Contrôles comptables Sapin 2 : Top 4 des pièges à éviter

Quand la conformité devient un terrain miné

En 2023, 86% des entreprises contrôlées par l’Agence Française Anticorruption (AFA) présentaient des manquements sur le pilier contrôles comptables. Ce chiffre illustre une réalité que les directions financières connaissent bien : neuf ans après l’entrée en vigueur de la loi Sapin 2, le chantier des contrôles comptables reste une épine dans le pied de nombreux groupes.

Pour un CFO de grande entreprise, ce constat soulève une question stratégique : comment structurer un dispositif de contrôles comptables anti-corruption qui soit à la fois conforme aux attentes réglementaires, et opérationnellement viable ? Entre multiplicité des ERP, volumes de données exponentiels et coordination d’acteurs aux compétences hétérogènes, les pièges sont nombreux.

Dans la mise en place des contrôles comptables Sapin 2, quels sont les écueils les plus coûteux et surtout, quels sont les leviers concrets pour les éviter ?

1 – Décorréler les contrôles de la cartographie des risques

L’AFA sanctionne régulièrement les dispositifs de contrôles comptables considérés comme “hors sol”, c’est-à-dire qui sont décorrélés de la réalité des risques de l’entreprise. Cette déconnexion prend plusieurs formes :

• Des contrôles génériques transposés depuis des référentiels externes, mais sans adaptation aux scénarios de corruption spécifiques de l’organisation
• Une absence de lien documenté entre les vecteurs de corruption identifiés (cadeaux, commissions, honoraires) et les points de contrôle comptables mis en place
• Des périmètres de contrôle inadaptés, qui ne couvrent pas les comptes ou les flux les plus exposés selon la cartographie

Pour éviter ces écarts, la cartographie des risques de corruption doit constituer le socle du plan de contrôle. Concrètement, chaque scénario de corruption doit être identifié puis explicitement traduit en contrôles, avec un mapping documenté et traçable. Cette matrice risques-contrôles est un argument de poids face à l’AFA, car elle prouve que le dispositif mis en place n’est pas générique, mais bel et bien construit sur une analyse précise des risques réels.

Par exemple, si la cartographie révèle un risque élevé sur les commissions versées aux apporteurs d’affaires, le dispositif devra inclure :

• Des contrôles de premier niveau sur les validations contractuelles
• Des contrôles de deuxième niveau sur les comptes “622 -honoraires/commissions” avec analyse des tiers inhabituels
• Une revue analytique des variations identifiées comme atypiques sur ces comptes

Pour finir, la cartographie doit être actualisée en continu et évoluer avec les activités de l’entreprise, les géographies, les modes opératoires… Les contrôles comptables doivent suivre le rythme de la société, et non pas celui de la clôture annuelle.

2 – Sous-estimer la complexité de l’exécution opérationnelle des contrôles comptables

Les deux principaux freins observés dans la mise en œuvre des contrôles comptables sont :

• Les ressources humaines et les compétences nécessaires
• Le temps requis pour l’exécution des contrôles

Cette réalité se heurte à une autre : dans les grandes entreprises, les équipes comptables sont déjà sollicitées sur de multiples chantiers (clôtures, migration d’ERP, reporting ESG, transformation digitale…). Les ressources deviennent alors un véritable goulot d’étranglement, et “ajouter une couche de contrôles Sapin 2” sans repenser l’organisation crée une surcharge difficilement absorbable par les équipes. Alors, comment structurer l’exécution pour qu’elle soit viable ?

1 – Clarifier les trois lignes de défense dès la conception. Les contrôles de premier niveau (validation des notes de frais, approbation des cadeaux) relèvent des opérationnels et de la comptabilité. Ils s’inscrivent dans le flux quotidien. Les contrôles de deuxième niveau (échantillonnages, revues analytiques, investigations ciblées) nécessitent une indépendance vis-à-vis du premier niveau. Dans une grande organisation, ces contrôles peuvent être portés par la direction du contrôle interne groupe, la compliance pour les transactions sensibles, et/ou les contrôleurs financiers, pour les contrôles proches du processus comptable. Les contrôles de troisième niveau sont du ressort de l’audit interne. Ils consistent à vérifier périodiquement que les contrôles de premier et deuxième niveau sont pertinents au regard des risques à couvrir, effectifs, bien documentés, et que les anomalies détectées donnent effectivement lieu à des actions correctives. Ce niveau apporte l’assurance indépendante sur la robustesse globale du dispositif.

