Cartographie des risques liés aux contrôles comptables dans la lutte anticorruption

La mise en place de dispositifs permettant d’assurer l’efficacité des mesures anticorruption constitue un enjeu crucial pour toute entreprise soucieuse de maîtriser les risques liés à ses activités, notamment en matière de corruption et de trafic d’influence. Dans ce contexte, le contrôle interne s’impose comme un outil indispensable de prévention, de détection et de remédiation.

La France s’est dotée d’un arsenal juridique robuste avec la loi n° 2016-1691 du 9 décembre 2016, dite « Sapin II », qui impose, via son article 17, à certaines grandes entreprises françaises, la mise en place de huit mesures clés pour prévenir et détecter la corruption, en France comme à l’international.

Ces obligations incluent notamment :

• un code de conduite,
• un dispositif d’alerte interne,
• une cartographie des risques,
• des procédures d’évaluation des tiers,
• des contrôles comptables,
• un programme de formation,
• un régime disciplinaire,
• et une procédure de contrôle et d’évaluation interne.

Les entités concernées peuvent faire l’objet d’un contrôle de l’Agence Française Anticorruption (AFA), pouvant conduire à une procédure devant sa Commission des sanctions en cas de manquement.

Selon les recommandations de l’AFA, les mesures prévues par l’article 17 doivent être conçues comme un système global, structuré autour de trois piliers interdépendants :

1. L’engagement fort de la gouvernance ;
2. Une cartographie exhaustive des risques de corruption ;
3. La gestion active de ces risques via des mesures de prévention, de détection et de remédiation.

La mise en place d’une procédure de contrôle interne constitue l’un des leviers essentiels pour assurer la performance du dispositif anticorruption, tant pour les entreprises soumises à une obligation légale que pour celles engagées dans une démarche volontaire.

Dans les grandes entreprises qui disposent déjà de procédures de contrôle et d’audit, l’évaluation des mesures anticorruption s’intègre facilement aux dispositifs en place, en se concentrant sur les zones à risque identifiées. En l’absence de tels outils, les entreprises doivent en développer spécifiquement pour vérifier l’efficacité de leur dispositif.

Les objectifs principaux de la procédure de contrôle interne sont de :

• garantir l’application effective des mesures par l’ensemble du personnel (et, le cas échéant, par certains tiers),
• évaluer l’efficacité des actions mises en œuvre au regard des risques identifiés,
• détecter les éventuelles irrégularités ou manquements,
• proposer des ajustements pour améliorer le dispositif,
• et identifier d’éventuels faits de corruption ou de trafic d’influence.

Selon le diagnostic national 2024 de l’AFA, 73 % des entreprises interrogées ont déclaré avoir mis en place une procédure de contrôle et d’évaluation interne. Ce chiffre s’explique par le fait que beaucoup d’entre elles sont concernées par la loi Sapin II, et qu’elles ont déjà une certaine expérience en gestion des risques.

Dans les grands groupes, l’enjeu principal est d’assurer une application cohérente et efficace du dispositif dans toutes les entités du groupe.

Pour les PME et les ETI, il est surtout important de concentrer les efforts de contrôle sur les risques les plus importants, en tenant compte de moyens parfois plus restreints.

Un dispositif de contrôle interne performant repose sur plusieurs principes structurants, parmi lesquels :

• La séparation des tâches, garantissant une indépendance des fonctions de contrôle ;
• Des systèmes d’information sécurisés et adaptés ;
• Une comptabilité rigoureuse, conforme aux normes en vigueur, assurant une traçabilité complète des opérations ;
• La formalisation des procédures, avec des points de contrôle intégrés ;
• La sensibilisation du personnel, pour faire du contrôle un outil de protection plutôt qu’un frein à l’activité.

Il est également important de s’appuyer sur une cartographie des risques fiable et régulièrement mise à jour, afin d’identifier les zones insuffisamment couvertes et d’y apporter les mesures nécessaires.

Les contrôles comptables anticorruption servent à repérer ou éviter des fraudes liées à la corruption. Lorsqu’un dispositif de contrôle est jugé insuffisant, l’AFA (Agence Française Anticorruption) recommande de le renforcer en tenant compte des risques identifiés dans la cartographie. Cela peut passer par des vérifications ciblées, comme l’analyse d’écritures comptables manuelles ou la comparaison de relevés bancaires. Le but est de détecter des opérations inhabituelles ou mal justifiées, qui pourraient cacher un acte de corruption.

L’AFA préconise une organisation du contrôle interne selon une approche graduée :

1. Contrôle de niveau 1 : effectué par les opérationnels, il garantit le respect quotidien des procédures.
2. Contrôle de niveau 2 : mené par les fonctions de conformité ou de gestion des risques, il vérifie la qualité des contrôles de niveau 1.
3. Contrôle de niveau 3 : ou audit interne, il porte sur l’ensemble du dispositif et évalue son efficacité globale.

Ce dernier niveau prend notamment en compte les résultats des contrôles précédents et de la cartographie des risques. Il peut être déclenché dans des contextes particuliers (acquisition, changement de direction…) et doit aboutir à un rapport détaillé, soumis à la direction.