Que peut-on dire des pratiques relatives à la méthodologie de cartographie des risques de corruption ?
Bien que l’AFA ait produit des recommandations en 2020, ces dernières indiquent un certain nombre de points de passage nécessaire à la réalisation d’une cartographie – sollicitation des participants à la cartographie, identification des risques, évaluation des risques bruts, nets, hiérarchisation des risques nets, formalisation, mise à jour et archivage.
Au-delà de ces étapes, il n’est pas dit grand-chose sur la façon de faire, de présenter, ou encore de passer d’un risque brut à un risque net, par exemple. Les entreprises bénéficient donc de grandes marges de manœuvre pour établir leur cartographie.
Pour autant, et après en avoir étudié un certain nombre, si les entreprises suivent toujours formellement ces mêmes étapes, deux grandes tendances se dessinent quant à la présentation des risques. Et une question se pose : quelle distinction opérer entre scénario de risques et risques ?
- La première tendance consiste à décrire des risques de façon assez générique, caractérisant une faiblesse de contrôle de l’entreprise, en les illustrant par des « scénarios » vraisemblables, caractérisant eux-mêmes en général une qualification pénale
- « Risque lié à un niveau d’autorisation d’engagement sans contrôle hiérarchique en deçà de 20 000 Euros, pour les cadres de catégorie « Z ». »
- La seconde consiste, au contraire, à dessiner une multitude de scénarios, représentant autant de variations autour d’un schéma de qualification pénale donnée : le trésorier verse 10 000 Euros à un élu pour obtenir un permis de construire, le Directeur général verse 10 000 Euros à un DGS pour obtenir un permis de construire… » Ad lib…
Deux approches entre lesquelles il faut choisir
Ces 2 approches connaissant bien évidemment des variantes, et ne sont pas les 2 seules recensées à ce jour, mais elles sont l’une et l’autre un très bon résumé de ce que l’on peut trouver au sein des entreprises assujetties à la loi Sapin 2
La question de la plus adaptée aux exigences de la loi se pose bien évidemment, et il n’existe pas non plus de réponse normative. Bien évidemment.
Alors, une fois ces limites posées, quelle méthode appliquer, à l’appui de quels arguments ?
Les développements suivants n’engagent bien évidemment que l’auteur de ces lignes et ne constituent qu’une conviction technique, susceptible d’être débattue, et bien évidemment contredite.
Avant toute chose, que recouvrent les définitions de risque et de scénario de risque ? Le Larousse servira ici de juge de paix.
Risque : « Danger, inconvénient plus ou moins probable auquel on est exposé : courir le risque d’un échec. Un pilote qui prend trop de risques »
Scénario : « Déroulement préétabli d’une action : la cérémonie a eu lieu selon un scénario bien réglé », ou « Prévisions réalisées selon certaines hypothèses, et tenant compte des contraintes d’une situation économique, démographique, etc. »
Et l’on pourra ainsi estimer que si la définition de risque est assez générique, celle du scénario revêt un caractère très précis. On notera également que la notion de risque embarque avec elle, la notion de probabilité relative.
- Si l’on s’en tient à l’esprit de la loi et aux définitions reprises ci-avant, ainsi qu’à ce que représente la cartographie des risques de corruption, on préfèrera sans doute la première méthode, celle de la formulation d’un risque générique potentiellement illustré par différents scénarios, à celle de la seconde qui fait œuvre de casuistique, d’exercice de style autour d’une qualification pénale donnée.
- La première méthode décrit en général une faiblesse de contrôle interne identifiée, qui, par sa permissivité, autorise un ou plusieurs scénarios. Autrement dit, si l’on corrige le problème de contrôle interne, alors les chances pour que le, ou les, scénarios ne se produise(nt) deviennent beaucoup plus limitées.
Et c’est bien l’objet et l’articulation que prévoient la loi : le volet contrôles comptables, pour ne parler que de lui, vise à limiter les effets d’un risque identifié, et dont l’entreprise cherche à se prémunir.
A contrario, dans la seconde méthode, chaque scénario étant d’une précision chirurgicale, les contrôles comptables qui pourraient être définis pour circonvenir ces scénarios devraient l’être tout autant. A moins que l’on démultiplie ces scénarios à l’infini, sans traiter pour autant la cause première de ces scénarios.
