Sapin 2 – Regard pratique sur deux mesures phares

Rejeter la corruption sous toutes ses formes fait partie des exigences de bonne gestion des affaires, y compris au niveau international. Souvent critiquée par les organisations internationales telles que l’OCDE, la France se met à l’œuvre et confirme son engagement avec l’adoption de la Loi Sapin 2, dont l’entrée en vigueur du volet dédié à la prévention et la détection de la corruption par les entreprises est prévue pour le 1er juin 2017.

Elle doit lui permettre de se mettre au niveau des meilleurs standards observés depuis plus d’une dizaine d’années dans de nombreux pays, avec l’apparition et le renforcement de lois et des moyens alloués pour lutter contre ce phénomène, y compris dans les pays émergents.

Cette nouvelle loi inclut des innovations majeures, en particulier dans notre système de droit, avec la possibilité pour l’entreprise de négocier une Convention judiciaire d’intérêt public, un Deferred Prosecution Agreement  à la française. Elle reconnaît également un statut légal pour les lanceurs d’alerte.

La création d’une Agence française anticorruption (« AFA») est un élément clef du dispositif.

Celle-ci est dotée d’une mission large, incluant notamment un rôle de conseil auprès des entreprises ainsi que le contrôle de la mise en place d’un dispositif de prévention et de détection de la corruption. Les recommandations de l’AFA sont particulièrement attendues par les entreprises qui souhaitent voir les différentes obligations qui leur incombent précisées.

L’article 17 de cette loi spécifie l’obligation pour les sociétés[1] de mettre en place les 8 mesures clés suivantes:

  • un code de conduite intégré au règlement intérieur;
  • un dispositif d’alerte interne ;
  • une cartographie des risques ;
  • des procédures d’évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires ;
  • des procédures de contrôles comptables ;
  • un dispositif de formation ;
  • un régime disciplinaire incluant des sanctions ; et,
  • un dispositif de contrôle et d’évaluation interne des mesures mises en œuvre.

Si la marche à franchir pour se mettre en conformité avec ces obligations est haute pour certaines entreprises françaises, nombres d’entre elles sont déjà très avancées dans toute ou partie de cette démarche, notamment lorsqu’elles opèrent à l’international et sont déjà confrontées à de nombreuses lois anticorruption contraignantes (Foreign Corrupt Practices Act pour les US, dit FCPA ; UK Bribery Act, dit UKBA, etc.).

Pour autant, la mise en place de ces 8 mesures peut encore nécessiter des efforts, en particulier en ce qui concerne l’évaluation des risques de corruption et l’évaluation des tiers.

Dans un contexte de renforcement de la coopération judiciaire entre Etats, l’un des messages clefs des législations anti-corruption est l’incitation à la mise en place d’un programme de prévention robuste. C’est également l’intention de Sapin 2.

Pour être réellement efficace, la lutte contre la corruption ne doit pas se réduire à un dispositif répressif.

Elle doit faire preuve de logique, et l’objectif final doit être d’inciter à la prévention, la réparation des erreurs commises et l’amélioration continue, tout en appliquant des sanctions sévères lorsque cela est nécessaire.

Conçue dans cet esprit, la loi Sapin 2 dispose que l’entreprise doit tant prévenir le risque de corruption que démontrer la réalité des mesures déployées à cet effet.

Les programmes de lutte anti-corruption restés embryonnaires, en projet ou résultant d’un exercice de pure forme ne sont donc plus une option.

Aujourd’hui, si de nombreux écrits et manifestations traitent des aspects juridiques de cette loi, peu d’espace est encore donné aux évolutions organisationnelles qu’elle engendre.

C’est pourquoi cet article porte une attention particulière à 2 mesures phares de la loi, dont la mise en œuvre peut s’avérer fort complexe, du fait de la taille, des implantations géographiques ou encore de la complexité des opérations développées par l’entreprise : l’évaluation des tierces parties au regard de la cartographie des risques et les procédures comptables.

1. La mise en place des procédures d’évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires, au regard de la cartographie des risques

Mettre en place un programme de compliance efficace implique de connaître ses partenaires d’affaires, quels qu’ils soient (client, fournisseurs, intermédiaires) et où qu’ils soient.

L’entreprise doit,en effet s’assurer que les tierces parties avec lesquelles elle contracte sont « intègres », d’où la nécessité de mettre en place des procédures d’évaluation des tiers couvrant spécifiquement les aspects  corruption.

Celles-ci sont d’autant plus importantes que de nombreuses condamnations en matière de corruption sont liées à des faits commis par l’intermédiaire d’un partenaire (agent, apporteur d’affaires, distributeur etc.) choisi par l’entreprise. Celle-ci est donc comptable de ses partenaires.

De ce point de vue, les mots d’ordre sont identification, analyse et traçabilité.

Il est en effet  indispensable d’identifier les tiers les plus à risque et de réaliser, pour ceux-ci des revues d’intégrité (« due diligences ») approfondies, y compris dans le cadre d’opérations de fusion-acquisition opérées par l’entreprise. Ces due diligences peuvent inclure notamment une analyse détaillée des transactions considérées à risque. Enfin, réaliser des audits anti-corruption chez les tiers (contrat commercial, joint-venture) doit également être envisagé, notamment à travers des clauses d’audit.

Pour autant, il convient, pour mettre en place un système de due diligence efficace, que celui-ci soit proportionné aux risques évalués et que les anomalies éventuelles relevées soient traitées avant que la décision de contractualisation ne soit prise. Et là résident plusieurs difficultés.

