Passage forcé pour toute entreprise mettant en place un programme de lutte contre la corruption, la cartographie des risques est un exercice long, chronophage et rigoureux qui mobilise largement les directions E&C. Indispensable à la compréhension de l’univers des risques d’atteintes à la probité et à la mise en place d’un plan de remédiation robuste, la cartographie peut également s’avérer être un outil utile de sensibilisation des équipes opérationnelles. Comment la mettre en place dans un groupe de taille importante ? Avec quelles parties prenantes ? Panorama des échanges des membres du CEA lors de l’atelier pratique dédié à ce sujet.
La pierre angulaire du dispositif
Indispensable au titre de l’article 17-II de la loi Sapin II, la cartographie des risques constitue la « pierre angulaire » du dispositif de lutte contre la corruption selon l’Agence Française Anticorruption (AFA), qui en fait par ailleurs l’un des 3 principaux piliers.
L’agence précise les attendus d’un tel exercice dans ses recommandations. La cartographie permet et formalise, au moyen d’une méthodologie clairement établie, l’identification, l’évaluation et la hiérarchisation des risque d’attinte à la probité pour chaque organisation.
S’inscrivant dans une approche par les risques, la cartographie doit tout autant permettre de refléter l’environnement réel de risques de l’entreprise considérée que servir à définir et prioriser les mesures de remédiation qui soient cohérentes et proportionnées.
Obligatoirement spécifique à l’entreprise ou à l’entité considérée, sa construction nécessite une très bonne connaissance de l’activité et des process de l’organisation mais aussi de l’organigramme et des responsabilités des différentes fonctions au sein de cette dernière.
Une nécessaire co-construction
Pour réaliser une cartographie des risques de corruption la plus sincère possible, il apparaît nécessaire d’associer le plus largement possible les équipes opérationnelles à sa définition et à l’évaluation des risques.
Pour ce faire plusieurs modèles de co-construction existent et peuvent s’hybrider, des plus centralisés au plus décentralisés.
Ainsi dans certaines entreprises c’est la direction E&C du groupe qui réalise les entretiens ou les ateliers regroupant les différentes fonctions clefs des entités, alors que d’autres laissent au top management de chaque entité le soin de réaliser par ses propres moyens sa cartographie. Enfin, certaines entreprises forment des réseaux de correspondants dans chaque entité du Groupe pour procéder à la construction des différentes cartographies.
La question fondamentale sous-jacente est alors de savoir si la fonction E&C groupe doit proposer une liste arrêtée de risques ou de scénarios ou si elle laisse les opérationnels définir ou proposer de nouveaux risques : la première option facilite la consolidation au niveau Groupe des différentes cartographies mais fait courir le risque d’une granularité moindre.
Un exercice exigeant et chronophage
Si la loi Sapin II impose aux entreprises qui possèdent au moins 500 salariés et dont le chiffre d’affaires atteint 100 millions d’euros de réaliser une cartographie des risques, l’exercice s’impose également à toutes les sociétés qui appartiennent à un groupe qui dépasse ces seuils.
Ainsi, les groupes internationaux qui possèdent plusieurs dizaines voire centaines d’entités juridiques distinctes peuvent avoir à agréger et consolider des centaines de cartographies et réaliser autant – voire plus ! – d’entretiens. Un sondage rapide auprès des membres du Cercle d’Éthique des Affaires met en lumière qu’indépendamment de la taille des entreprises, une majorité – de l’ordre de 75% – des directions E&C réalisent plus de 50 entretiens pour la réalisation de la cartographie Groupe.
Un exercice d’autant plus chronophage que la cartographie doit être régulièrement mise à jour. Si la majorité des entreprises interrogées affirment procéder à cette mise à jour tous les deux ans, certaines s’y astreignent tous les ans. D’autres enfin réalisent une actualisation partielle et glissante, chaque année.
Lorsque le nombre de cartographies à agréger est élevé, leur consolidation passe souvent par un outil numérique. Dans ce contexte il est nécessaire de veiller à bien définir une méthode claire et transparente d’homogénéisation des données remontées, notamment celles relatives à l’évaluation du risque brut. Alors que certaines entités peuvent avoir tendance à surévaluer ce risque, d’autres, au contraire, confondent risque brut et risque net et intègrent dans l’évaluation du premier des mesures déjà mises en place ou la culture d’intégrité de l’entreprise.
Pour éviter les malentendus et les frustrations, il convient donc de formaliser les critères de cotation du risque – au besoin dans un guide ou manuel dédié – qui, au-delà des indicateurs relatifs à l’impact et à la fréquence du risque peuvent intégrer la localisation géographique, le volume de contrats passés avec des entités publiques, le nombres d’alertes reçues par l’entité, le montant total des commissions versées à des intermédiaires, etc.
Dans tous les cas, les professionnels de l’E&C s’accordent à penser que le fait, pour une entité, de sous-estimer manifestement, ou régulièrement, son risque de corruption représente un facteur aggravant de risque à intégrer au niveau du Groupe.
Des apports au-delà de la cartographie
Si bien souvent, « il semble difficile de fédérer les équipes autour de la cartographie quand on leur demande de s’approprier un tableau Excel de 100 lignes et 40 colonnes », comme le rappelle un membre du CEA, toutes les entreprises tentent néanmoins de se servir de la réalisation de cet exercice pour satisfaire d’autres objectifs.
Bien entendu la cartographie sert à préciser le plan d’action de lutte contre la corruption et à affiner les contrôles comptables et financiers à réaliser. Mais elle peut également être l’occasion de rappeler l’engagement du top management eu égard à cette politique. Ainsi certaines entreprises ont demandé à chaque membre du COMEX de signer une lettre d’engagement par laquelle ils assurent s’impliquer et impliquer leurs équipes dans la réalisation de la cartographie des risques.
Plus encore, certaines sociétés conditionnent une partie de la rémunération des managers aux fonctions clefs sur leur participation à la réalisation de la cartographie des risques de corruption.
Surtout, la construction ou la mise à jour de cet outil permet d’organiser des entretiens pendant lesquels opérationnels et compliance officers peuvent échanger sur les sujets relatifs aux atteintes à la probité… une véritable occasion de sensibiliser les équipes et de mesurer leur bonne appréhension de la problématique ! Pour leur permettre de se sentir impliqués dans ce processus, la plupart des directions E&C juge qu’il est de bonne pratique d’organiser également des ateliers de restitution avec les équipes interrogées.
Enfin, certains membres du CEA rappellent que la cartographie des risques peut également être utilisée par les équipes opérationnelles comme un outil de pilotage par exemple pour mesurer le besoin en ressources humaines… Encore une preuve, s’il en fallait, de l’importance crucial de cet outil !
Crédit photo : Unsplash