Les audits post-remédiation des contrôles de l’AFA

A l’issue d’un contrôle d’initiative, l’Agence Française Anticorruption (AFA) émet un rapport de constat sur le dispositif anticorruption de l’entité contrôlée. Celui-ci peut contenir des observations, des recommandations, voire des manquements auxquels l’entité contrôlée doit remédier dans les délais qui lui sont imposés. Elle doit alors concevoir et déployer des plans d’actions aux bornes du groupe, accompagnés d’un calendrier précis pour démontrer à l’AFA qu’elle met tout en place pour y remédier. La mise en place de ce plan permettra, le cas échéant, en cas de contrôle de suite de l’AFA, de montrer la qualité, la profondeur et l’étendue de la réponse donnée par l’entité contrôlée.

Depuis les premiers contrôles initiés en 2017, le nombre de manquements dans les rapports de contrôle tend à diminuer, montrant ainsi les efforts initiés par les entreprises pour se mettre en conformité avec la loi et les attendus de l’AFA.

L’organisation dispose d’un délai de deux mois pour transmettre ses commentaires portant sur le contenu du rapport de contrôle provisoire de l’AFA. Parmi ceux-ci figure ses plans d’actions. La définition des plans d’actions se fait donc dans un délai contraint et court.

Les groupes de sociétés les plus matures se sont déjà dotés, au titre de la mesure 8 (évaluation du dispositif) de la loi Sapin 2 :

• D’un dispositif de monitoring de leur programme de compliance sur les 8 piliers au niveau du groupe et des filiales ;
• D’un plan d’audit interne intégrant la revue du déploiement, de l’existence et de l’efficacité du dispositif anticorruption.

A l’issue d’un contrôle d’initiative, l’Agence Française Anticorruption (AFA) émet un rapport de constat sur le dispositif anticorruption de l’entité contrôlée. Celui-ci peut contenir des observations, des recommandations, voire des manquements auxquels l’entité contrôlée doit remédier dans les délais qui lui sont imposés. Elle doit alors concevoir et déployer des plans d’actions aux bornes du groupe, accompagnés d’un calendrier précis pour démontrer à l’AFA qu’elle met tout en place pour y remédier. La mise en place de ce plan permettra, le cas échéant, en cas de contrôle de suite de l’AFA, de montrer la qualité, la profondeur et l’étendue de la réponse donnée par l’entité contrôlée.

Dans ce cadre, l’entreprise contrôlée peut chercher à faire auditer ses plans d’actions, tant pour en vérifier le design, contrôler que le plan d’avancement est adéquat et s’assurer que les contrôles d’efficacité mettent en évidence un dispositif robuste. Cet audit doit également permettre, le cas échéant, d’identifier d’éventuelles zones de blocage, des retards, un manque d’outils ou de formation, etc. 

1. La nécessité de définir des plans d’actions à la suite d’un contrôle de l’AFA

Depuis les premiers contrôles initiés en 2017, le nombre de manquements dans les rapports de contrôle tend à diminuer, montrant ainsi les efforts initiés par les entreprises pour se mettre en conformité avec la loi et les attendus de l’AFA. Il n’en demeure pas moins que les dispositifs anticorruption nécessitent une amélioration continue et que toute observation, recommandation, voire manquement souligné par l’AFA doit être dûment corrigé par un plan d’actions élaboré par l’entité contrôlée. Celui-ci constitue souvent un engagement vis-à-vis de l’AFA dans l’optique de conclure le contrôle. 

En cas de contrôle de suite de l’organisation, la mise en place de ces plans d’actions sera vraisemblablement vérifiée avec une grande attention.

2. La définition et le suivi des plans d’action post-contrôle

L’organisation dispose d’un délai de deux mois pour transmettre ses commentaires portant sur le contenu du rapport de contrôle provisoire de l’AFA. Parmi ceux-ci figure ses plans d’actions. La définition des plans d’actions se fait donc dans un délai contraint et court.

Pour répondre aux observations et recommandations de l’AFA, la définition des plans d’actions doit inclure des éléments de réponse sur les différentes dimensions contrôlées, et ceci, sur potentiellement chacun des piliers de la loi Sapin II :  l’existence, le design, le déploiement en filiale et l’efficacité des composantes du dispositif de prévention de la corruption et du trafic d’influence.

Au-delà de leur contenu, la gouvernance de ces plans d’action est clé, tant en ce qui concerne la conception que la déclinaison opérationnelle, par processus, par filiale etc., sa mise en place et son pilotage, ainsi que le suivi de ces plans d’action par les responsables Conformité et directeurs de filiales.

Ce suivi opérationnel peut s’accompagner d’une revue indépendante ayant un triple objectif :

• S’assurer de l’adéquation du plan d’actions avec les remarques de l’AFA ;
• Vérifier la réalisation et l’avancement du plan d’actions et les moyens alloués ;
• Vérifier son déploiement et l’efficacité de chaque pilier dans l’ensemble de l’organisation.

3. Les bonnes pratiques

Les groupes de sociétés les plus matures se sont déjà dotés, au titre de la mesure 8 (évaluation du dispositif) de la loi Sapin 2 :

• D’un dispositif de monitoring de leur programme de compliance sur les 8 piliers au niveau du groupe et des filiales ;
• D’un plan d’audit interne intégrant la revue du déploiement, de l’existence et de l’efficacité du dispositif anticorruption.

Un audit post-contrôle AFA, qui peut s’intégrer dans cette mesure 8, pourra prévoir un suivi des plans d’actions sur chaque pilier, afin d’identifier les éventuels blocages dans leur mise en œuvre de ces plans d’actions et également inclure des tests pour s’assurer du déploiement et de l’efficacité des mesures aux bornes du groupe.

Ainsi, cet audit, réalisé idéalement dans l’année suivant le contrôle, pourra inclure deux dimensions :

• Le correct design et le suivi des plans d’actions au niveau corporate ;
• Le correct déploiement et l’efficacité des actions au niveau local.

Sur les actions au niveau local, cet audit pourra être déployé au regard d’une approche par les risques, permettant de sélectionner les filiales les plus significatives, en termes de taille (chiffre d’affaires, nombre de salariés etc.), de risque pays (selon l’implantation géographique, etc.), ou d’activité, afin de tester un échantillon satisfaisant de filiales, qu’il conviendra d’élargir si nécessaire en fonction des premières conclusions.