Au travers l’exemple de la loi Sapin 2 : existe-t-il un dispositif optimal pour gérer les risques ?

 La loi Sapin 2 contraint,  avec un haut niveau d’exigence, les grandes entreprises à structurer la lutte contre la corruption. Le secteur bancaire, avec son risk management et contrôle interne structurés, issus d’un cadre réglementaire strict, a réussi à s’y conformer en réutilisant les outils existants. Pourrait-on transposer cet exemple aux autres entreprises et administrations ? C’est-à-dire installer un modèle à la fois fort et assez souple pour pouvoir absorber de nouvelles exigences réglementaires, ce sans avoir à transformer son dispositif de risk management à chaque fois ?

Les exigences fortes contenues dans loi Sapin 2 devrait conduire à développer un véritable contrôle interne 

La loi Sapin 2 vient de fêter sa 3ème année d’application. Il s’agit de doter la France d’une réglementation contre la corruption et le trafic d’influence au niveau des bons standards internationaux, comparable par exemple au UK Bribery Act de 2010 au Royaume-Uni. Ces textes étendent notamment le caractère d’infraction pénale aux cas de corruption dans le privé et au-delà des frontières. Les entreprises exportatrices françaises peuvent se souvenir de l’époque si proche où l’on pouvait déduire fiscalement les « commissions » versées à des responsables étrangers lors de marchés internationaux …

En termes d’application pratique, on peut relever 3 grands aspects  présentant chacun des contraintes importantes :

  • Une loi avec un caractère universel à appliquer par un très grand nombre d’acteurs économiques français : 

Les seuils de chiffre d’affaire et d’effectifs retenus (500 M€, 500 personnes) rendent le texte applicables eux entreprises de la taille de l’ETI dans tous les secteurs économiques et aussi aux établissement publics. 

  • Les obligations procédurales et de contrôle interne sont exigeantes :

Si cette loi est comparable aux textes anglo-saxons en termes de principes généraux, elle détaille davantage les modalités de mise en œuvre : ce qui s’avère plus pesant à appliquer.

Si ce n’est pas une révolution dans certains secteurs d’activité, les notions de risk management, de contrôle interne ou de procédures formelles sont peu voire très peu développées dans la plupart des ETI ou les administrations. Pour les grandes entreprises, elles ne sont pas toujours mieux dotées que les plus petites mais disposent de davantage de moyens pour investir et mutualiser les moyens.

  • Des sanctions accrues et la menace de contrôles par un superviseur dédié :

La création de l’Agence Française Anticorruption (AFA) fait peser la menace de contrôles et pousse à un effort de mise en conformité.

La réglementation a amené les banques à se doter d’un dispositif organisée de gestion des risques et de contrôle interne

Le secteur financier est soumis depuis longtemps à une réglementation lourde et qui s’est encore accrue ces dernières années. Cela s’explique aisément par le rôle des banques dans le bon fonctionnement des rouages monétaires et le financement de l’économie.  

Cette réglementation a notamment obligé les établissements à se doter d’un dispositif de contrôle interne et de maîtrise des risques structuré. Il se traduit principalement par :

  • Un système précis de gouvernance, de responsabilités et de prise de décision pour veiller à la mise en conformité ou la prise de risque ;
  • La création d’au moins 4 « fonctions clés » (audit interne, risk management, conformité, contrôle permanent …) entièrement dédiées au pilotage des risques et au contrôle interne. Ces équipes, indépendantes des autres métiers, peuvent représenter jusqu’à 5% de l’effectif total, voire plus encore dans le cas de petites banques ;
  • Des mesures nombreuses de gestion de tout l’éventail de risque auquel une banque est théoriquement exposée, qu’il soit de nature financière (risque de crédit, risque de marché, liquidité) ou non–financière (risque de non-conformité, risque opérationnel). Le processus préventif comprend notamment des cycles d’analyse des risques, le déploiement de procédures ou de sécurités spécifiques … et, au vu de l’actualité de la pandémie, un plan de continuité d’activité (PCA) obligatoire;
  • Des contrôles formalisés à tous les niveaux de gestion de la banque à réaliser au sein des métiers comme par les fonctions clés. Outre les contrôles dans tous les processus de production, elles intègrent aussi des obligations en matière de formation ou de détection des incidents ;
  • Enfin l’établissement doit gérer de près les actions de correction des non-conformités et produire une variété de reportings à destination des instances de gouvernance et aux pouvoirs publics.

