Contrôle interne et contrôles comptables anticorruption, quels enjeux ? Alban Clot, Managing Director chez Supervizor et Arnaud Floquet, Managing Director au sein du cabinet Protiviti vous propose leur vision croisée sur les dernières réglementations anticorruption, les évolutions du contrôle comptable ainsi que sur les recommandations de l'AFA. Topics Risk Management and Regulatory Compliance Loi Sapin 2, des opportunités plus que des contraintes pour les entreprises ? «Quand il y a une nouvelle réglementation qui s’impose, on voit toujours d'abord la contrainte. C’est le réflexe habituel. Cependant, dans ce cas précis, il y a une vraie raison pour laquelle cette règlementation a été faite. L’objectif est de rééquilibrer l'arsenal réglementaire français par rapport aux standards internationaux et surtout le standard américain. Nous pouvions être amenés à perdre des marchés car nous n'avions pas de réglementation anti-corruption dont on pouvait se prévaloir. Michel Sapin explique que cette loi va permettre aux entreprises françaises de pouvoir se battre à armes égales avec des compétiteurs américains. De plus, il y a une vraie opportunité dans la mise en œuvre de la loi Sapin II quand nous réalisons une analyse précise de son ROI. Elle apporte beaucoup de valeur sur l'amélioration des investigations des erreurs et des fraudes.» «Pour vous répondre franchement, nous n’avons rencontré aucun client ou prospect ayant abordé la Loi Sapin 2 facialement comme une opportunité. En revanche, pour compléter les propos d’Alban sur des aspects liés au fonctionnement interne de l’entreprise, nous constatons que la loi Sapin 2 s’est révélée comme un formidable accélérateur de démarches longtemps restées au second plan ou plus explicitement « dans les placards » : à savoir, évaluation de l’efficacité du contrôle interne, mise en œuvre de projets de Data Analytics, adoption du modèle à 3 lignes de défense avec des moyens dédiés, meilleure connaissance de ses fournisseurs et centralisation des achats, etc. La liste n’est pas exhaustive mais il ne fait guère de doute que cette loi est une opportunité pour les fonctions de contrôle et de conformité d’obtenir des moyens pour engager ces initiatives, en utilisant (de manière parfois un peu exagérée) le prétexte Sapin 2. A elles de saisir ces opportunités et de les mettre en œuvre avec efficacité.» Pourquoi un dispositif « classique » de contrôle interne existant peut se révéler insuffisant pour adresser les contrôles comptables anticorruption au sens de la loi Sapin 2 ? «Le premier réflexe de nos clients ou prospects sur cette mesure des contrôles comptables a été de faire référence à leur dispositif de contrôle interne « classique ». Et cela peut prendre du temps et de la pédagogie pour expliquer les limites d’un tel dispositif. Les dernières recommandations de l’AFA viennent à notre sens clarifier encore ces principes. En premier lieu, il s’agit de bien comprendre qu’un dispositif « classique » demeure la base, ou le socle nécessaire. Mais pas forcément suffisant. Les principes de base de gestion des accès, de séparation des tâches sont évidemment des points de contrôle de base nécessaires mais qui ne suffiront sans doute pas pour détecter des écritures qui pourraient masquer des faits de corruption. Ensuite, le principe reste d’identifier sur la base de la cartographie des risques de corruption, les cycles qui pourraient masquer des risques de corruption. Par exemple, une société peut disposer dans son dispositif de contrôle interne « classique » des contrôles sur l’approbation de modification de RIB (via confirmation auprès du fournisseur) ou sur le niveau de remise accordé à ses distributeurs (via des matrices d’approbation). D’un point de vue anticorruption Sapin 2, il s’agira de vérifier que ces contrôles permettent de détecter de manière plus fine des potentiels risques de corruption : RIB domicilié dans un paradis fiscal ou un pays différent du lieu de la prestation, taux de remise pouvant permettre une rémunération indirecte, notamment via le regard d’une fonction conformité.» Comment expliquer les confusions fréquentes entre contrôles comptables Sapin 2 et contrôles de second niveau ? «Pour faire le lien avec la question précédente, les référentiels de contrôle interne « classiques » présentent également souvent une seconde limite, liée à l’évaluation de leur efficacité. Ces dispositifs demeurent encore trop rarement évalués de manière régulière (auto-évaluation et audit interne périodique uniquement) à l’exception des secteurs régulés comme la banque et l’assurance. C’est à ce titre qu’il nous semble que l’AFA a promu avec justesse au sein de ses recommandations ce standard à 3 lignes de maîtrise édicté par les associations professionnelles de gestion des risques, d’audit et de contrôle internes depuis plusieurs années. Ici encore, il s’agit de faire progresser la maturité des entreprises sur l’adoption d’un tel modèle dans lequel : les opérationnels jouent un rôle actif dans la maîtrise de leur opérations (1er niveau de contrôle ou de maîtrise), des fonctions indépendantes des opérationnels dépassent leurs rôles de « standard setters » ou d’émission de politiques et procédures pour s’assurer de la mise