Un peu plus d’un an après l’entrée en vigueur de la nouvelle réglementation Sapin 2, visant à prévenir et détecter les faits de corruption à travers un programme anti-corruption robuste, il y a lieu de penser que toutes les entreprises concernées ont déployé le dispositif ; ou du moins, ont initié différentes démarches telles que recommandées par le régulateur.

Certaines sont plus simples que d’autres à mettre en œuvre ; c’est le cas des mesures fixant le cadre et la communication autour des principes de lutte anti-corruption telles que le code d’éthique, les modules de formation. D’autres dispositions requièrent davantage de temps et d’effort soutenu afin d’ancrer en profondeur les mécaniques de prévention et de détection au sein des organisations, des processus et des pratiques opérationnelles au quotidien.

Parmi celles-ci, les procédures d’évaluation des tiers consistant à apprécier le risque spécifique induit par la relation d’affaires entretenue avec les tiers donnés, et plus globalement la gestion du risque tiers, apparait comme une mesure d’envergure à mettre en œuvre, tant par le volume de comptes à traiter que par l’étendue du périmètre d’application. En effet, il ne s’agit pas seulement d’appréhender les nouveaux entrants avec lesquels les entreprises auront à contracter ; mais également d’appliquer les mêmes exigences d’analyse de risque aux tiers existants, avec lesquels une relation d’affaires est déjà établie. Pour ces derniers, une étape supplémentaire doit être prévue dans le dispositif, à savoir la suite à donner pour un partenaire ne répondant plus aux exigences de conformité : soit en y mettant fin, soit en renforçant les mesures de prévention et de détection.

Une approche structurée nécessaire

La méthodologie par les risques, conjuguée à des axes d’analyse judicieux – selon la nature, l’activité, le statut, la taille et la situation géographique des tiers -, s’avère la plus efficace et celle communément adoptée pour opérer une segmentation pertinente de l’ensemble des tiers d’une organisation. 

Ce découpage préalable permet, par la suite, d’organiser la base en de sous-ensembles homogènes et digestes, mais surtout de les évaluer avec le niveau de diligence approprié ; allant de simples questionnaires de prise de connaissance, en passant par des recherches d’informations dans le domaine public, jusqu’à des analyses poussées sur l’activité et les actionnaires/bénéficiaires ultimes pour un partenaire identifié à risque.

Quel que soit le niveau de conformité requis, la complexité réside dans la gestion et le suivi dans le temps de toutes les actions de vérification qui auront été initiées ; avec comme principal enjeu leur historisation et la traçabilité des événements, d’autant que les diligences seront opérées itérativement et graduellement pour certains comptes, au fur et à mesure des analyses.

Une repositoire centralisé

Pour toutes ces considérations, les entreprises – souvent à travers la fonction Compliance – ont majoritairement adopté une plateforme applicative afin d’organiser et d’animer toutes les diligences mises en œuvre. En effet, bien qu’il existe de nombreuses fonctions en entreprise, gérant la relation avec les tiers – les achats, les ventes, le service juridique…, la notion de recueil centralisé de données et interactions avec les tiers, apporte de manière évidente cette dimension d’observatoire utile et efficace, pour apprécier dans son ensemble, les risques de corruption et de malversation auxquels l’entreprise est exposée à travers ces partenaires.

L’utilisation de solutions logicielles modernes autorise en outre le partage, la délégation et le suivi des tâches – sous forme de workflow de validation et d’escalade des niveaux de diligence – ; tout en y archi-vant de manière centralisée, les données collectées auprès des tiers lors du processus d’évaluation.

Balayer la base des tiers pour détecter et prévenir les risques de corruption est un projet d’envergure et qui a vocation à vivre au quotidien, en étant parfaitement imbriqué aux activités opérationnelles. Pour l’aborder efficacement, il convient bien sûr de solliciter tous les opérationnels au contact avec les parties prenantes, mais également de les fédérer autour d’une démarche structurante, facilitant ainsi le suivi, la délégation et la progression dans le temps. C’est doter ainsi l’entreprise d’un véritable outil de gestion du risque tiers, dont la fonction Compliance en serait l’animateur du change management.