Dispositif de contrôle et d’évaluation interne
L’article 17, II, 8° de la loi Sapin II dispose que les présidents, les directeurs généraux et les gérants des sociétés assujetties doivent mettre en œuvre :
« un dispositif de contrôle et d’évaluation interne des mesures mises en œuvre ».
Destiné à s’assurer de l’adéquation et de l’efficacité des dispositifs et procédures anti-corruption mis en place par la société, ce dispositif de contrôle et d’évaluation interne répond concrètement à quatre objectifs :
- contrôler la mise en œuvre des mesures du dispositif anticorruption et tester leur efficacité ;
- identifier et comprendre les manquements dans la mise en œuvre des procédures ;
- définir des recommandations ou autres mesures correctives adaptées, si nécessaire, en vue d’améliorer l’efficacité du dispositif anticorruption ;
- détecter, le cas échéant, des faits de corruption.
Ce dispositif de contrôle et d’évaluation comprend trois niveaux :
- les contrôles de premier niveau. Il s’agit de contrôles préventifs réalisés avant qu’une décision ou qu’une opération ne soit mise en œuvre. Ils visent à s’assurer que les tâches inhérentes à un processus opérationnel ou support ont été réalisées conformément aux procédures édictées. Ils peuvent être opérés par les équipes opérationnelles ou supports ou par le responsable hiérarchique ;
- les contrôles de deuxième niveau. Il s’agit de contrôles détectifs opérés sur tout ou partie des décisions prises ou des opérations réalisées. Ils visent à s’assurer, de façon aléatoire ou selon une régularité définie, de la bonne exécution des contrôles de premier niveau. Les contrôles de deuxième niveau peuvent être réalisés par le responsable de la conformité, une fonction qualité, la fonction de gestion des risques, le contrôle de gestion notamment ;
- les contrôles de troisième niveau. Également désignés « audits internes », ces contrôles visent à s’assurer que le dispositif de contrôle est conforme aux exigences de l’entreprise, efficacement mis en œuvre et tenu à jour.
Soulier Avocats accompagne ses clients dans l’élaboration et la mise en place d’un dispositif de contrôle et d’évaluation interne personnalisé et conforme aux recommandations de l’Agence Française Anticorruption, permettant le pilotage, l’évaluation et l’amélioration des mesures et procédures anti-corruption mises en œuvre.
Pour chacun des contrôles doivent être spécifiés l’objet et le périmètre, le ou les responsable(s) en charge, la méthode de contrôle utilisée (type de mesures, de justificatifs, etc.), la fréquence du contrôle, la formalisation attendue, les modalités de communication des résultats du contrôle et, le cas-échéant, des mesures correctives préconisées, ainsi que les conditions de conservation des pièces afférentes aux contrôles.
Tout manquement identifié doit faire l’objet d’un rapport visé par le responsable de la conformité.
L’efficacité et la pertinence des mesures et procédures mises en œuvre par l’entreprise dans le cadre du dispositif anticorruption doivent régulièrement être évaluées par des contrôles de troisième niveau.
Pour chaque mesure, procédure et dispositif visé à l’article 17 de la loi Sapin II, des contrôles de premier, deuxième et troisième niveaux doivent ainsi être définis et mis en œuvre. Il est souhaitable que toute mesure ou procédure déployée, le cas-échéant, par l’entreprise en complément de celles visés par la Loi Sapin II fassent également l’objet de ces contrôles.