On verra ainsi, le versement de 10000 Euros, par le trésorier, par le Directeur Général, par le DAF, par le DSI, par le secrétaire général…. On s’en rend bien compte, jamais on ne parviendra à identifier tous les cas de figure envisageables, pas plus qu’à mettre en œuvre un contrôle comptable efficace en vue de limiter la portée du risque identifié.
- L’autre inconvénient de la seconde méthode, est lié au fait qu’elle décrive un scénario si précis qu’elle n’envisage même pas d’autres cas de figure que ceux décrits.
Etat de fait qui pourrait inciter certains à penser que l’entreprise a délibérément réduit le spectre de ses risques, pour limiter les mesures de contrôle, sans pour autant, évidemment, que tel objectif ait pu être poursuivi par l’entreprise.
Et dans l’hypothèse même où tous les scénarios prévus étaient couverts par des contrôles, que se passerait il si un dommage venait à surgir, caractérisé par une ressemblance avec l’un des risques identifiés par l’entreprise sans pour autant correspondre en tous points à ceux identifiés ?- Par exemple en impliquant un tiers, ou un moyen différent ?
- Par exemple en impliquant un tiers, ou un moyen différent ?
- La première méthode décrit en général une faiblesse de contrôle interne identifiée, qui, par sa permissivité, autorise un ou plusieurs scénarios. Autrement dit, si l’on corrige le problème de contrôle interne, alors les chances pour que le, ou les, scénarios ne se produise(nt) deviennent beaucoup plus limitées.
Rien. Sinon que l’on pourrait affirmer sans se tromper que l’entreprise n’aurait pas anticipé ce cas de figure, et donc manqué, sur le fond, à la réalisation de sa cartographie des risques de corruption.
Des probables causes de la confusion
- Les raisons pour lesquelles la seconde méthode est parfois appliquée tient principalement à différentes raisons de nature différente.
- La première tient sans doute au vocabulaire utilisé dans les recommandations de l’AFA, qui opère un passage de la notion de risque à celle de scénario, sans que l’on parvienne à identifier ce qui distingue l’un de l’autre, et qui peut amener à penser que la cartographie des risques c’est, uniquement, une somme de scénarios. Et la lecture du point 134 desdites recommandations peut le laisser penser :
- « 134. Il s’agit de procéder à un état des lieux précis permettant d’identifier, de manière circonstanciée et documentée, les scénarios de risques propres à l’entreprise. Si une liste de risques pré établie peut constituer un des supports sur lesquels s’appuie la réflexion menée lors des échanges susmentionnés, elle ne saurait pré déterminer la nature, le nombre et la classification des scénarios de risque retenus à l’issue des échanges. »
- Le point 136 quant à lui, cite également les « scénarios de risques », mais décrit des attributs plutôt propres à des risques, compte tenu de leur caractère très général :
136. Les scénarios de risques sont identifiés en tenant compte de l’environnement dans lequel s’inscrit l’entreprise, qui peut notamment être affecté par : – les pays dans lesquels l’entreprise déploie ses activités, – les secteurs d’activité ; – la nature des opérations, notamment les d’opérations stratégiques (opérations de fusions acquisitions, cessions d’actifs, association avec un nouveau partenaire stratégique, etc.) ; – la nature du tiers, son secteur d’activité, la nature des relations (directe ou indirecte), (…)
- Le point 137, relatif à l’évaluation des risques, évoque l’évaluation de « chaque scénario de identifié », mais évoque l’identification de « risques bruts » :
137. Cette étape vise à évaluer le niveau de vulnérabilité de l’entreprise pour chaque scénario de risque identifié à l’étape précédente. Il s’agit ici d’identifier les risques « bruts » auxquels l’entreprise est exposée, c’est-à-dire les risques considérés en amont des moyens de maîtrise mis en œuvre.
Or il est raisonnable de penser – pas d’affirmer – que si l’on se trouve en présence d’une méthode « 2 », c’est-à-dire d’une somme de scénarios, façon exercice de style, alors l’entreprise pourrait évaluer de façon différente différents scénarios, ce qui n’est pas en soi contestable, mais cela reviendrait, surtout si les scénarios sont très précis, à jeter l’opprobre sur des fonctions, des tiers, ou des configurations particulières.
