Les audits anticorruption sont un élément essentiel d’un dispositif de compliance efficace. Néanmoins, s’ils sont fréquemment mis en œuvre par des entreprises anglo-saxonnes depuis parfois des dizaines d’années, ils restent encore l’exception plutôt que la règle dans le panorama des entreprises françaises.
Cette situation devrait changer avec l’entrée en vigueur depuis juin 2017 du volet anticorruption de la loi Sapin 2, qui impose aux entreprises d’une certaine taille de mettre en place un dispositif visant à prévenir, détecter et remédier aux faits de corruption. Dans ce cadre, l’Agence française anticorruption (AFA) a lancé une série de contrôles depuis fin 2017 et ambitionne d’en réaliser une centaine par an. A cela s’ajoutent les récentes conventions judiciaires d’intérêt public conclues au titre de la loi Sapin 2.
Toutes ces initiatives matérialisent les efforts des autorités pour affirmer leur rôle dans la lutte contre la corruption et, dans le cadre des sanctions qui pourraient être prises, renvoyer les entreprises et leurs dirigeants à leurs responsabilités en cas de dispositif inadéquat.
Pourquoi auditer le programme de compliance anticorruption ? Quels objectifs ? Quels éléments clés d’un audit anticorruption ?
Dans le cadre de la mesure n° 8 de la loi Sapin 2, l’entreprise doit mettre en place «un dispositif de contrôle et d’évaluation interne des mesures mises en œuvre». L’audit anticorruption est une pièce maîtresse de ce dispositif et il convient d’en rappeler les différents objectifs.
L’audit anticorruption intervient dans le cadre des actions de surveillance périodique de l’entreprise. Il permet de fournir une assurance raisonnable sur le degré de maîtrise des opérations en évaluant les processus de management des risques, de contrôle et gouvernance d’entreprise en lien avec le dispositif anticorruption. Surtout, il matérialise l’engagement de la direction générale de ne pas se limiter à une «compliance de papier» en testant de manière concrète et objective l’adéquation et la robustesse du programme anticorruption et, d’une façon plus générale, en vérifiant la conformité du dispositif par rapport aux lois anticorruption applicables.
Par ailleurs, dans une démarche d’amélioration continue, il permet d’identifier les faiblesses du programme et les moyens de remédiation à mettre en œuvre.
Enfin, l’audit anticorruption permet de détecter, le cas échéant, des manquements graves qui pourraient constituer des faits de corruption. Néanmoins, il ne faut pas confondre l’audit anticorruption avec l’investigation. Cette dernière, par la nature de ses objectifs et des travaux mis en œuvre, se distingue de l’audit anticorruption. L’objectif d’une investigation est d’identifier les faits, rôles et responsabilités en lien avec des soupçons ou des faits avérés de corruption. L’approche mise en œuvre est très ciblée et vise à identifier des faits à caractère probant, alors que l’audit répond à une approche par les risques.
L’audit anticorruption se concentre sur deux thématiques principales :
– vérifier la correcte application du programme de compliance : code de conduite, formation, procédures, etc. ;
– le contrôle des transactions à risque, en relation avec la cartographie des risques de l’entité auditée.
Un audit anticorruption inclut, de façon générale, les étapes suivantes : évaluation des zones de risques à tester, travaux préparatoires, travaux sur site, reporting, remédiation et suivi.
Evaluation des risques
En application d’une approche par les risques, l’audit anticorruption doit se concentrer sur les activités/zones de risques de corruption considérées comme les plus élevées afin de tester l’efficacité des contrôles mis en place. Le déploiement de ces audits doit donc s’appuyer sur l’évaluation des risques réalisée périodiquement ou annuellement par l’entreprise pour permettre de préciser, entre autres :
– les business units/activités et bureaux/filiales qui feront l’objet d’un audit ;
– le planning d’audit de l’année en cours ;
– le périmètre et la durée des audits ;
– le calendrier d’intervention.
