Cartographie des risques de corruption : le guide pratique pour PME et ETI

Vous êtes le dirigeant d’une PME ou d’une ETI qui vient de franchir les seuils de la loi Sapin 2 (100 millions d’euros de chiffre d’affaires et 500 salariés). Vous vous retrouvez alors face au premier pilier à déployer : la cartographie des risques de corruption. Les recommandations de l’Agence Française Anticorruption (AFA) sont claires ; cependant vos équipes sont déjà mobilisées sur leur quotidien et leurs projets… Vous n’avez pas de département compliance dédié, pas six mois devant vous, pas de budget illimité.

C’est malheureusement une situation que rencontrent beaucoup d’entreprises depuis la promulgation de la Loi Sapin 2 en 2017. Alors dans ce type de contexte, comment structurer une cartographie des risques de corruption robuste, conforme aux attentes de l’AFA, sans immobiliser votre organisation pendant des mois ?

La réponse tient en un mot : proportionnalité. L’AFA elle-même insiste sur ce principe dans ses recommandations de janvier 2021. Votre cartographie doit être adaptée à votre taille, à vos risques réels, à vos moyens.

Pourquoi la cartographie des risques est-elle le socle de tout votre dispositif anti-corruption ?

La cartographie des risques de corruption est le référentiel qui va structurer l’ensemble de votre dispositif Sapin 2. C’est un effort qui s’avère payant sur le long terme : contrairement à une cartographie générique qui force à déployer des dispositifs coûteux, non ciblés et peu efficaces, une cartographie précise et granulaire permet de rationaliser les efforts sur les autres piliers :

• Votre code de conduite intégrera des mises en situation issues des scénarios de corruption concrets et identifiés. Par exemple, il ciblera « un commercial propose-t-il des invitations à un agent public local pour accélérer une autorisation d’exploitation ? » au lieu d’un « versement de pots de vin » générique
• Votre dispositif d’évaluation des tiers se concentrera sur les typologies de fournisseurs ou partenaires identifiés comme les plus exposés. Selon votre cartographie, les due diligence pourront par exemple être renforcées sur vos intermédiaires commerciaux à l’export, en comparaison à vos fournisseurs de fournitures de bureau
• Vos formations devront être ciblées sur les populations réellement exposées. Plutôt que de former l’intégralité de vos 600 collaborateurs au même niveau, vous approfondirez par exemple les modules pour les directeurs commerciaux export, les responsables achats et les équipes en contact avec les autorités administratives
• Pour finir, vos contrôles comptables découleront directement des vecteurs de corruption identifiés (cadeaux, commissions, notes de frais) et des comptes comptables associés

Comment dimensionner une cartographie des risques réaliste et efficace ?

Étape 1 : Définir un casting stratégique

Il s’agit dans un premier temps de définir un casting stratégique. L’AFA sanctionne régulièrement les cartographies réalisées en vase clos, sans contribution des opérationnels exposés aux risques. Mais interviewer 50 personnes sur 2 heures chacune n’est pas viable pour une ETI, alors il faut privilégier un panel représentatif et ciblé. 10 à 15 contributeurs peuvent suffire pour une ETI de 500 à 1500 salariés, à condition qu’ils couvrent la diversité des métiers, des géographies et des processus exposés.

Au niveau du groupe, la direction générale, le directeur financier, le directeur commercial, le directeur des achats, le responsable juridique/compliance si existant, le DRH seront le plus souvent interrogés. Au niveau opérationnel, il faut cibler les managers des activités les plus exposées (par exemple, responsable export, responsable développement BtoB, responsable relations institutionnelles…). Interroger un panel de collaborateurs au contact direct des situations à risques est également apprécié. Pour finir, sur un plan géographique, il est conseillé d’interroger au moins un représentant des filiales situées dans des pays à risque élevé selon les indices de perception de la corruption (Transparency International).

Étape 2 : Elaborer une cartographie groupe structurée

Construisez d’abord une cartographie groupe qui identifie les parties prenantes externes (agents publics, clients, fournisseurs et prestataires, partenaires commerciaux…), les avantages indus potentiels (cadeaux et invitations, commissions et honoraires, notes de frais et déplacement professionnels, dons, mécénat, sponsoring, embauches et prestations favorisant des proches…), et les contreparties recherchées (obtentions de marchés ou de contrats, accélération de procédures administratives, modification de décisions réglementaires, accès à des informations confidentielles…).

Exemple concret : Une ETI industrielle avec des sites de production soumis à autorisation environnementale a identifié le scénario suivant : “Un responsable d’exploitation offre des invitations à des événements sportifs à un agent public pour accélérer le renouvellement d’une autorisation d’exploiter”. Ce niveau de précision permet de construire des dispositifs de maîtrise ciblés.

Étape 3 (optionnelle) : Décliner par périmètre opérationnel selon la criticité

Il est utile de rappeler en préambule qu’il n’y a aucune obligation de décliner la cartographie groupe. Si vous souhaitez une telle déclinaison, il faut se rappeler que toutes vos filiales ne présentent pas le même niveau d’exposition : pour vous permettre de concentrer vos ressources sur les zones à enjeux, une approche proportionnelle est de mise. Pour les filiales à risque élevé (pays avec score Transparency International < 45, activités sensibles, contacts fréquents avec le secteur public…), il est souvent judicieux d’adapter votre approche : entretiens dédiés avec le management local, revue des dispositifs de maîtrise spécifiques, et ajustement des scénarios groupe aux réalités locales. Pour les filiales à risque modéré ou faible, vous pouvez appliquer la cartographie du groupe en adaptant le questionnaire aux éventuelles spécificités.  Sauf anomalie détectée, les entretiens n’ont pas besoin d’être systématiques.

Comment évaluer objectivement les risques de corruption au sein d’une cartographie ?

L’un des reproches récurrents de l’AFA porte sur les “constructions à géométrie variable” : des évaluations de risques qui varient d’un contributeur à l’autre, sans grille de lecture commune. Une grille de lecture complète et rapide à lire repose sur 3 critères essentiels à associer à chaque risque : l’impact, la probabilité et le niveau actuel de maîtrise de vos processus.

Pour l’impact, privilégiez une échelle multicritère à 4 niveaux avec des seuils chiffrés.

Pourquoi intégrer la cartographie Sapin 2 dans votre cartographie globale des risques ?

Traiter la corruption comme un risque à part créé un silo. L’intégrer dans votre cartographie des risques d’entreprise, si vous en avez une, apporte deux avantages.

Tout d’abord, cela permet d’apporter une vision objective sur le niveau de priorité. En positionnant les risques de corruption sur la même matrice que vos risques opérationnels, stratégiques ou financiers, vous donnez à votre direction générale une vision consolidée. Si vos risques de corruption se situent en zone orange/rouge de votre matrice, l’allocation de moyens se justifie naturellement. S’ils sont en zone verte, vous pouvez dimensionner votre dispositif en conséquence.

Ensuite, cela vous permettra de mutualiser les efforts de cartographie. Dans le cas où vous réalisez déjà des exercices de cartographie des risques, alors plutôt que de lancer un chantier Sapin 2 totalement distinct, intégrez les risques de corruption dans le cycle annuel de revue des risques. Les contributeurs sont souvent les mêmes et la méthodologie est similaire, les calendriers peuvent ainsi se synchroniser.