Comment les dispositifs bancaires ont-ils fait face aux impératifs de Sapin 2 ?

Le secteur financier est habitué à faire face à une production réglementaire fournie. Alors, comment l’application des mesures clés de Sapin 2, avec son gros volet de contrôle interne, peut-elle être menée ?

Aucune des mesures importantes de la loi Sapin 2 ne nécessite la création d’un dispositif et de fonction supplémentaires. Il s’agit davantage d’ajouter des critères de vigilance anticorruption aux contenants qui existaient auparavant.

L’existence de procédures, d’outils et de ressources déjà en place dans les banques ne garantit pas nécessairement que l’ensemble fonctionne de façon efficace, loin de là. Néanmoins, un établissement disposant d’un dispositif complet et conforme devrait disposer des moyens pour être opérant et se porter conforme.

Dispositif de risk management : vers un modèle cible « universel » pour toutes les organisations ?

Si l’on se réfère à l’expérience bancaire, « existe-il un dispositif prêt à répondre à toute nouvelle réglementation ?» : à une question posée comme cela, la réponse est évidemment NON.

Si la question est « existe-t-il un dispositif de gestion des risques dont les éléments sont capables d’absorber de nouvelles réglementations sans remettre en cause le modèle existant ? » La réponse est certainement OUI.

Je peux constater, de part mon expérience dans l’industrie et le commerce, que les besoins et les enjeux en matière de maitrise des risques sont globalement les mêmes partout. 

Le graphique ci-dessous schématise ce que pourrait un modèle de dispositif de contrôle interne et de maîtrise des risques en cible.  Les éléments qui le composent sont présentés sous forme de briques pour plus de clarté : chacune des briques a été activée au cours de la mise en place de la loi Sapin 2 et le sera probablement pour les réglementations suivantes.

Chaque brique présentée joue un rôle dans la gestion des risques, en préventif ou en correctif, puis l’ensemble est en interaction.

Ce dispositif cible est composé de 3 blocs.

  • Le premier bloc concerne la gouvernance et l’organisation. Il repose sur l’implication incontournable du haut management jusqu’aux managers de proximité et sur la création impérative d’une fonction forte dédiée au risk management, en plus de l’audit interne. Le risk manager aura à organiser et coordonner le contrôle interne et la gestion des risques de l’entreprise auprès des métiers. L’audit interne aura à vérifier périodiquement et indépendamment l’efficacité du dispositif .
  • Le bloc regroupant les mesures préventives des risques. On peut signaler particulièrement la connaissance précise de processus opérationnels, la cartographie des risques afin de savoir où mettre les efforts, un volet important destiné aux collaborateurs, le tout encadré par un corpus procédural clair.
  • Le dernier bloc regroupe l’ensemble des mesures a posteriori axé sur des contrôles formalisés sous toutes ses formes, manuels et automatisés. Cette vision des risques subis est complétée par un système d’alerte autour des anomalies de toute nature, y compris éthique. 

Enfin, des ajustements sont apportés périodiquement au dispositif pour le maintenir opérant, sans toucher le modèle en tant que tel.

En clair…

S’il n’est peut-être pas utile d’investir autant que dans le secteur financier, les risques sont néanmoins croissants pour tous : qu’ils soient liés à la cybersécurité, la fraude que sur bien d’autres aspects du risque opérationnel. Le flux de réglementations n’est pas près de se réduire, notamment ceux liés à la sécurité et à la protection des clients ou à l’environnement. Cette anticipation devrait amener les entreprises et les administrations à penser à long temps pour se doter d’une organisation et de moyens de gestion des risques suffisamment robustes. 

Le dispositif présenté ici peut constituer un modèle cible. Sa mise en œuvre ne pourra être que progressive car il doit s’insérer dans chaque culture interne, d’où l’intérêt de commencer tôt. Le piège serait d’attendre d’être acculé et devoir faire dans l’urgence : le résultat sera certainement plus médiocre, aboutirait à une gestion en silo qui limite la mutualisation et devenir au final bien plus onéreux.  Pour exemple, l’épisode actuel de la COVID illustre l’intérêt de disposer au préalable d’une bonne connaissance des risques afin de pouvoir transiter vers le télétravail généralisé avec un degré de sécurité suffisant.


Suggestions d'articles