Parmi les principaux facteurs à prendre en compte lors de la sélection figurent notamment le «Corruption Perception Index» de Transparency International, la taille et le type d’activités concernés, le volume des affaires développé en lien avec les gouvernements locaux, le recours à des tierces parties, la prise en compte de l’historique/d’incidents précédents en lien avec des allégations ou faits de corruption.
Travaux préparatoires
Planifier correctement et suffisamment à l’avance l’audit anticorruption est essentiel à sa bonne réalisation. La planification de la mission inclut fréquemment les éléments suivants :
– la mise en œuvre d’un protocole de communication par les responsables de l’audit incluant la transmission d’une lettre/notification d’audit aux business units/filiales concernées ;
– la réalisation d’une réunion préalable avec le management de la business unit/filiale concernée pour échanger sur l’objectif de l’audit, sa réalisation, et pour obtenir les premières informations nécessaires sur l’activité concernée et les risques de corruption qui lui sont spécifiques ;
– les demandes d’information, y compris les données financières nécessaires permettant d’initier la sélection des échantillons pour tester les transactions considérées atypiques ou à risque ;
– l’identification des personnes clés avec lesquelles des entretiens seront réalisés et la planification des entretiens.
Par ailleurs, dans le cadre de cette phase préparatoire, des travaux d’analyse de données peuvent être utilisés afin de mettre à profit les informations déjà disponibles sous format électronique : identification des principaux tiers, géographie des paiements, identification d’anomalies dans les bases clients et fournisseurs, etc.
Travail sur site
D’une façon générale, les travaux à réaliser sur place dans le cadre d’un audit anticorruption peuvent s’étaler sur une période d’une à deux semaines. Ils incluent généralement :
– des entretiens avec les employés clés. Il est conseillé de réaliser ces entretiens au début de l’audit afin d’avoir le temps de procéder à une revue additionnelle des transactions et à la réalisation de tests en lien avec des informations transmises lors desdits entretiens ;
– la revue détaillée des transactions sélectionnées au préalable dans des zones considérées comme à risque élevé, par exemple des paiements effectués à des tierces parties, des paiements en lien avec des licences ou permis de construction, d’exploitation, des donations, des frais de voyages et de cadeaux, des transactions effectuées en liquide ;
– l’échantillonnage et la réalisation de tests additionnels de transaction, lorsque jugé nécessaire ;
– l’analyse de l’efficacité du programme de compliance déployé pouvant inclure notamment la revue des politiques et procédures anticorruption mises en place, la revue de l’efficacité des contrôles afférents déployés ; la vérification de l’existence de ressources compliance dédiées, le déploiement de formations anticorruption.
Reporting, remédiation et suivi
Formaliser et documenter l’ensemble des travaux réalisés et des conclusions dans le cadre de l’audit du programme anticorruption est essentiel. Cela permet à l’entreprise de démontrer, en cas de besoin – y compris dans le cadre d’un contrôle de l’AFA – la proportionnalité des efforts et moyens déployés par rapport aux risques identifiés. Par ailleurs, dans le cas où un fait de corruption serait détecté, les auditeurs peuvent transmettre l’information au département approprié, afin qu’une enquête soit ouverte.
Les résultats relevés lors de l’audit doivent être détaillés dans un rapport factuel, identifiant les zones à risque et les défaillances potentielles. Ce rapport, qui doit inclure par ailleurs l’émission de recommandations pour renforcer le dispositif de lutte contre la corruption, est transmis à la direction générale, qui veille à la mise en œuvre des actions de remédiation.
L’audit anticorruption permet d’inscrire dans la durée le dispositif de compliance de l’entreprise. A ce titre, il est amené à devenir une pratique de plus en plus fréquente, avec l’apparition d’équipes spécialisées, y compris sur la partie analyse de données. Il permet de s’assurer que le programme de compliance est toujours d’actualité et répond aux enjeux auxquels l’entreprise fait face. Son objectif ultime doit donc bien être celui de l’amélioration continue du programme de compliance.
