Sapin II

Cartographie des risques et processus : la liaison heureuse ?

Cartographie des risques de corruption et processus : la liaison heureuse (?)

Certaines entreprises contrôlées par l’Agence française anticorruption se sont vu reprocher la qualité de leur cartographie des risques de corruption, notamment parce que la notion de processus était insuffisamment mise en avant ou, parfois, nullement abordée.

L’AFA évalue en effet systématiquement la cartographie des risques de corruption à l’aune notamment de cette notion de processus, et de son « analyse fine ».

Pour autant les 2 notions ne sont pas formellement définies, même si, des éléments, des indices sont dispersés en différents endroits.

Question triviale ? Peut-être en première intention. Moins lorsque l’on est confronté à la pratique, où ces notions sont manifestement insuffisamment appréhendées.

Des éléments de réponse de l’Agence

Dans son Guide pratique à destination des PME en 2022, ainsi que dans les recommandations publiées en 2021[1],  l’AFA évoque l’importance d’avoir des processus internes précis et structurés pour garantir l’efficacité du dispositif anticorruption.

Et l’Agence mentionne cette notion à différentes étapes de l’élaboration de la cartographie des risques : définition des rôles et responsabilités des parties prenantes à la cartographie, identification des risques, formalisation mise à jour et archivage de la cartographie.

Par « processus », l’AFA entend l’ensemble des méthodes et procédures mises en œuvre pour atteindre un objectif en lien direct avec l’organisation interne de l’entreprise (ibid. note 120). Ou encore la façon de concevoir les relations de l’entreprise avec des tiers.

L’AFA précise aussi qu’il est essentiel que ces processus soient intégrés au système de contrôle interne, pour que leur mise en œuvre soit rigoureuse, cohérente, et régulièrement contrôlée.

Il est donc peut-être temps de qualifier ce que recouvrent ces 2 notions – processus et analyse fine. Notions paradoxalement à la fois simples a priori, et obscures auprès de nombre d’acteurs de la prévention de la corruption.

Mais qui sont pour autant systématiquement citées dans nombre de cartographies des risques pour créer une forme de présomption (simple) de conformité.

Il ne sera évidemment pas fait ici de définition normative, évidemment non.

Sont ici présentés ce qui a pu être observé, et de ce qui pourrait être attendu par l’AFA dans le cadre de ses contrôles d’initiative, ou liés à une CJIP.

Des processus…

Une définition possible

Les processus peuvent être définis comme les modes d’organisation ad hoc des entreprises pour exercer toute forme d’activité, qu’elle soit opérationnelle ou fonctionnelle. Et l’on parlera de façon habituelle de processus production, ventes, achats, marketing, juridique, RH…

Il s’agit donc, assez simplement, d’une façon de décrire une activité donnée, tâche par tâche, étape par étape, en y incluant des points de contrôle, c’est-à-dire des modalités de validation ou de franchissement d’une étape dudit processus.

Un « processus » décrit donc comment l’entreprise fonctionne, mais également à quelles conditions.

  • Un processus indiquera par exemple que l’entreprise paiera un fournisseur sous condition qu’elle possède et une facture et le bon de commande correspondant dûment validé, issus d’une entreprise dûment identifiée.

Trois exigences manifestes

Les seules exigences légitimes qui puissent exister sont les suivantes : le processus quel qu’il soit se doit d’être écrit, univoque, et universel, quel que soit le sujet dont il traite.

L’écrit

En effet, un processus doit être écrit pour qu’il ne soit pas sujet à spéculation, ou qu’il puisse être considéré comme facultatif, et que pour reprendre un exemple trivial, celui qui arrive à un poste donné sache quoi faire, et comment le faire, pour se conformer à ce que l’entreprise a défini.

De la même manière, celui qui invoquerait qu’il faut faire d’une certaine manière parce qu’on lui a « dit » aurait du mal à faire accepter que ce qu’il évoque est un « processus ».

Le caractère univoque

Le processus écrit doit également être univoque, ou dénué d’ambiguïté : il ne doit pas être possible, à celui qui en fait lecture, d’en faire une interprétation quelconque. Ainsi le processus qui indiquerait que chacun fait comme il le souhaite pour acheter une prestation de service pourrait difficilement revendiquer la qualité de processus, au sens où l’entend l’AFA.

