Dossier loi Sapin II #3 – Quelques pistes pour faire face aux risques de fraude et de corruption

Dossier loi Sapin II #3

En France, les entreprises sont très peu préparées à faire face aux risques de fraude et de corruption. Pour respecter la paquet conformité rendu obligatoire par la loi Sapin II, il leur faut développer des dispositifs de formation spécifiques et donner une nouvelle place aux fonctions de risk manager et d’auditeur interne.

Entrée en vigueur le 1er juin 2017, la loi Sapin II impose des mesures de conformité anticorruption très sévères aux opérateurs économiques employant plus de 500 salariés et engrangeant un chiffre d’affaire supérieur à 100 millions d’euros. L’Agence française anticorruption (AFA), désignée comme l’organe d’application et de contrôle des mesures Sapin II, évalue à 1 500 le nombre d’opérateurs concernés par la législation, entreprises privées et publiques confondues (1).

Faute d’une vision suffisamment claire des enjeux et des méthodes, de nombreuses entreprises pourraient subir à terme, des impacts critiques sur les plans financiers, pénaux et réputationnels. Voyons les méthodes opérationnelles et organisationnelles qui peuvent circonscrire ces impacts.

L’indispensable mise en place d’un dispositif de formation

L’appréciation et la prise en compte du risque de fraude au sein de l’entreprise suppose une transformation globale de la culture sûreté de l’entreprise et cette transformation ne peut passer que par la formation. Cette obligation constitue d’ailleurs un des huit piliers du dispositif Sapin II. À l’heure actuelle, seules 25 % des entreprises ont un plan de formation annuel de leurs collaborateurs dans le domaine de la prévention du risque de fraude et de corruption. Plan d’ailleurs souvent cantonné à de la sensibilisation.

Le socle de ce processus de transformation culturelle est la formation des dirigeants, propriétaires des risques et donc intéressés en premier lieu par leurs conséquences financières et pénales. Mais la formation concerne également les salariés directement exposés au risque de sollicitation – par exemple les forces de vente, le marketing, les équipes achats et les équipes en charge des opérations, et ce sans considération de statut ou de niveau hiérarchique – tout comme les cadres dirigeants, cadres supérieurs et intermédiaires de l’entreprise.

Une telle obligation de formation est extrêmement lourde à mettre en œuvre, surtout dans des multinationales dotées d’organisations complexes où des milliers de personnes devront potentiellement être formées à tous les échelons. Comment la mettre en œuvre ? Le principal enjeu porte moins sur le budget alloué à la mise en conformité que sur le management du projet. Nombre d’entreprises vont d’ailleurs être contraintes de partir d’une feuille blanche et d’instruire leur politique de compliance dans l’urgence.

En partant de zéro, une gestion de projet rapide du dispositif de formation pourrait s’articuler en fonction des étapes suivantes :

• Une formation de première intention de la direction générale et du COMEX afin d’enclencher la prise de conscience et la verticalisation du processus 
• La formation des fonctions corporate (finances, RH, juridique, audit, SI) aux scénarios de corruption, trafic d’influence et conflits d’intérêts est aussi primordiale pour prévenir, détecter et traiter des manquements à l’intégrité
• Un premier audit des principales directions opérationnelles et fonctionnelles de l’entreprise : analyse de l’organisation, analyse des spécificités métier et du fonctionnement de chaque direction (dans ce domaine la méthodologie d’analyse et de cartographie reste à inventer) 
• La rédaction d’une cartographie des risques de corruption bruts sur la base de ce premier audit 
• La définition, sur le fondement de cette première cartographie, d’un premier plan d’action d’urgence 
• La formation avancée des directeurs et sous-directeurs directement concernés par le risque de corruption et de ceux chargés de la mise en œuvre du dispositif au sein de l’entreprise 
• L’autoformation par le personnel d’encadrement déjà formé des niveaux subalternes jusqu’au traitement complet de la chaîne de responsabilités identifiées par la cartographie.

Risk managers et auditeurs sur le front

Le champ d’application des mesures Sapin II est si large qu’il concerne potentiellement l’ensemble de l’écosystème de direction de l’entreprise. La mise aux normes impose donc une mission transversale et nécessairement rattachée à la direction générale en termes d’autorité et de reporting. Qui est donc le plus à même d’en prendre la charge et en fonction de quelles compétences ?

L’AFA, dans ses notes de recommandation, cite spontanément le responsable conformité (ou compliance) comme chargé de mission Sapin II. Problème : l’AFA part du principe que toutes les entreprises disposent d’un responsable compliance/conformité, ce qui est loin de correspondre à la réalité des organisations des grands opérateurs (selon l’IFACI, 33 % des entreprises du CAC 40 n’ont pas de directions conformité) et encore moins à celle des ETI et grandes PME. Très développée dans les entreprises anglo-saxonnes, la fonction compliance en France est essentiellement présente dans les institutions bancaires.

L’AFA oublie de mentionner le rôle du risk manager ou de la direction des risques (souvent associée à celle de l’audit dans les organigrammes de grands groupes) qui peut parfaitement investir ce rôle de chef d’orchestre.

Par ailleurs, les obligations Sapin II vont contribuer au renforcement des directions de l’audit. En effet, il est nécessaire pour les entreprises de disposer de cadres qui soient en capacité de superviser et de coordonner la partie investigatrice sur un cas de fraude. Les équipes d’audit interne n’y sont actuellement pas formées. Faute de compétences internes, les entreprises voient donc souvent leur dépôt de plainte rester lettre morte, alors même qu’un dossier de preuves correctement constitué est un formidable accélérateur pour la procédure judiciaire.

Le dispositif d’alerte Sapin II impose donc une coordination étroite de la direction de l’audit et des risques, de la direction sûreté (quand elle existe) et de la DRH sur la partie investigation et alerte.

En conclusion, retenons surtout que si la contrainte réglementaire et la perspective des sanctions financières et pénales peuvent être un moteur de réforme, il faut aussi penser cette contrainte en termes d’opportunités. Au-delà de la question de la corruption, la mise en œuvre de dispositifs opérationnels de prévention est surtout le moyen pour les dirigeants de se réapproprier les points de CA divertis par la fraude interne et de prévenir les pertes d’exploitation causées par la fraude externe.

Reste qu’à ce jour, seule une minorité d’acteurs du CAC40 est prête à faire face à ce paquet conformité. Gageons que les premiers exemples que constituent Lafarge, HSBC, UBS, Airbus et les premières sanctions de l’AFA qui tomberont dans le courant de l’année 2018, feront rapidement bouger les lignes…

***

Découvrez le dossier complet :

> #1 – Risques de fraude et de corruption : les entreprises françaises sont en retard

> #2 – Loi Sapin II et mesures anticorruption : quels sont les enjeux pour les entreprises concernées ?

 

(1) La loi s’impose aux présidents, directeurs généraux et gérants de société ainsi qu’aux membres des directoires des sociétés anonymes employant au moins 500 salariés ou appartenant à un groupe dont la société mère a son siège social en France ou employant au moins 500 salariés et dont le CA consolidé est supérieur à 100 millions d’euros. Les présidents et directeurs généraux d’EPIC et employant au moins 500 salariés, ou appartenant à un groupe public employant au moins 500 personnes et dont le CA consolidé est supérieur à 100 millions sont également tenus par cette nouvelle obligation.