En premier lieu, afin de faire face à la profusion d’information que l’entreprise risque d’être dans l’incapacité d’analyser et de traiter avec pertinence, une méthodologie d’évaluation des risques posés par les différentes catégories de tiers devra être mise en œuvre, par exemple en élaborant une matrice de risque permettant de filtrer les cas à analyser en priorité.

Enfin, les signaux d’alertes relevés lors des due diligences effectuées nécessiteront une analyse détaillée, afin de décider et de justifier de la décision éventuelle de contractualisation. De plus, cette analyse devra être réalisée à temps, c’est-à-dire dès l’entrée en relation avec le tiers (bien avant la contractualisation). Cela implique d’informer et de former les différents employés et dirigeants en charge de ces relations d’affaires sur les différents risques de corruption, de s’assurer que les procédures créées par l’entreprise dans cet objectif sont adaptées à l’organisation et aux processus et que celles-ci sont dûment appliquées.

Un autre point essentiel concerne le suivi et la documentation des due diligences effectuées sur les tierces parties. En effet, la traçabilité de l’analyse et la conservation des documents clés permettront de justifier des décisions prises, dans le contexte spécifique qui prévalait.

Mais cet exercice d’évaluation des risques de corruption liés aux tiers ne peut pas être statique. Les entreprises développant en permanence leurs activités (nouveaux produits/activités, nouvelles implantions géographiques, joint-venture locales « imposées » dans le cadre d’un contrat), elles intègrent de fait dans leurs opérations de nouveaux risques liés aux tiers, qu’il est indispensable de surveiller.

2. La mise en place de procédures de contrôles comptables, internes ou externes, pour s’assurer que les livres, registres et comptes ne sont pas utilisés pour masquer des faits de corruption ou de trafic d’influence.

Encore insuffisamment abordée, la mise en place de cette mesure est pourtant indispensable à tout dispositif anti-corruption qui se veut robuste et efficace. Elle représente pour l’entreprise un réel enjeu, mais aussi un véritable outil de détection.

Alors que d’autres mesures, telles que la mise en place du code de conduite ou encore la cartographie des risques ont avant tout un objectif de prévention des faits de corruption, la réalisation de contrôles comptables vise à détecter des cas éventuels à partir des données comptables et financières de l’entreprise.

Ces contrôles entrent dans le cadre du dispositif de suivi de l’efficacité des mesures destiné à surveiller le fonctionnement effectif du programme anti-corruption.

Mais, concrètement, de quoi s’agit-il ?

Avant tout, il s’agit d’effectuer des tests sur des opérations – ou transactions –  enregistrées dans les livres comptables, registres et comptes afin de vérifier qu’elles ne masquent pas des faits de corruption ou de trafic d’influence – au-delà de tests sur les procédures de prévention mises en place par l’entreprise.

Ce point est essentiel, car c’est à travers l’analyse des comptes que les autorités – y compris étrangères – obtiennent des éléments tangibles et factuels leur permettant de lancer des poursuites extraterritoriales. C’est d’ailleurs souvent sur cette base que l’entreprise fautive a transigé avec les au­torités, notamment américaines.

Tel que mentionné dans la loi Sapin 2, ces contrôles peuvent être réalisés en interne, par les services de contrôle comptable et financier de l’entreprise ou en ayant recours à un auditeur externe lors de l’accomplissement des audits de certification des comptes.

La loi reste en revanche silencieuse sur la nature, l’étendue et les modalités de réalisation des contrôles comptables, même si une analogie peut être effectuée avec les contrôles relatifs aux « books and records » du FCPA qui visent à s’assurer que des faits de corruption ne sont pas volontairement masqués dans les comptes de l’entreprise.

Les directives de l’Agence française anti-corruption sont donc fortement attendues. Pour autant, il restera de la responsabilité de l’entreprise de définir un plan de contrôle.

Il pourrait être envisagé au travers de trois volets :

  • des tests sur des opérations spécifiques ne résultant pas de l’activité principale de l’entreprise, mais qui pourraient être de nature à masquer des cas de corruptions ou de trafic d’influence (donations, cadeaux, invitations etc.) ;
  • des tests sur les transactions pouvant résulter des activités principales de l’entreprise en lien avec les principaux risques de corruption identifiés dans la cartographie des risques et l’évaluation des tiers ; et,
  • des tests sur des transactions sélectionnées aléatoirement et pouvant porter notamment sur des notes de frais, des modalités de rémunération particulières, etc.

Comme décrit précédemment, l’entreprise peut choisir d’effectuer ces procédures en interne ou de demander à un auditeur de les réaliser. Dans les deux cas, le service ou l’auditeur chargé du contrôle mettra en œuvre les contrôles définis par l’entreprise.

La mise en place de ces deux mesures, mentionnées ici par choix dans l’objectif d’apporter quelques éléments de réponse pratiques aux nombreuses questions posées, n’exclut bien évidemment pas la conception et le déploiement à tous les niveaux de l’entreprise des 6 autres mesures, qui restent indispensables pour compléter le dispositif anti-corruption.

[1] Les sociétés et EPIC employant au moins 500 salariés ou appartenant à un groupe de sociétés dont la société mère a son siège social en France (ou un groupe public pour les EPIC) et dont l’effectif comprend au moins 500 salariés ; et dont le chiffre d’affaires ou le chiffre d’affaires consolidé est supérieur à 100 millions d’euros.

Pour en savoir plus, découvrez notre conférence « Loi Sapin 2 et lutte contre la corruption »

 

sapin 2

Antoinette GUTIERREZ-CRESPIN, Associé
& Laura PESSANHA, Manager
Ernst & Young et Associés

Retrouvez tous ces débats lors de la conférence : Loi Sapin 2 et lutte contre la corruption qui aura lieu le 16 novembre 2017 à Paris.

Laisser un commentaire