Le caractère universel

Dernier point, enfin : ce qui est attendu d’un processus est qu’il soit universel. Si un processus est écrit, il doit évidemment s’appliquer de manière systématique à une situation donnée, quel que soit le lieu, ou la personne qui l’applique.

  • Ainsi par exemple si un processus prévoit l’interdiction de règlement en espèces des ventes de l’entreprise, l’on comprendrait mal pourquoi il devrait s’appliquer dans la Région A et pas dans la Région B. En cela entendu que les 2 régions présenteraient des caractéristiques communes et comparables.

Et ces différentes exigences se retrouvent bien dans les rapports de contrôle de l’AFA : là où il existe absence de description formelle des processus, ou que les descriptions existantes laissent apparaître un champ des possibles trop grand, l’Agence a tendance à considérer que le processus n’existe pas.

 

Un formalisme probablement renvoyé au second rang

Si ces exigences sont aisément compréhensibles, il n’est en revanche pas attendu de forme particulière pour la description d’un processus.

Ainsi pour s’affranchir d’une question souvent posée, non, un processus n’est pas un Manuel, une bible ou une description livresque d’un mode de fonctionnement donné, ou une somme d’informations suivant un formalisme particulier ou normé.

Ainsi on constate que les processus peuvent parfois être fort mal décrits dans des manuels officiels et tamponnés de toutes parts. Et au contraire d’une précision et d’une efficacité redoutables dans une note très courte, n’ayant pas le titre de « manuel » ou de « processus » et faisant foi pour le processus qu’elle crée ou organise.

Il en est parfois ainsi de simples notes émanant d’un dirigeant, d’un responsable de fonction, de région, de BU qui, pour aussi simples qu’elles fussent, sont efficaces et parfaitement appliquées.

L’on objectera souvent ici que tel Groupe est trop grand, trop petit, ou trop complexe pour se perdre dans la rédaction de normes ou autres réglementations internes.

Argument statistiquement assez peu recevable par l’Agence. Et on peut aisément le comprendre : comment en effet considérer d’un côté qu’un processus est risqué – achats, ventes, RH, marketing, …- et de l’autre qu’il n’est nul besoin de fixer, même simplement, les règles du jeu en la matière ? Interrogation légitime.

…et de leur analyse fine

Une fois débroussaillées la notion et les exigences en matière d’établissement des processus, que faut-il comprendre par « analyse fine des processus » ?

Dans ses recommandations, l’AFA insiste sur le fait qu’une simple identification globale des risques de corruption ne suffit pas. Une organisation doit aller au-delà d’une approche superficielle et procéder à une analyse détaillée et fine des processus internes, en particulier ceux qui sont critiques, afin de bien comprendre où se situent les risques.

Ici encore s’il n’existe pas de définition précise, connue à ce jour, de ce qu’est la finesse d’analyse d’un processus, il est néanmoins possible d’imaginer que 3 idées (au moins) sont à prendre en considération.

Le lien entre étape d’un processus et risque

La première est que la finesse d’analyse suppose que l’on ait identifié, dans un processus donné, les endroits dans lesquels, ou phases pour lesquelles, un risque spécifique [de corruption] pourrait surgir, et de quelle manière on le traite.

Pour reprendre un exemple caricatural, si un processus achats ne décrivait pas, ou décrivait insuffisamment, de quelle manière l’entreprise enregistre les coordonnées bancaires d’un fournisseur, quand bien même le processus serait par ailleurs parfaitement décrit, il pourrait légitimement être formulé que l’entreprise pourrait mieux faire en matière d’analyse fine de ses processus.

Et qu’elle serait bien inspirée de prendre en compte ce risque – typique et manifeste – au sein du processus observé.

Le caractère universel du processus (encore)

La seconde idée liée à l’analyse fine des processus a trait à la notion, en creux, d’absence de lacune (ou de trou béant) dans la description d’un processus donné.

  • Si, par exemple, un processus décrivait la façon qu’à un groupe de vendre ses produits dans le monde, à l’exception d’un endroit particulier, ou d’une catégorie de produits ou de services, on pourra considérer que l’analyse du processus manque, à tout le moins, de finesse, parce qu’elle n’embrasse pas toutes les situations opérationnelles auxquelles l’entreprise est confrontée.

