Contrôles Sapin 2 : gérer les petites filiales sans angle mort

Si les petites filiales représentent souvent une proportion significative des entités d’un groupe, elles concentrent souvent l’essentiel des angles morts d’un dispositif Sapin 2 ; et l’Agence Française Anticorruption le sait. Car si la loi s’applique au périmètre consolidé et que le régulateur contrôle le groupe dans son ensemble, l’effectivité d’un dispositif de contrôles comptables se mesure précisément à sa capacité à couvrir ces structures où les ressources sont, par nature, insuffisantes.

Le défi est connu : comment garantir l’indépendance entre les niveaux de contrôle dans une filiale de seulement quelques personnes, où le même comptable saisit, valide et rapproche ? Comment déployer des contrôles de deuxième niveau quand il n’y a personne sur place pour les réaliser ? Et surtout, comment éviter que ces petites structures ne se transforment en véritable zone de vulnérabilité pour le groupe ?

Entre pilotage centralisé, automatisation de la détection, et organisation adaptée, il est possible de structurer un dispositif de groupe qui compense les limites structurelles locales.

Un groupe industriel coté, une soixantaine de filiales sur une vingtaine de pays, avait déployé un plan de contrôle identique partout : mêmes contrôles de niveau 2, mêmes fréquences, mêmes acteurs locaux. Dans les grandes filiales, le dispositif a trouvé sa vitesse de croisière. Dans les petites, la réalité a été tout autre.

Les contrôles de niveau 2 étaient réalisés par la personne qui effectuait les contrôles de niveau 1. La séparation des tâches, principe fondamental rappelé par l’AFA dans ses recommandations de janvier 2021, devenait impossible. La documentation restait minimale : non par négligence, mais par manque de temps. Dans plusieurs filiales, les contrôles n’étaient tout simplement pas effectués.

Le diagnostic est clair : dans une entité à effectif réduit, le même individu se retrouve à la fois opérateur et contrôleur. Ce n’est pas un écart de conformité à corriger localement, mais une réalité structurelle que le dispositif groupe doit compenser à son niveau. L’enjeu pour un CFO n’est donc pas de reproduire dans chaque petite filiale ce qui fonctionne dans les grandes, mais de concevoir un modèle de pilotage centralisé qui rend l’indépendance possible à l’échelle du groupe, indépendamment de la taille locale.

La clé pour couvrir tout un groupe de manière raisonnée est donc de combiner différents leviers selon le profil des filiales. Les uns agissent sur la détection automatique, les autres sur l’organisation humaine, d’autres encore sur la gouvernance. Ensemble, ils constituent un filet serré qui compense les limites de ressources locales.

Levier 1 : Stratifier les filiales selon leur profil de risque

Le premier biais à éviter est celui de la matérialité financière. Réduire le profil de risque d’une entité à sa matérialité financière pour le groupe est un leurre : le profil de risque d’une entité doit intégrer notamment son activité et sa géographie. Une filiale commerciale en Italie avec 200 k€ de chiffre d’affaires ne présente pas le même profil de risque qu’un bureau de représentation dans un pays à risque élevé qui traite régulièrement avec des autorités administratives.

Dès lors, tous les contrôles ne nécessitent pas la même intensité selon la filiale concernée.

Cette stratification ne veut pas dire que les filiales “vertes” sont ignorées, mais simplement que les efforts humains d’investigation sont orientés là où le risque le justifie. C’est exactement le principe de proportionnalité que l’AFA elle-même recommande.

Levier 2 : Remonter les contrôles de niveau 2 au siège

Il s’agit de ne plus demander aux petites filiales de se contrôler elles-mêmes. Le comptable de la filiale fait son travail dans le flux : saisie, validation, rapprochement : c’est son niveau 1. Le niveau 2 sur ces entités est quant à lui piloté centralement, depuis le siège ou depuis un centre de services partagé.