2 – Dimensionner les moyens selon la criticité. Sur les filiales à risque élevé (zones géographiques sensibles, activités exposées), privilégiez des revues semestrielles ou trimestrielles approfondies. Sur les entités à faible criticité, une revue bisannuelle ou annuelle (voire même en rotation pluriannuelle) peut suffire. Cette proportionnalité, attendue par l’AFA, permet d’allouer les ressources plus intelligemment.

3 – Outiller pour absorber les volumes. Un groupe avec de nombreuses filiales, des ERP différents et des centaines de milliers voire millions d’écritures annuelles ne peut pas piloter ses contrôles Sapin 2 sur Excel. Les solutions d’analyse de données permettent de traiter 100% des flux, d’identifier automatiquement les atypiques (écritures sans libellé, comptes divers, utilisateurs inhabituels) et de concentrer les efforts humains sur l’investigation, et non pas sur la manutention de données.

3 – Négliger la documentation et la traçabilité

“Un contrôle non documenté est un contrôle non réalisé.” Cette maxime du contrôle interne prend tout son sens face à l’AFA. Les rapports de contrôle montrent que l’absence de traçabilité est un manquement récurrent. Pas de preuve d’exécution des contrôles de deuxième niveau, pas de justificatifs archivés sur les échantillons testés, pas de suivi formalisé des anomalies détectées et des plans d’action… Pour le responsable des contrôles comptables Sapin 2 (le Compliance officer, le directeur des risques, le CFO …), ces manquements l’exposent à deux types de risques :

• Réglementaire : lors d’un contrôle AFA, il sera dans l’impossibilité de démontrer la réalisation effective des contrôles
• Opérationnel : l’incapacité à capitaliser sur les enseignements des campagnes de contrôle pour améliorer le dispositif

Alors, comment garantir une documentation probante ? Structuration, centralisation et archivage sont les trois incontournables.

La structuration

Pour chaque contrôle de deuxième niveau, dès sa conception, il faut définir :

• Les données sources utilisées (extraction comptable du trimestre, base tiers, registre cadeaux)
• La méthodologie de sélection des échantillons (critères de filtrage, volumétrie)
• Les points de contrôle vérifiés sur chaque transaction
• Les conclusions et le statut (conforme, anomalie, action corrective)

La centralisation

Les échanges par email entre le contrôleur de niveau 2 et l’équipe comptable créent des silos documentaires difficiles à reconstituer. Utiliser une plateforme dédiée permet de centraliser la documentation dans un outil unique, collaboratif entre les différentes lignes de défense. Les questions/réponses et les conclusions des analyses dont documentées, tracées et horodatées ; et justifiées si besoin avec l’ajout d’une pièce jointe (contrat, bon de commande, facture…).

L’archivage

Au-delà des résultats de contrôle, conservez les éléments permettant de justifier votre approche : critères de sélection des entités auditées, justification de la fréquence des contrôles, procès-verbaux de validation par l’instance dirigeante. Bien que non explicitement imposé par l’AFA, aligner la durée d’archivage des contrôles Sapin 2 avec celles des pièces comptables (10 ans) semble cohérent.

4 – Traiter Sapin 2 comme un sujet purement comptable

La Loi Sapin 2 ne se limite pas au périmètre d’une seule direction, et traiter le sujet de cette manière peut même s’avérer contre-productif. Les contrôles comptables anti-corruption nécessitent une coordination entre :

• La comptabilité pour l’exécution des contrôles de niveau 1, et la mise à disposition des données
• La compliance pour le pilotage du dispositif, la définition des risques, et le reporting à la direction
• Le contrôle interne pour le déploiement des campagnes de niveau 2, et l’animation du réseau de contrôleurs
• L’audit interne pour le niveau 3, la vérification de l’efficacité du dispositif

Dans les grandes organisations, ces fonctions opèrent souvent en silos. Résultat : des redondances, des zones grises sur le “qui fait quoi”, d’où une difficulté à avoir une vision consolidée de la qualité du dispositif.

Orchestrer la coordination entre les équipes nécessite souvent la formalisation d’une matrice RACI claire. Sur chaque type de contrôle (gestion des accès comptables, revue des comptes divers, analyse des commissions), il est nécessaire de définir explicitement les rôles de chacun. La création d’un comité de pilotage transverse peut aussi s’avérer pertinente, afin de réunir de manière récurrente les représentants de la DAF, de la compliance, du contrôle interne et de l’audit interne pour partager les résultats des campagnes de contrôle, prioriser les plans d’action, et ajuster le dispositif en fonction de l’évolution des risques.

Enfin, plutôt que de multiplier les outils internes dans chaque direction, travailler sur une plateforme unique permet de fluidifier la collaboration et de garantir la cohérence des approches entre les filiales et entre les métiers.