Accueil //Blog //Sapin II //Comment faire sa cartographie des risques ?
Crédits photo : Lukas, Pexels

L’article 17 II de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique dite loi Sapin II prévoit une obligation de mettre en place des mesures et procédures visant à prévenir et détecter les faits de corruption et de trafic d’influence pour les assujettis. L’une de ses mesures consiste à réaliser une cartographie des risques qui identifie et hiérarchise les différents risques de corruption auxquels l’entité est exposée en fonction notamment des secteurs d’activités et des zones géographiques dans lesquels la société exerce son activité.

La cartographie des risques est considérée par l’Agence Française Anticorruption (AFA) comme la pierre angulaire du dispositif anticorruption global de la société. C’est de cette mesure que doivent procéder les autres mesures et procédures du dispositif anticorruption.

La cartographie des risques a également pour objectif de manifester l’engagement de l’instance dirigeante dans la démarche anticorruption et donner aux responsables de la conformité la visibilité nécessaire au déploiement d’un dispositif anticorruption spécifique et approprié à l’entreprise.

Cet exercice est souvent redouté par les assujettis tant il est central. C’est un exercice souvent jugé chronophage et difficile car il mobilise de nombreuses parties prenantes dans la société.

En savoir plus

Les impératifs auxquels doit répondre la cartographie des risques

La cartographie des risques doit répondre à un certain nombre d’impératifs. En effet, elle doit être :

  • Spécifique aux risques auxquels l’entité est exposée, c’est-à-dire qu’elle doit être faite sur mesure sur la base d’entretiens avec les fonctions clés de l’entité et couvrant l’ensemble de ses process.
  • Mise à jour régulièrement et actualisée si des évènements majeurs surviennent dans l’entité.
  • Validée par l’instance dirigeante, en tant qu’élément central du dispositif anticorruption et donc éminemment stratégique.
  • Etablie via une méthodologie claire qui doit pouvoir être consultée et archivée. La formalisation de la méthode utilisée est une nécessité en cas de contrôle de l’AFA.

Quelles sont les différentes étapes à suivre pour élaborer sa cartographie des risques de corruption ?

Les recommandations de l’AFA explicitent une méthode permettant de bénéficier d’une présomption simple de conformité en cas de contrôle. C’est donc la méthode à privilégier pour réaliser sa cartographie.

  • Clarifier les rôles et les responsabilités : En amont de la réalisation de la cartographie, il est nécessaire de bien clarifier les rôles et les responsabilités de chacun dans le déploiement du projet. Négliger cette étape peut constituer un frein important à la réalisation de la cartographie, qui est un exercice qui mobilise de nombreuses parties prenantes.
    • L’instance dirigeante est celle qui alloue les moyens financiers et humains pour réaliser la cartographie des risques. Elle valide la cartographie en tant que décision stratégique et en endosse la responsabilité.
    • Le Compliance Officer et son équipe ont la responsabilité opérationnelle de la mise en œuvre et du suivi de la cartographie des risques. Ils jouent un rôle de coordination entre les différentes parties prenantes à l’exercice.
    • Les responsables Métiers/opérationnels : ce sont eux qui identifient les risques spécifiques à leur activité et leur périmètre.
    • L’ensemble du personnel : contribuent à l’exercice par leur expérience et leur connaissance des processus en place.

Le logiciel Data Legal Drive Sapin II permet de structurer sa démarche et d’identifier les différentes fonctions et leurs rôles dans l’onglet « Equipe Compliance » .

  • Identifier les risques spécifiques à l’entité : La phase d’identification des risques nécessite d’analyser les process mis en place dans l’entité et de s’entretenir avec les fonctions clés à même d’identifier les différents scénarios de risques. Cet exercice peut être chronophage et il faut s’assurer que l’ensemble des zones sont couvertes. La phase de recensement des risques induit de prendre en compte les spécificités de l’entité telles que : son historique, son secteur géographique d’activité et son type d’activités.

Le logiciel Data Legal Drive Sapin II accompagne le Compliance Officer et son équipe dans la phase d’identification des risques en posant des questions ciblées permettant de mettre en exergue les différents scénarios de risque.

  • Evaluer l’exposition aux risques bruts : Evaluer le risque brut c’est déterminer le niveau de vulnérabilité de l’entité. Une fois les différents scénarios de risques identifiés, il est en effet nécessaire de déterminer l’impact et la probabilité d’occurrence de ces scénarios pour évaluer l’exposition de la société aux risques de corruption et de trafic d’influence. L’impact peut être réputationnel, financier, économique ou juridique. Il est également nécessaire de déterminer si le scénario de risque est fortement probable, probable ou peu probable et ce afin d’être le plus précis possible dans l’évaluation du risque brut.

Le logiciel Data Legal Drive Sapin II accompagne le Compliance Officer et son équipe dans l’évaluation de l’impact et de la probabilité d’occurrence des scénarios de risque via des questions spécifiques.

  • Déterminer son niveau de maîtrise : Déterminer le niveau de maîtrise est une étape clé pour évaluer ses risques nets c’est-à-dire les risques bruts réévalués en prenant en compte les mesures de maîtrise du risque mises en place. Il est donc nécessaire de faire un exercice de recensement des mesures et procédures déjà mises en place afin d’en évaluer l’efficacité pour prévenir et détecter la corruption et le trafic d’influence. Pour réaliser cet exercice il est nécessaire d’une part de bien identifier les mesures et procédures mises en place et d’autre part de se baser sur les audits déjà réalisés pour évaluer leur efficacité. Cette étape est nécessaire pour déterminer son score de maitrise et donc son risque net.

Le logiciel Data Legal Drive Sapin II accompagne le Compliance Officer et son équipe dans cet exercice de recensement des mesures de maîtrise du risque et donc de détermination du score de maîtrise pour in fine obtenir le risque net.

  • Hiérarchiser ses risques nets : La hiérarchisation des risques nets est une étape indispensable à la mise en œuvre du plan d’actions. Elle permet de déterminer quels sont les risques les plus urgents à traiter sur la base de l’évaluation du risque net préalablement réalisée.

Le logiciel Data Legal Drive Sapin II accompagne le Compliance Officer et son équipe dans la hiérarchisation des risques nets via la mise en place d’une carte de chaleur permettant de visualiser l’ensemble des risques et de les filtrer en fonction du niveau de risque du moins élevé au plus élevé (du vert au rouge).

  • Suivre et actualiser sa cartographie : La cartographie des risques de corruption et de trafic d’influence est un processus vivant qui évolue en fonction de l’évolution des mesures et procédures visant à maîtriser le risque mais également en fonction des changements significatifs qui peuvent s’opérer dans la vie de l’entité.

Le logiciel Data Legal Drive Sapin II accompagne le Compliance Officer et son équipe dans la démarche de suivi et d’actualisation de la cartographie des risques en permettant de suivre les actions mises en œuvre et de mettre en place des échéances pour le suivi et les revues éventuelles à opérer.

Le logiciel Data Legal Drive Sapin II accompagne les acteurs publics et privés dans la réalisation de leur cartographie des risques en proposant une méthodologie simple, claire et intuitive s’appuyant sur l’expertise du cabinet Vigo, expert dans la mise en conformité à la loi Sapin II et conforme aux exigences de l’AFA.

Voir le replay

À lire aussi