Dispositif Sapin 2 : le temps de l’audit est venu !

Un double enjeu opérationnel et règlementaire

En effet, après une phase de déploiement des 7 premières mesures prévues à l’art. 17 de la loi, le temps d’un premier bilan est venu conformément à l’obligation posée par la 8ème mesure ci-dessus qui prévoit la mise en place "d’un dispositif de contrôle et d’évaluation interne".

A ce titre, l’Agence Française Anticorruption (AFA) précise dans ses recommandations qu’il convient de structurer ce dispositif de contrôle en 3 niveaux, reprenant les normes professionnelles désormais bien établies de l’IIA.

L'AFA a d'ailleurs consolidé cette position dans la mise à jour de ses recommandations publiées au JO le 12 janvier 2021. Elle y décline un plan de contrôle en 3 niveaux, précisant que "la pertinence et l’efficacité des mesures et procédures composant le dispositif anticorruption sont régulièrement évaluées par des contrôles de troisième niveau", incarnés par l’Audit Interne.

L’audit des dispositifs Sapin 2 a ainsi vocation à devenir un exercice régulier des Directions de l’Audit Interne dans les plans d’audit et ce, dès 2021.

Auditer votre dispositif Sapin 2 avec Protiviti

En raison de seuils d’effectifs (500 salariés) et de CA consolidé (100 M€) relativement peu élevés, les entreprises assujetties aux obligations définies à l’art.17 de la loi Sapin 2 comprennent aussi bien des ETIs que des groupes internationaux.

A ce titre, toutes ne disposent pas des ressources nécessaires en nombre et compétences afin de déployer un dispositif de maitrise des risques structuré autour de 3 lignes de défense comme recommandé par l’AFA (en gardant en mémoire les situations où l’audit interne a pu jouer un rôle dans la mise en œuvre du projet – ex : cartographie des risques – ou bien dans le dispositif en régime courant – ex : traitement des alertes et investigations).

Grâce à notre positionnement unique sur le marché, nous pouvons assister efficacement nos clients dans l’audit de leur dispositif : 

• notre expertise historique en matière d’audit interne, nos méthodologies alignées avec les standards de l’IIA et le recours à des professionnels certifiés (CIA)
• notre couverture internationale permettant d’intervenir sur toute la planète pour nos clients grâce à notre réseau intégré de 85 bureaux dans le monde
• notre indépendance vis-à-vis de toute profession règlementée (Protiviti n’exerce aucune activité de commissariat aux comptes depuis sa création en 2002)
• notre maîtrise des sujets de conformité notamment anticorruption en France (Loi Sapin 2) et au niveau international, sur les règlementations telles que FCPA, UKBA et Lei 231.

Le bureau de Paris a dans ce cadre développé dès 2016 une solution, des expertises et des références pour accompagner ses clients dans la conception et le déploiement opérationnel de leur dispositif anticorruption conformément aux nouvelles obligations introduites par la loi Sapin 2.

Grâce à ce savoir-faire accumulé, nous avons pu concevoir un programme de travail d’audit conçu à partir des recommandations de l’AFA et du questionnaire utilisé en cas de contrôle. Ce dernier intègre également le retour d’expérience de nos missions d’accompagnement au déploiement de programme anticorruption, mais aussi celui de nos missions d’assistance auprès de nos clients lors de contrôles administratifs de l’AFA.

Quelle approche d’audit adopter ?

S’il paraît évident que la mise en place "d’un dispositif de contrôle et d'évaluation interne des mesures mises en œuvre" ne pouvait être réalisée qu’à l’issue du déploiement des dites mesures, et n’a dès lors sans doute pas fait l’objet d’une attention excessive de l’AFA lors de ses premiers contrôles, la vigilance de ses inspecteurs sur ce point va augmenter à mesure que la date d’entrée en vigueur de la loi s’éloigne. Afin de répondre à cette attention potentiellement accrue, Protiviti propose à ses clients une approche d’audit adaptée selon leur profil de risque et le niveau d’assurance souhaité à l’issue de l’audit. Cette approche se structure à minima en 2 temps pour les ETIs dont le périmètre de contrôle est limité : une revue de la conception, de l’animation et du pilotage du dispositif au niveau central et un audit plus approfondi de son déploiement et de son application le cas échéant au niveau des filiales.

Pour les groupes internationaux, cette articulation entre la conception et l’animation du dispositif au niveau du Groupe et sa déclinaison opérationnelle au niveau local devient encore plus fondamentale. Ainsi, une revue par échantillonnage doit être réalisée sur chacun des 8 piliers de la loi, calibrée en fonction du degré d’assurance retenu. Afin de réaliser cette dernière, nous pouvons également mettre utilement à profit les outils de Data Analytics à notre disposition.