Les contrôles dits comptables de la loi Sapin 2 sont, aux dires de certains, l’un des sujets les plus délicats de la mise en œuvre d’un dispositif de prévention de la corruption.

En tout premier lieu parce qu’on se rend compte qu’ils ne sont pas exactement ce qu’on croit qu’ils sont, ou ce qu’on voudrait qu’ils soient !

Les contrôles comptables ne se confondent en effet pas avec l’audit interne ou les missions que ce dernier diligente.

Pas plus qu’ils ne se confondent non plus avec le contrôle interne, même si les zones de recouvrement entre ces deux notions sont assez proches.

Ils ne consistent pas en une prérogative exclusive des fonctions compliance, ou d’une unique fonction de contrôle d’ailleurs.

Ils ne consistent pas non plus uniquement en le contrôle des notes de frais ou des cadeaux ou invitations. En tout cas pas uniquement, loin s’en faut.

Les contrôles comptables répondent, dans le contexte de la mise en œuvre de la loi Sapin 2, à des notions somme toute assez précises. Et c’est bien en raison de cette définition assez précise qu’on les considère comme « délicats ». Litote.

Délicats, donc, et à plusieurs titres, le 5° du II de l’art. 17 de la loi Sapin 2 impose :

• qu’il faut encadrer chacun des risques de la cartographie des risques de corruption par des contrôles, qu’ils fussent dédiés à la cause de la prévention de la corruption ou non, soit ;
• que non contents d’être définis, ils doivent être déclinés en contrôles de premier et de deuxième niveau ;
• qu’une fois définis, ils doivent être déployés et diffusés, en premier et deuxième niveau, en tout point du groupe considéré où le risque peut survenir. C’est-à-dire dans toutes les filiales contrôlées, si l’on s’en tient à la rigueur du texte, et partout où le groupe intervient opérationnellement et contrôle ses activités, pour faire plus simple.

Que, par construction, un tel déploiement nécessite immanquablement le recours à une solution numérique, un outillage, qui permette de diffuser les contrôles et leur application.

Rien de très nouveau dans ces quelques lignes, que nombre de groupes, à l’heure de la rédaction de ce post, ont parfaitement intégré.

Reste une question technique qui est souvent difficile à trancher : l’outil, ou la solution numérique qui permet à des fonctions centrales de piloter le dispositif de contrôle, doit-il avoir sous la main, et à disposition permanente, l’ensemble de la documentation justifiant de la mise en œuvre des contrôles, de tous les contrôles ?

Si l’on se place du point de vue du caractère éminemment vertical de la loi Sapin 2, on pourrait le penser. Sauf que.

Imaginons que, dans une filiale qui se serait pliée aux exercices de contrôle exigés par le groupe, elle ait placé, en toute bonne foi, des documents ou des informations justifiant des contrôles exigés par le Groupe, et qui matérialiseraient une infraction ou une entorse particulière à une règle, n’importe quelle règle établie dans le pays où ces informations seraient diffusées ? La commande d’un produit prohibé. La recours à des professions très encadrées. La matérialisation d’une opération interdite là où elle serait consultée : placement dans un paradis fiscal, ouverture de compte dans un établissement sous sanction, recours à des produits ou prestations dont l’usage contrevient à une réglementation particulière… On peut décliner els exemples à l’infini.

Forçons le trait, mais pas trop, en considérant que la documentation en question soit très dommageable pour le groupe. Pénalement qualifiée, par exemple.

Et pour corser l’ensemble, imaginons toujours que ceux en charge de vérifier la bonne application de ces contrôles n’aient pas vu, ou eu le temps de se rendre compte, qu’un document potentiellement dommageable leur soit directement et très facilement accessible, mais qui n’aurait pas été identifié, ou même pas consulté du tout ?

Eh bien, l’on pourrait penser que le fait de ne pas avoir vu ledit document serait une négligence elle-même dommageable, si cette négligence n’est pas considérée elle-même comme coupable. Mettant ainsi potentiellement en cause les fonctions qui avaient accès à l’information mais qui ne l’ont pas identifiée et exploitée comme telle.

La simple question surgit alors : est-il raisonnable de penser que l’on puisse avoir une vision précise d’une documentation qui comporterait le fruit de 36 contrôles mensuels, niveaux 1 et 2 confondus – hypothèse assez basse –, de 50 entités réparties sur la planète, connaissant peu ou prou des variations locales ?

Soit un potentiel, a minima, de 36 × 50 × 12, soit un peu moins, a minima, de 22 000 justificatifs par an ? Soit environ 13 à analyser par heure à plein temps ?

On reconnaîtra comme souvent le caractère caricatural du propos, mais tout de même…

Une solution envisageable, dans un tel contexte, consisterait de façon assez rationnelle à ne permettre aux fonctions centrales de ne voir remonter que des informations binaires : contrôle effectué, oui/non ; contrôle satisfaisant, oui/non ; ce qui permettrait aux fonctions centrales d’avoir une vue sur l’avancement de ces contrôles.

Et permettre à ces mêmes fonctions centrales de demander ponctuellement à obtenir la documentation d’un contrôle donné à une entité donnée, qui se chargera alors de transmettre à l’organe qui le lui demandera l’information strictement nécessaire à la demande. Lequel pourra à son tour contrôler le flux d’informations entrant et en prendre connaissance sereinement.

Une méthode très simple, qui nécessite souvent de longues discussions : de façon assez paradoxale, on, en général – et les fonctions en charge de la mise en œuvre du dispositif en particulier- se plaint souvent de la lourdeur de mise en œuvre d’un dispositif Sapin 2, mais l’on souhaite, en même temps, disposer de l’ensemble des informations et du contrôle total des opérations. Quand bien même ces dernières seraient hors de portée, ne serait-ce qu’en raison de leur volume.

Ici encore, et comme souvent, il faut faire un choix, sans prendre trop de risques !