en œuvre effective de ces procédures au quotidien via des contrôles dédiés réguliers (2ème niveau de contrôle ou de maîtrise), l’audit interne peut jouer pleinement son rôle en toute indépendance : fournir une assurance raisonnable sur l’efficacité globale du dispositif (sa conception et son efficacité) via des audits périodiques (évaluation de la 1ère et 2nde ligne au sein de la 3ème ligne). Ceci étant dit, il ne faut pas nier la difficulté de mettre en œuvre ce modèle pour des sociétés positionnées dans la frange basse des seuils applicables à la Loi Sapin 2.» Quelles sont les étapes clés d’un projet de déploiement de contrôles comptables et quelles sont les solutions possibles pour un groupe assujetti ? «Mettre en œuvre l'outil est la première étape. Il s’agit d’identifier les bons contrôles comptables à mettre en œuvre en lien avec la cartographie des risques, les sélectionner dans le logiciel Supervizor et les lancer. La gouvernance est le deuxième sujet : qui s’en servira ? Dans les nouvelles recommandations de l’AFA, l'engagement de la direction générale est le premier pilier, qui doit garantir l’existence d’une véritable culture de la compliance au sein de l’entreprise. Un point essentiel de la mise en œuvre des contrôles comptables est donc de tenir informée la direction générale de la mise en œuvre opérationnelle des contrôles. C’est notamment pour cette raison que Supervizor a mis en place des dashboards visuels et reportings synthétiques dans la solution, qui peuvent être facilement partagés avec la direction générale.» «Alban vient de mentionner un point essentiel à nos yeux, l’importance pour l’entreprise de bien sélectionner ses contrôles ciblés en fonction de son profil de risques et des moyens de corruption possibles identifiés dans la cartographie des risques. Comme pour l’évaluation des tiers, il s’agit d’allouer les ressources de l’entreprise sur les sujets les plus risqués et de ne pas les « saupoudrer » de manière inefficace. Ensuite, le point de la gouvernance reste crucial. La loi Sapin 2 vient rebattre les cartes au sein des entreprises sur les positionnements, les rôles et responsabilité et les ressources allouées aux différentes fonctions de gestion des risques, de conformité, de contrôle interne et d’audit interne.» D’après vos retours d’expérience, quel est le temps moyen de mise en œuvre d’un projet de contrôles comptables Sapin 2 ? «En général, le plan de contrôles issus de la cartographie des risques va s’appuyer sur les contrôles déjà automatisés en standard dans Supervizor. La rapidité de mise en œuvre est donc très forte et cela peut être réalisé en quelques jours. C’est ce qu’on appelle la phase de Plug & Play. Il va uniquement s'agir d'aller récupérer les données en connectant Supervizor sur les systèmes comptables, présélectionner les contrôles que nous voulons lancer par rapport à la cartographie des risques et tout simplement appuyer sur un bouton. Tout dépend du nombre de pays et d’ERP, mais pour un environnement standard avec un ERP intégré, le processus prendra tout compris 5 jours. Lorsque nous avons plusieurs dizaines d’ERP, cela peut prendre un peu plus de temps en fonction de la complexité de la récupération de la data. A l’issue de cette phase rapide de mise en œuvre, un accompagnement rapproché est mis en place entre le client et les équipes de Supervizor, afin d’ajuster et d’affiner progressivement certains contrôles en fonction de spécificités éventuelles, si cela s’avère nécessaire : c’est la phase de Learn & Enrich. Il est également possible d’ajouter des contrôles complémentaires lors de cette étape.» Quelles vont être les priorités de l’AFA pour les deux années à venir en matière de contrôles d’entités assujetties ? «Selon l’AFA, avec qui nous échangeons, il y a une vraie interrogation sur la maturité des entreprises vis-à-vis des contrôles comptables. Les deux sujets sur lesquels les entreprises sont les moins prêtes, sont l'évaluation des tiers et les contrôles comptables. L’AFA nous demande, en tant qu’experts du contrôle comptable, ce que nous pensons de cette réalité. Face à cette question « où en sont les entreprises ? », nous ne pouvons que constater que pour l'instant, il y a encore beaucoup de chemin à faire et que nous sommes là pour les aider.» «Nous ne pouvons que partager ce constat. La cartographie des risques a mobilisé les débats et les énergies des entreprises au cours de ces dernières années. Nul doute que cette étape d’identification et d’évaluation des risques de corruption était nécessaire pour correctement dimensionner le dispositif subséquent. Néanmoins, les mesures qui impactent le plus en profondeur les opérations des entreprises restent l’évaluation des tiers et les contrôles comptables. Et indéniablement, le niveau de maturité sur ces sujets doit encore progresser.» Dans le cadre de cet entretien, chaque partie est responsable de ses propos en son nom. Leadership Arnaud Floquet Arnaud est Managing Director de la practice Risk and Compliance du bureau de Paris. Il possède plus de 20 ans d'expérience professionnelle en matière de gestion globale des risques (ERM), de contrôle interne (SOX / LSF) et de conformité règlementaire (LCB-FT, Sanctions ... En savoir plus