Comment évaluer l'efficacité de votre programme de prévention de la corruption ?

Loi Sapin 2 et contrôles de l’Agence Française Anticorruption (AFA)

Plus d’un an après l’entrée en vigueur de la loi Sapin 2, beaucoup d’entreprises françaises ont mis en place un dispositif de conformité mais peu d’entre elles se sont penchées sur l’évaluation des programmes de conformité (dernier point de l’article 17-II).

Cette évaluation de l’efficacité d’un programme est composée de deux types d’activité : le « monitoring » permettant de réaliser un véritable contrôle interne sur les mesures du programme de conformité et l’audit interne de ces programmes.

La phase d’évaluation est clé pour que le programme s’inscrive dans une démarche d’amélioration continue tout en s’assurant de son respect par les collaborateurs.

L’évaluation de l’efficacité du programme : un enjeu central pour les entreprises concernées par la Loi Sapin 2

La mise en conformité avec la Loi Sapin 2 a engendré de nouvelles dépenses pour la plupart des entreprises en raison du temps consacré par leurs équipes à ce sujet ou du budget nécessaire pour bénéficier de conseils spécialisés. Il importe donc de déterminer dans quelle mesure ces investissements ont porté leurs fruits et comment les programmes de conformité devront être améliorés par la suite.

L’Agence Française Anti-corruption a nettement augmenté le rythme de ses contrôles de la qualité et de l’efficacité des dispositifs anti-corruption des entreprises. Elle est notamment attentive, au cours de ses contrôles, à l’existence d’indicateurs permettant de mesurer l’efficacité du programme de conformité.

Déployer un dispositif de contrôle à trois niveaux pour garantir un maximum de sécurité

La loi Sapin 2 impose la mise en place d’un dispositif de contrôle et d'évaluation des mesures mises en œuvre. Ce dispositif doit permettre de s’assurer que le programme de conformité est opérationnel, efficace et adapté aux risques de corruption auxquels l’entreprise peut être exposée, tels qu’identifiés dans l’exercice de cartographie des risques de corruption.

Généralement piloté par le Responsable Conformité, le dispositif s’organise autour de trois niveaux de contrôle qui s’inspirent du schéma des lignes de défense. Le premier niveau s’assure que les processus opérationnels sont en accord avec les règles et définis par le programme conformité de l’entreprise alors que le deuxième niveau vérifie la correcte exécution des contrôles de premier niveau et apprécie le bon fonctionnement du programme de conformité dans son ensemble. Le troisième niveau consiste à évaluer de façon indépendante l’efficacité du programme et le respect de ses règles par les collaborateurs, il peut être positionné au niveau de l’audit interne ou d’un conseil externe.

Le Responsable Conformité doit s’assurer que les opérationnels en charge de certains contrôles prévus au sein du programme conformité disposent des outils nécessaires pour mener à bien cette mission. De ce fait, le Responsable Conformité se place plutôt dans un rôle d’animateur dans la réalisation des contrôles et n’est pas seul à les réaliser au quotidien.

Définir des indicateurs adaptés à la maturité du programme de conformité

Les enjeux et objectifs de l’évaluation ne pourront pas être atteints si les indicateurs de performance examinés ne sont pas correctement choisis. Or, l’identification d’indicateurs pertinents est une opération délicate qui doit tenir compte d’une pluralité de facteurs internes et externes à l’entreprise : la taille et la structure de l’entreprise, le niveau de maturité du programme de conformité, les objectifs de la thématique évaluée, les exigences des régulateurs, le niveau d’exposition aux risques etc.

Ainsi, une entreprise disposant d’un programme de conformité mature, en place depuis plusieurs années, ne devra pas utiliser les mêmes indicateurs qu’une entreprise venant juste de concevoir son programme de conformité. Dans le premier cas de figure, l’entreprise devra s’assurer que le programme a su évoluer pour rester aligné avec les activités de l’entreprise mais également qu’il a été strictement respecté par ses collaborateurs. Les indicateurs seront plus exigeants dans le cadre d’un programme conformité mature, et les éventuels écarts moins tolérés. A l’inverse, l’entreprise venant de se doter d’un programme de conformité devra, dans un premier temps, suivre la bonne implémentation de son programme dans les métiers et les entités locales, et sa correcte mise en œuvre par les opérationnels, en mettant l’accent sur la formation et l’accompagnement.

Autrement dit, les objectifs, le niveau d’exposition aux risques et la maturité du programme de conformité pèsent fortement sur le choix de l’indicateur utilisé. Il est donc primordial de disposer d’une méthodologie prenant en compte tous ces critères, qui ne soit pas figée puisque les indicateurs doivent notamment pouvoir évoluer au regard des exercices de cartographie des risques de conformité.

S’interroger sur l’évaluation de l’efficacité dès la définition des mesures et outils de prévention de la corruption

Les données sur lesquelles l’analyse d’efficacité doit être fondée doivent être clairement identifiées et définies dès la conception et le lancement des mesures et outils de prévention de la corruption. A titre d’exemple, lors du lancement d’un e-learning anticorruption, l’entreprise devra prévoir dès le départ les outils permettant le suivi des participants, le temps de connexion de chaque collaborateur, leur résultat au test de connaissance etc. Si ces indicateurs ne sont pas préalablement prévus lors du lancement de la formation, il sera difficile pour le Responsable Conformité d’assurer un suivi rigoureux de cette formation. Il est donc essentiel que les outils et mesures déployés produisent par eux-mêmes les données permettant l’analyse de leur efficacité. Ainsi, il est important de construire les éléments d’un programme en y insérant dès l’origine les indicateurs qui permettront au Responsable Conformité d’effectuer un monitoring régulier de son programme de conformité. Ces indicateurs doivent l’aider à identifier les zones d’ombre de son programme, celles qui ne sont pas parfaitement en adéquation avec les façons de faire de l’entreprise et qui doivent alors être revues pour adapter le programme de conformité à la vie de l’entreprise. Ces données permettent aussi d’identifier les collaborateurs ne respectant pas sciemment les mesures du programme et d’actionner le cas échéant le mécanisme de sanction tel qu’exigé par les dispositions de la loi Sapin 2.

Ainsi, les indicateurs sont primordiaux pour un suivi au quotidien du programme de conformité. Pour autant ces indicateurs et leur correct suivi doivent être audités dans le cadre du contrôle de troisième niveau faisant intervenir des auditeurs indépendants, en charge d’auditer aussi bien le programme de conformité et son respect par les collaborateurs que sa conformité aux exigences légales. Ici, l’auditeur vient auditer le programme mais aussi la fonction conformité dans son ensemble.

« En comptant sur les compétences croisées de nos équipes conformité, audit interne et data assurance, nous pouvons accompagner les entreprises dans la conception et le monitoring des indicateurs de leur programme conformité mais également dans la réalisation de missions d’audit interne de tout ou partie de ce programme. »

Harold Ceintrey, Associé, PwC France

Contactez-nous

Harold Ceintrey
Associé Risques, Contrôle interne et Conformité, PwC France
Tel : +33 1 56 57 58 42
Email

Suivez-nous !