L’Agence Française Anticorruption recommande que ces contrôles portent notamment sur les éléments suivants[1] :
Cartographie des risques de corruption | |
Contrôles de niveau 1 | Les contrôles relatifs à la cartographie des risques ne peuvent être réalisés qu’après l’établissement de celle-ci et de ses mises à jour. |
Contrôles de niveau 2 | Le service en charge du pilotage du dispositif anticorruption, qui a œuvré à la mise en œuvre de la cartographie des risques et/ ou à ses mises à jour ne peut réaliser de contrôle de second niveau. |
Contrôles de niveau 3 | Revue du périmètre de la cartographie, de la méthodologie mise en œuvre, du déploiement des plans d’actions y afférents. Analyse des insuffisances constatées et des incidents survenus. Analyse de la gouvernance et de la correcte allocation des ressources. Analyse du caractère systémique du dispositif, notamment à titre d’exemple : –analyse des illustrations utilisées dans le code de conduite au regard des risques identifiés dans la cartographie ; –analyse du ciblage et du contenu des formations au regard des risques identifiés dans la cartographie ; –analyse des incidents révélés au travers du dispositif d’alerte ou des contrôles comptables et leurs conséquences sur la mise à jour de la cartographie ; –analyse de l’adéquation du dispositif d’évaluation des tiers au regard des risques identifiés dans la cartographie. |
Code de conduite | |
Contrôles de niveau 1 | Validation des actions ou situations visées par les politiques ou procédures intégrées ou annexées au code de conduite (notamment en matière d’invitations et de cadeaux). |
Contrôles de niveau 2 | Contrôle périodique de la bonne réalisation des contrôles de niveau 1. Contrôle par échantillonnage du respect des politiques ou procédures intégrées ou annexées au code de conduite. Revue du contenu du code au regard de la loi, de la cartographie des risques et de l’intégration du code de conduite au sein du règlement intérieur des entités concernées. Vérification, à chaque mise à jour de la cartographie des risques, de l’adéquation des illustrations visées au code de conduite. |
Contrôles de niveau 3 | Contrôle de la bonne réalisation et de l’efficacité des contrôles de niveaux 1 et 2. Analyse de la communication, de la diffusion et de l’accessibilité du code de conduite et des politiques/procédures qui y sont intégrées ou annexées. Analyse du caractère systémique du dispositif, notamment à titre d’exemple : –analyse critique du contenu du code conduite au regard des scénarios de risques identifiés dans la cartographie et de son intégration dans le dispositif de formation. |
Dispositif de formation et de sensibilisation | |
Contrôles de niveau 1 | Vérification de la présence des collaborateurs concernés et des connaissances qu’ils ont acquises lors des formations. |
Contrôles de niveau 2 | Contrôle périodique de la bonne réalisation des contrôles de niveau 1. Vérification de la cohérence entre les publics ciblés par la formation, le contenu de la formation et les risques auxquels ces publics sont susceptibles d’être exposés, tels qu’identifiés dans la cartographie. Supervision de la participation des collaborateurs concernés et des éventuelles sanctions en cas de non-participation aux sessions de formation. |
Contrôles de niveau 3 | Contrôle de la bonne réalisation et de l’efficacité des contrôles de niveaux 1 et 2. Analyse de la gouvernance et de la correcte allocation des ressources. Analyse du caractère systémique du dispositif, notamment à titre d’exemple : –analyse du ciblage et du contenu de la formation destinée aux cadres et personnels les plus exposés ; –analyse de la clarté des références au code de conduite et au dispositif d’alerte. |
Dispositif d’évaluation des tiers | |
Contrôles de niveau 1 | Contrôle de l’application de la/les procédure(s) d’évaluation des tiers. Exemple – Vérifier en amont de l’entrée en relation avec un nouveau fournisseur : –la bonne remise de l’ensemble des documents prévus par la procédure (liste des bénéficiaires effectifs, réponses à un questionnaire, etc.) ; –la bonne réalisation des recherches nécessaires (sources ouvertes, bases de données, etc.) ; –la conformité de l’évaluation aux éléments analysés ; –la correcte formalisation de la décision d’entrer ou non en relation. |