Ainsi, une lacune que le bon sens identifierait immédiatement, mais qu’un processus ne traiterait ou n’identifierait pas, caractériserait un défaut d’analyse fine de processus.

L’identification des voies d’exception

Corollaire de ce qui est décrit plus haut, tout processus qui se respecte doit permettre d’envisager les impasses, les voies de garage, ou plus généralement toutes les situations où es choses ne se déroulent pas comme prévu.

Le papier bleu doit être comparé au papier rouge ? Et si tel n’est pas le cas ?

Le fournisseur peut être enregistré après collationnement de ses Iban et K-Bis ?  Cela signifie-t-il impossibilité d’enregistrement sinon ?

La synthétique et non moins élégante formulation anglosaxonne « What if ? » doit commander à l’analyse critique de tout processus.

Et si on ne sait y répondre, c’est que le progrès dans l’analyse fine est sûrement possible.

Comment procéder ?

Si les notions de processus et d’analyse fine des mêmes processus peuvent être ainsi décrites, quelle méthode appliquer pour satisfaire les exigences de l’Agence, ou de l’esprit du texte ?

 

De la difficulté pratique de l’exercice

Il n’existe bien évidemment pas de méthode infaillible, pas plus qu’il n’existe de marchands de descriptifs de processus parfaitement définis, clés en main. Ce qui est certes bien dommage.

Il existe bien des Groupes dans lesquels l’activité entière de l’entreprise est décortiquée, normée, décrite ISO par exemple, en suivant un protocole de description parfaitement défini et maîtrisé. Mais ils ne sont pas légion, tant l’exercice est consommateur de temps, et pour tout dire, assez rarement mis en œuvre.

Pour les autres, le bon sens et la méthode devraient sans doute permettre d’approcher quelque chose de pertinent pour les besoins de la cause.

Utiliser les organigrammes

Une méthode pourrait consister à partir de l’organigramme, fonctionnel et opérationnel du Groupe, ou de la société, et d’identifier la zone d’influence de chacune des « têtes de pont » structurant lesdits processus : qui les ressources humaines, qui la production, qui le marketing… puis d’identifier les tâches, et la cascade de responsables sous tendant chacun de ces processus.

L’on pourra ainsi sans trop de tromper, dessiner les contours et zones d’influence, de chacune des fonctions identifiées dans l’entreprise, puis de pousser l’analyse dans les différentes géographies où opère l’organisation observée.

En effectuant telle démarche, en prenant comme point de départ les collaborateurs du Groupe on est à peu près certain de coller à une certaine réalité et d’effectuer un travail concret.

Partir des procédures, des modes opératoires ou de manuels en tout genre peut également être pratiqué. Mais l’on se heurtera souvent à une forme d’obsolescence de ce qui y figure, si ce n’est à une déconnexion de la réalité de la vie de l’entreprise, ou de ses évolutions successives. Ou plus simplement encore au caractère simplement lacunaire de ce qui y figure.

L’expérience montre, que ces difficultés sont patentes statistiquement, et partir de la réalité de ceux qui vivent, structurent ou commandent aux processus est probablement ce qui se fait de plus efficace. Ce qui n’empêche nullement de faire une lecture du fonds documentaire de l’entreprise concernant chacun d’entre eux, bien au contraire.

Ce travail de recensement méthodique peut paraître laborieux, mais à l’usage il ne l’est pas tant que cela, et donne, par quelques itérations, des résultats intéressants en ce qu’il peut permettre d’identifier des angles morts, des « trous dans la raquette » ou parfois même des zones de non-droit, qu’il est utile de connaître et qui participent de l’analyse fine des processus. Et donc de l’identification des risques de l’entreprise.

En guise de conclusion

Une fois ce recensement effectué, partagé, confronté à différents avis, même si l’exercice est réalisé à grosse maille, le bon sens – toujours lui – intervient alors pour se poser l’éternelle question : n’a-t-on vraiment rien oublié de manifeste ?

Si la réponse est oui, c’est probablement que quelque chose s’approchant de l’analyse fine des processus a été réalisée.

Si tel n’est pas le cas, c’est qu’il faut probablement approfondir l’exercice.


[1] paragraphes 31, 119, 120, 123, 125, 131,133, 151,

Publications les plus lues