Si l’on reprend les exemples précités, pourrait-on décemment caractériser différemment les scénarios suivants en matière de probabilité ou de gravité ?
– le trésorier verse 10 000 Euros à un élu pour obtenir un permis de construire,
– le Directeur général verse 10 000 Euros à un DGS pour obtenir un permis de construire… » .
Sans doute, mais l’exercice serait délicat, alors qu’au fond seul le risque devrait à notre sens être caractérisé : celui, pour une organisation donnée, de verser indûment une somme pour forcer –favorablement – le destin et l’activité de l’entreprise.
- La première tient sans doute au vocabulaire utilisé dans les recommandations de l’AFA, qui opère un passage de la notion de risque à celle de scénario, sans que l’on parvienne à identifier ce qui distingue l’un de l’autre, et qui peut amener à penser que la cartographie des risques c’est, uniquement, une somme de scénarios. Et la lecture du point 134 desdites recommandations peut le laisser penser :
Comme pour confirmer que l’évaluation doit concerner plus le risque lui-même que les scénarios qui y sont attachés, le point 146 des mêmes recommandations, précise
- 146. Une fois les risques « nets » ou « résiduels » évalués, un classement par niveau des scénarios de risques apparaît.
Mais la confusion demeure puisqu’il est question d’évaluation des risques, et de classement des scénarios.
Le passage de risque à scénario dans les recommandations est fréquent, et il paraît normal que l’on débatte souvent de la différence entre « risque » » et « scénarios de risques ».
- La seconde raison pour laquelle il existe une possible confusion entre scénarios de risque et risques tient probablement au fait que, de plus en plus rarement, les auteurs d’une cartographie des risques ont une vision particulière des formes que peut revêtir la corruption, en suivant un schéma presque cinématographique ( le scénario ?), où la corruption ne passe que par la remise d’une somme à un agent public, sans envisager mille autres manières, plus discrètes, plus sournoises, plus courantes aussi, et qui illustrent la jurisprudence du FCPA.
- En effet, trafic d’influence, remises arrières, concussion, favoritisme, offsets, fausses factures, prestations fictives, embauches de complaisance, … sont autant de schémas qui permettent d’envisager une infinité de variations, ou de scénarios, difficilement appréhendables a priori.
Raison pour laquelle, il vaut mieux s’intéresser aux causes qui peuvent conduire à de tels schémas et les maîtriser, pour couper l’herbe sous le pied à la créativité des acteurs de la corruption, sans pour autant avoir à imaginer tous les scénarios possibles.
- Les risques pourront ainsi être exprimés non pas par la qualification pénale qu’ils sont susceptibles d’engendrer, mais bien par la faiblesse de contrôle interne qui permet au risque de survenir :
– absence de supervision du contenu des contrats
– absence de procédure de validation du service fait pour les factures reçues
– factures passés sans validation préalable d’une commande
– …
Une solution ?
- Rédiger des risques, si possible de façon assez générique, sans viser un périmètre sémantique non plus trop large, et en l’évaluant à l’aune des particularités de l’entreprise :
- Par exemple
Risque lié à l’absence de vérification obligatoire du service fait sur les prestations de service facturées au Groupe, ou
Risque lié à l’absence de centralisation des versements effectués sans contrepartie à des organismes qu’ils fussent ou non à but lucratif
- D’évaluer ces risques en matière
- de probabilité non pas au nombre d’occurrences de faits potentiellement qualifiables pénalement, mais bien du nombre de cas de figure où dans le premier cas des factures sont validées sans vérification, et dans le second cas au nombre de libéralités effectuées sur une période donnée,
- et de gravité potentielle du risque encouru, assez élevée dans les 2 exemples cités.
- Puis enfin, et à titre d’illustration, si nécessaire, de produire un ou plusieurs exemples sous forme de scénarios.
- Par exemple
On se retrouve donc avec un risque évalué en termes de probabilité et de gravité, et illustré par un ou plusieurs scénarios qui ne constituent pas l’alpha et l’oméga de l’évaluation, mais bien des illustrations qui permettront au lecteur de comprendre pour quelles raisons précises il convient limiter la portée du risque.
