premier niveau et du bon fonctionnement du dispositif de formation spécifique à la prévention et à la détection des faits de corruption. Il s’agit notamment de vérifier que les différents types, formats, et fréquences des modules de formation prévus dans le dispositif ont été respectés ;

  • –  les contrôles de « troisième niveau », effectués par l’audit interne, visent à s’assurer que le dispositif de formation a bien été mis en œuvre et se révèle efficace.

5. Indicateurs sur le dispositif de formation

Il est recommandé de mettre en place des indicateurs afin d’assurer le suivi du dispositif de formation. A ce titre, le taux de couverture ou d’accès à la formation des populations ciblées peut constituer un indicateur pertinent.

Dans l’hypothèse d’une externalisation des formations, le responsable de la conformité (ou tout autre responsable désigné) doit non seulement être informé du calendrier de formation et du contenu pédagogique, mais doit en outre contrôler le déploiement du dispositif et les indicateurs associés.

Dispositif de contrôle et d’évaluation interne

Afin de s’assurer de l’adéquation et de l’efficacité des mesures de prévention et de détection de la corruption mises en œuvre sur le fondement de sa cartographie des risques de corruption, il est utile que l’organisation développe un dispositif de contrôle et d’évaluation interne.

Ce dispositif répond à quatre objectifs :

  • –  contrôler la mise en œuvre des mesures de prévention et de détection de la corruption et tester leur efficacité14 ;

  • –  identifier et comprendre les manquements dans la mise en œuvre des procédures ;

  • –  définir des recommandations ou autres mesures correctives adaptées, si nécessaire, en vued’améliorer l’efficacité du programme de conformité anticorruption ;

  • –  détecter, le cas échéant, des faits de corruption.Les contrôles et évaluations internes visent à vérifier que le dispositif mis en place est opérationnel et adapté au risque de corruption. Ils visent également à identifier, le cas échéant, les points à améliorer.

1. Définition et mise en œuvre des contrôles de premier niveau

L’organisation met en œuvre des mesures de prévention et de détection de la corruption adaptées aux risques identifiés dans sa cartographie des risques de corruption. Ces mesures sont déployées dans le cadre des processus de l’organisation et sont mises en œuvre au quotidien par l’ensemble des collaborateurs.

Les contrôles de premier niveau visent à s’assurer que les tâches inhérentes à un processus opérationnel ou support ont été effectuées conformément aux procédures édictées par l’organisation. Ces contrôles peuvent être opérés par les équipes opérationnelles ou support (auto-contrôles ou rétro-contrôles) ou par la hiérarchie (contrôles hiérarchiques). A cette fin, les équipes concernées doivent connaître les points de vigilance et les contrôles à effectuer. Il est donc indispensable que les contrôles de premier niveau apparaissent dans les procédures.

Les manquements identifiés dans le cadre des contrôles de premier niveau doivent être signalés au responsable conformité (ou tout autre responsable désigné) qui identifiera après analyse les mesures correctives à mettre en œuvre.

2. Définition et mise en œuvre des contrôles de deuxième niveau

Les contrôles de deuxième niveau visent à s’assurer de la bonne exécution des contrôles de premier niveau et du bon fonctionnement du dispositif de prévention et de détection de la corruption dans son ensemble.

Le responsable de la conformité (ou tout autre responsable désigné) élabore un plan de contrôle de deuxième niveau couvrant l’ensemble du dispositif de prévention et de détection de la corruption. Ce plan de contrôle fait notamment apparaître une description succincte des points clés des contrôles, le dispositif et la famille de risque associés ainsi que les dates prévisionnelles ou de réalisations des contrôles accolées à leurs résultats.

14. Il est à cet égard rappelé qu’en application de l’article 17-II de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, les sociétés et les établissements publics à caractère industriel et commercial cités par le I de cet article mettent en place « un dispositif de contrôle et d’évaluation interne des mesures mises en œuvre. »

Il est recommandé de préciser, pour chacun des contrôles :

  •   le périmètre du contrôle ;

  •   le ou les responsables en charge du contrôle ;

  •   la méthode de contrôle (type de mesure, de pièces justificatives, d’analyse, etd’évaluation) ;

  •   la fréquence du contrôle ;

  •   la communication des résultats du contrôle et des mesures correctives potentielles.Les contrôles réalisés sont documentés et les pièces relatives à ces contrôles conservées. Dans le cadre de ses prérogatives de contrôle, l’AFA pourra demander la production de la documentation conservée.