L’indépendance entre niveau 1 et niveau 2 devient alors structurelle : elle ne dépend plus du nombre de personnes dans la filiale, mais de l’architecture du dispositif groupe. C’est ce qui permet à ce levier de fonctionner même dans une micro-filiale.

Levier 3 : Exploiter l’expert-comptable externe comme relais

La loi Sapin 2 elle-même prévoit que les contrôles comptables peuvent être réalisés en ayant recours à un contrôleur externe. Dans les micro-filiales où l’expert-comptable gère déjà la clôture annuelle, vous pouvez lui confier une mission spécifique : revue de niveau 2 sur les transactions sensibles, rapprochement registre cadeaux/comptabilité, vérification de la conformité avec les procédures groupe.

Ce qui change, c’est que cette intervention n’est plus un “petit plus” lors de la mission de tenue ou de révision des comptes. C’est une mission explicitement définie par le groupe, avec un scope clair, une documentation structurée et une intégration formelle dans le dispositif Sapin 2.

Le niveau 3 (évaluation de l’effectivité du dispositif) reste quant à lui entre les mains de l’audit interne groupe. L’expert-comptable ne peut pas à la fois effectuer les contrôles et évaluer sa propre efficacité.

Levier 4 : automatiser la détection des anomalies comptables pour compenser le manque de ressources dans les filiales

Dans une petite filiale, personne n’a le temps de faire une revue des transactions sensibles. Mais un outil automatisé le fait en quelques secondes, sur 100% des flux, là où un contrôleur humain ne pourrait qu’échantillonner.

Ce que l’automatisation peut par exemple détecter, que le comptable seul ne peut pas :

• Une facture enregistrée dans un compte “charges diverses” au lieu du compte approprié
• Un paiement réalisé par le même utilisateur qui a saisi la facture
• Un tiers inconnu apparaissant pour la première fois avec un montant significatif
• Une écriture sans libellé ou avec un libellé générique
• Un délai inhabituel entre la date de la pièce et la date de saisie
• Un compte d’attente non apuré depuis plusieurs mois

Ces signaux sont exactement ceux à rechercher pour sécuriser les transactions sensibles. Dans une grande filiale, un contrôleur interne les détecterait lors d’une revue régulière. Dans une petite filiale, seule l’automatisation peut en garantir la détection systématique, sans solliciter une ressource humaine supplémentaire.

Le risque des petites filiales ne tient pas seulement à la non‑exécution des contrôles, mais aussi à l’absence de traçabilité lorsqu’ils sont pourtant réalisés. Une revue faite sur un fichier Excel local, une mission d’expert-comptable dont le rapport reste au niveau local… autant de contrôles réalisés mais invisibles lors d’un contrôle AFA.

C’est ici que la plateforme centralisée devient non plus un outil de confort, mais un élément critique du dispositif.

Voici nos trois recommandations fondamentales :

1 – Centraliser sur un outil unique. Les conclusions des contrôles de niveau 2 (qu’ils soient réalisés par un contrôleur siège ou par un expert-comptable) sont centralisées dans la même plateforme : pas de fichiers Excel éparpillés, pas de conclusions perdues dans des échanges d’emails, pas de fichiers enregistrés en local.

2 – Produire un rapport filiale par filiale pour chaque campagne, peu importe leur taille. Le rapport indique quels contrôles ont été effectués, par qui, sur quelle période, avec quels résultats, quelles anomalies détectées et quels plans d’action engagés… Cette traçabilité peut être automatiquement générée par un outil au lieu d’être construite à la main a posteriori.

3 – Piloter le taux de couverture en temps réel. Le CFO doit être en mesure, en quelques secondes sur un tableau de bord, de savoir combien de filiales ont été contrôlées ce trimestre, lesquelles sont en retard, quelles anomalies sont en cours de traitement, etc. Cette visibilité n’est cependant possible que si l’ensemble du dispositif est centralisé sur un même système de pilotage.