Une question que se posent notamment les dirigeants des ETI concernées par la nouvelle réglementation : comment construire la cartographie des risques d’exposition de l’entreprise aux faits de corruption au vu des recommandations émises le 22 décembre dernier par l’Agence française anticorruption (AFA) ?
Par Sylvie le Damany, avocat, directeur associé, Fidal
A l’issue de la consultation publique organisée du 15 octobre au 16 décembre 2017, l’AFA a publié, le 22 décembre dernier, ses recommandations sur la prévention et la détection des manquements au devoir de probité (corruption, trafic d’influence, concussion, prise illégale d’intérêt, détournement de fonds publics et favoritisme).
Que nous dit l’AFA s’agissant de la cartographie des risques ?
Tout d’abord, et à juste titre, l’AFA rappelle que ses recommandations, bien que publiées au Journal officiel, n’ont pas force obligatoire et ne créent pas d’obligation juridique. Ses recommandations constituent «un référentiel anticorruption» que l’organisation concernée doit décliner et s’approprier au regard de son modèle économique et de ses enjeux.
L’AFA rappelle que la cartographie des risques constitue le levier indispensable de pilotage des risques de corruption et le socle de la stratégie de gestion des risques. Cette cartographie des risques vise deux séries d’objectifs croisés :
– identifier, évaluer, hiérarchiser et gérer les risques de corruption pour garantir un programme de conformité anticorruption efficace et adapté au modèle économique des organisations concernées ;
– informer l’instance dirigeante et donner aux personnes en charge de la conformité la visibilité nécessaire pour la mise en œuvre de mesures de prévention et de détection proportionnées aux enjeux identifiés par la cartographie.
Il est en outre précisé que cette cartographie doit être «complète», «formalisée» et «évolutive».
L’AFA propose une méthodologie en six étapes :
1re étape : clarifier les rôles et les responsabilités entre le dirigeant, le responsable de la conformité, les managers, le responsable des risques et l’ensemble du personnel dans la mise en œuvre et la mise à jour de la cartographie des risques.
2e étape : identifier les risques inhérents propres à l’organisation, et non les risques théoriques.
3e étape : évaluer l’exposition aux risques de corruption en mesurant le niveau de vulnérabilité de l’organisation.
4e étape et 5e étape : évaluer son niveau de maîtrise des risques en déterminant les risques «nets» ou «résiduels» et ce afin de les hiérarchiser, entre ceux dont l’organisation considère comme maîtrisés et ceux pour lesquels la maîtrise doit être renforcée.