3. Définition et mise en œuvre des contrôles de troisième niveau

L’efficacité des mesures de prévention et de détection de la corruption est évaluée régulièrement dans le cadre des contrôles de troisième niveau, également appelés « audits internes ». Ces audits internes visent à s’assurer que le dispositif de prévention et de détection de la corruption est conforme aux exigences de l’organisation, efficacement mis en œuvre et tenu à jour.

3.1. Définition du programme d’audit

L’organisation définit, sur le fondement de la cartographie des risques, un programme d’audit. Ce programme est formalisé et identifie les fonctions de l’organisation impliquées dans le dispositif de contrôle. Il est donc essentiel que les auditeurs puissent s’appuyer sur ces personnes et ces fonctions. Dans ce cadre, pourra être en particulier appréciée la pertinence :

  • –  de la gouvernance et des ressources allouées au dispositif de prévention et de détection de la corruption ;

  • –  de la méthode d’élaboration de la cartographie des risques de corruption et du code de conduite retenue, ainsi que de leur application ;

  • –  des règles ayant prévalu dans la définition du dispositif d’évaluations des tiers, ainsi que de leur application ;

  • –  de l’architecture du dispositif d’alerte interne, ainsi que de son fonctionnement concret. 3.2. Sélection des auditeurs internesLes auditeurs internes ont pour mission d’évaluer de manière objective et indépendante la mise en œuvre des mesures anticorruption, de détecter les éventuels manquements et de proposer des mesures correctives pertinentes en vue d’améliorer l’efficacité du programme de conformité de l’organisation.En conséquence, les auditeurs internes doivent disposer de l’autorité utile à l’exercice de leur mission. Ils doivent également témoigner des compétences requises et disposer des moyens nécessaires pour réaliser le programme d’audit annuel. Ils ont accès à la documentation appropriée et aux sites de l’organisation et peuvent s’entretenir directement avec les collaborateurs.En complément, l’organisation peut choisir de faire appel à des auditeurs externes.3.3. Réalisation des audits internesLes modalités d’audit sont définies par l’organisation en fonction de sa taille et de ses risques. Ces audits peuvent être étendus aux filiales, en fonction des risques identifiés d’exposition à la corruption. Les audits ainsi réalisés dans le cadre du dispositif de contrôle et d’évaluation interne doivent être documentés et conservés.

Les manquements liés à la mise en œuvre des procédures – et potentiellement signalés par les contrôles de premier niveau et de deuxième niveau – sont analysés afin d’en identifier l’origine et d’y remédier. Les mesures de prévention et de détection de la corruption peuvent être insuffisamment connues, jugées trop complexes, trop contraignantes, non pertinentes ou inadaptées. Les manquements peuvent également résulter d’une mauvaise organisation, d’une mauvaise gestion, d’un manque de moyens, de communication ou de formation des collaborateurs.

Les audits permettent également d’identifier de nouveaux risques nécessitant une mise à jour de la cartographie des risques et une adaptation des processus.

Si les audits internes révèlent des mécanismes d’exposition à la corruption ou des faits de corruption consommés, les auditeurs en informent le responsable de la conformité (ou tout autre responsable désigné) et l’instance dirigeante afin qu’une enquête interne soit menée. Si les faits sont avérés, l’instance dirigeante devrait en informer les autorités compétentes, en cohérence avec ses engagements (cf. recommandation relative à l’engagement de l’instance dirigeante dans la prévention et la détection des faits de corruption).

3.4. Rédaction du rapport d’audit

Les audits internes donnent lieu à la rédaction d’un rapport circonstancié et documenté relatant les éventuels manquements et détaillant les mesures correctives ainsi que les recommandations proposées. Ce rapport doit être communiqué de manière formelle à l’instance dirigeante.

L’instance dirigeante s’assure que les recommandations sont effectivement mises en œuvre. Elle contribue par ailleurs à développer la culture de l’audit interne au sein de l’organisation en allouant les ressources nécessaires à la mise en œuvre du dispositif de contrôle et d’évaluation interne et en encourageant le partage des retours d’expérience qui a pour finalité :

  • –  d’éviter que le sujet de la corruption ne soit ignoré ou minimisé ;

  • –  de rappeler les comportements vertueux à adopter ;

  • –  de favoriser l’identification des risques par les collaborateurs ;

  • –  de renforcer l’appropriation par les collaborateurs des mesures de prévention et dedétection de la corruption ;

  • –  d’encourager les collaborateurs à signaler des techniques ou des faits de corruption dans le cadre du dispositif d’alerte interne.

Agence Française Anticorruption