Contrôles de niveau 2 | Contrôle périodique de la bonne réalisation des contrôles de niveau 1, sur la base d’un échantillonnage représentatif de dossiers. Vérification de la mise en place des mesures de vigilance et d’un suivi effectif de celles-ci. Vérification de la mise à jour des dossiers. Contrôle de la pertinence des mesures de vigilance déployées. |
Contrôles de niveau 3 | Contrôle de la bonne réalisation et de l’efficacité des contrôles de niveaux 1 et 2. Analyse du caractère systémique du dispositif, à titre d’exemple : –contrôle de l’adéquation du dispositif d’évaluation des tiers avec les risques identifiés dans la cartographie ; -vérification de la mise à jour des dispositifs de contrôles comptables au regard des risques identifiés à l’occasion des évaluations de tiers. |
Dispositif d’alerte interne | |
Contrôles de niveau 1 | Contrôle du déploiement et de la bonne application de la procédure d’alerte. Exemples : –contrôle de l’accessibilité des canaux et de la communication large sur le dispositif d’alerte ; –contrôle de l’analyse de recevabilité de l’alerte et de l’identification des rôles et responsabilités au sein de l’équipe en charge de l’investigation ; –contrôle des modalités de clôture de l’investigation et de l’information communiquée dans ce cadre ; –contrôle des sanctions et plans d’actions ; –contrôle du respect de la confidentialité et de l’anonymat ; -contrôle des modalités de suivi des mesures de protection. |
Contrôles de niveau 2 | Contrôle périodique de la bonne réalisation des contrôles de niveau 1, sur la base d’un échantillonnage représentatif de dossiers. |
Contrôles de niveau 3 | Contrôle de la bonne réalisation et de l’efficacité des contrôles de niveaux 1 et 2. Analyse qualitative et quantitative des signalements reçus sur la période de référence (canaux utilisés, sujets visés, etc.). Contrôle de la pertinence des réponses apportées aux signalements reçus. Analyse du caractère systémique du dispositif, notamment à titre d’exemple : –prise en compte des signalements dans la mise à jour de la cartographie, du dispositif d’évaluation des tiers ou des contrôles comptables. -contrôle de l’existence d’une formation/information des collaborateurs sur le dispositif d’alerte et d’une formation spécifique pour les personnes en charge de leur traitement. |
Contrôles comptables | |
Contrôles de niveau 1 | Contrôle automatisé de certaines opérations. Contrôle des habilitations. Principe de la double revue : revue par un collaborateur différent de celui en charge de passer l’opération. Contrôle de la bonne application des contrôles comptables anticorruption préalablement à la réalisation de l’opération. |
Contrôles de niveau 2 | Contrôle périodique de la bonne réalisation des contrôles comptables anticorruption postérieurement à l’opération, sur la base d’un échantillonnage représentatif de dossiers. |
Contrôles de niveau 3 | Contrôle de la bonne réalisation et de l’efficacité des contrôles comptables de niveaux 1 et 2. Analyse de la réalisation des contrôles comptables et de la correcte allocation des ressources. Analyse de la pertinence des contrôles comptables au regard des risques visés dans la cartographie. Analyse du caractère systémique du dispositif, notamment à titre d’exemple : –analyse critique des procédures de contrôles comptables en place au regard des mises à jour de la cartographie des risques de corruption. |
Régime disciplinaire | |
Contrôles de niveau 1 | Le contrôle de la conformité du régime disciplinaire ne peut être réalisé qu’à partir du moment où les sanctions sont prononcées. |
Contrôles de niveau 2 | Contrôle, pour chaque incident, de la prise de sanction. Vérification de l’adéquation entre l’incident et la sanction. |
Contrôles de niveau 3 | Contrôle de la bonne réalisation et de l’efficacité des contrôles de niveau 2. Analyse du caractère systémique du dispositif, notamment à titre d’exemple : –analyse des sanctions mises en œuvre et de la nécessité de renforcer la communication de l’instance dirigeante ou les formations sur telle ou telle mesure composant le dispositif anticorruption. |
[1] Données tirées de dernières recommandations de l’Agence Française Anticorruption.