Développer une cartographie des risques de corruption : les 5 principales erreurs à ne pas commettre
« Clé de voûte », « socle », « pierre angulaire » … l’Agence française anticorruption (AFA) et l’ensemble des acteurs de la conformité n’ont cessé depuis 2017 d’insister sur l’importance de la cartographie des risques au sein du dispositif anticorruption des entreprises. Pourtant, malgré plus de 5 ans de pratique, une mise à jour des recommandations de l’AFA et environ 90 contrôles menés par l’agence sur des organisations privées, une majorité de cartographies souffrent encore de nombreuses faiblesses méthodologiques. Dans son rapport d’activité 2021, l’AFA indiquait ainsi que sur les contrôles clôturés pendant l’année, 85% « ont révélé un manquement relatif à la qualité de la cartographie des risques ».
Ce chiffre révèle les difficultés auxquelles continuent de faire face les organisations dans l’élaboration et le développement de cet outil, qui aura vocation à être à la fois un instrument de pilotage stratégique pour les organes de direction et les directions conformité et une feuille de route à disposition des opérationnels. Comment réconcilier ces deux objectifs ?
Sur la base de notre expérience en matière d’évaluation de dispositifs anticorruption et de développement de cartographies des risques pour nos clients nous avons pu faire ressortir les 5 erreurs les plus communément observées lors du développement d’une cartographie et à ne surtout pas commettre pour s’assurer de répondre aux attentes de l’AFA et de disposer d’un outil opérationnel pour prévenir les risques de corruption au sein de ses activités.
1. Réaliser une cartographie incomplète
Il s’agit là certainement de la défaillance que nous avons le plus communément observée dans l’élaboration d’une cartographie des risques de corruption.
L’identification des risques, pour être exhaustive, devra s’appuyer sur une analyse préalable et approfondie des processus de l’entreprise. Il est bien évidemment possible, voire conseillé, de se fonder sur une potentielle cartographie des processus préexistante. Cependant, l’entreprise devra veiller à ne pas exclure à ce stade tel ou tel processus ou activité qui lui semblerait moins exposé au risque.
De la même manière, il ne sera pas acceptable de mettre de côté un pays d’opération pour la seule raison qu’il a un score élevé sur l’indice de perception de la corruption de Transparency International.
L’organisation devra pouvoir démontrer, en assurant une traçabilité de toutes les démarches entreprises au cours de l’exercice, que l’ensemble des processus, secteurs d’activités et pays d’opérations ont bien été pris en compte.
2. Choisir un périmètre trop hétérogène
Une fois que les processus, les activités et les territoires d’opérations de l’entreprise ont été soigneusement recensés, celle-ci devra déterminer et borner le ou les périmètres adaptés pour obtenir une cartographie conforme aux attentes de l’AFA. En effet, si pour certaines entreprises de taille moyenne, il pourra être envisageable de ne développer qu’une seule cartographie pour l’ensemble des processus, pour des groupes de sociétés de tailles plus importantes, il sera indispensable de décliner la méthodologie pour différents processus, zones géographiques, entité ou métier.
Un périmètre trop large et hétérogène mènera inévitablement au développement de scénarios de risques trop génériques qui ne prennent pas en compte les particularités de l’environnement au sein duquel les activités sont menées.
L’entreprise devra choisir des périmètres qui présentent des facteurs de risques et des mesures de maîtrise homogènes. Cela pourra être fait en fonction des zones géographiques (par pays ou régions présentant des facteurs de risques proches) ou des secteurs d’activité ou processus selon ce qui semble le plus pertinent en fonction de la structure de l’entreprise.
3. Ne pas impliquer tous les niveaux hiérarchiques dans l’organisation
L’une des faiblesses méthodologiques maintes fois rencontrées réside dans les collaborateurs impliqués dans l’exercice d’identification des risques. La tentation peut être forte pour les entreprises de ne faire participer que les dirigeants pour limiter le nombre de participants.
Or, il est essentiel que le personnel opérationnel puisse contribuer à l’exercice de cartographie pour que les scénarios de risques soient le reflet fidèle de ceux auxquels est exposé l’entreprise.
Des échanges devront donc être organisés avec des représentants de tous niveaux hiérarchiques dans les différents processus de l’entreprise.
4. Concevoir l’exercice comme un audit interne
La phase d’échange avec les collaborateurs de l’entreprise est essentielle et particulièrement sensible. Dans de nombreux cas, le personnel opérationnel peut se montrer inquiet ou méfiant lorsqu’il lui est demandé de s’exprimer sur les risques auxquels il fait face. C’est pourquoi il est indispensable que l’exercice de cartographie ne soit pas perçu comme un audit ou une investigation interne. L’objectif constant des responsables en charge du développement d’une cartographie des risques devra être de faciliter la prise de parole de chacun.
Il est important, à cet égard, de réfléchir aux formats des échanges qui permettront au mieux cette expression (entretiens individuels, ateliers, questionnaires…). Ces choix dépendront évidemment des structures particulières des organisations, mais nous préconisons généralement de combiner ces différents formats selon les populations visées. Il est souvent fructueux, par exemple, d’organiser des ateliers collectifs avec des personnels opérationnels de niveaux hiérarchiques homogènes.
Il est également utile, à ce stade, de s’interroger sur les intervenants qui auront la charge de mener ces échanges. Il pourra parfois être plus judicieux de confier cette responsabilité à des personnes extérieures à l’organisation.
5. Adopter une approche purement formelle
La cartographie des risques de corruption ne peut être un outil stratégique dans les seules mains de l’instance dirigeante ou de la direction de la conformité à ne sortir du tiroir qu’au moment d’un contrôle de l’AFA. Trop souvent, celle-ci sera un instrument purement formel, déconnecté des réalités et défis opérationnels de l’entreprise.
Au contraire, une cartographie de qualité et effective devra nourrir non seulement les 7 autres piliers de la loi Sapin 2 mais aussi avoir une incidence directe sur la manière dont est mené le business. C’est pourquoi il est important que des représentants de tous les processus de l’entreprise soient impliqués dans le processus d’identification des risques et que les scénarios retenus soient fidèles à la réalité.
De la même manière, les plans d’actions et feuilles de routes attachés aux risques prioritaires devront être concrets et pragmatiques et communiqués aux responsables opérationnels spécifiquement désignés pour assurer leur mise en œuvre.
Pour éviter chacun de ces écueils, n’hésitez pas à contacter les équipes de GoodCorporation. Notre expérience avec des clients de secteurs et de tailles très divers nous ont permis de développer une méthodologie robuste et facile à assimiler permettant ensuite aux organisations de la déployer de manière autonome.