Le contrôle interne en matière d’anticorruption dans les entreprises

février 2025
Numéro : 594
Thématique(s) : contrôle interne

Directrice de l’Agence française anticorruption (AFA)

Le contrôle de l’efficacité des mesures mises en œuvre par l’entreprise pour prévenir et détecter la corruption et le trafic d’influence est essentiel pour garantir la maîtrise des risques induits par ses activités : quelles sont les bonnes pratiques ?

Pour aider les entreprises à se prémunir du risque corruptif, la France s’est dotée, avec la loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (dite « Sapin II »)¹ d’un cadre législatif exigeant. L’article 17 de la loi Sapin II a instauré l’obligation pour les dirigeants des grandes entreprises françaises² de mettre en place les huit mesures et procédures suivantes destinées à prévenir et à détecter la commission, en France ou à l’étranger, de faits de corruption ou de trafic d’influence : un code de conduite, une procédure d’alerte interne, une cartographie des risques, des procédures d’évaluation des tiers, des procédures de contrôles comptables³, des mesures de formation, un régime disciplinaire et une procédure de contrôle et d’évaluation interne de l’ensemble des mesures et procédures mises en œuvre. Les entreprises assujetties à l’article 17 sont susceptibles de faire l’objet d’un contrôle de l’AFA, à l’issue duquel la directrice peut décider de saisir la Commission des sanctions de l’AFA⁴ en cas de manquement(s) à la loi.

Comme le soulignent les recommandations⁵ de l’AFA, les mesures et procédures de l’article 17 doivent être appréhendées dans leur ensemble, comme formant un « dispositif anticorruption » composé de trois piliers indissociables et fonctionnant de façon systémique : l’engagement de l’instance dirigeante, la cartographie des risques et la gestion de ces risques à travers la mise en œuvre de mesures et procédures tendant à la prévention, à la détection et à la remédiation d’éventuels comportements contraires au code de conduite ou susceptibles de constituer des atteintes à la probité⁶. La gestion des risques comprend notamment une mesure dédiée au contrôle et à l’évaluation de l’existence, du fonctionnement et de l’efficacité desdites mesures et procédures.

Mesure clé du dispositif anticorruption, le déploiement d’une procédure de contrôle interne permet aux entreprises assujetties à l’article 17 de la loi Sapin II, ainsi qu’à toute entreprise de plus petite taille souhaitant s’engager dans une démarche anticorruption, de s’assurer de la qualité de leur dispositif et de définir, le cas échéant, les ajustements utiles à y apporter. Cette exigence de revue du dispositif anticorruption n’est d’ailleurs pas spécifique à la loi Sapin II mais existe dans plusieurs référentiels anticorruption étrangers⁷, tel que, par exemple, le référentiel américain qui souligne que les entreprises doivent évaluer périodiquement l’efficacité de leur programme anticorruption et le mettre à jour le cas échéant⁸.

Contrôle interne et anticorruption : quels sont les enjeux ?

Nombre de grandes entreprises sont dotées d’une procédure de contrôle et d’audit interne générale, visant à assurer la maîtrise de l’ensemble des risques induits par leurs opérations. Pour celles-ci, le déploiement d’une mesure de contrôle et d’évaluation des mesures anticorruption a vocation à s’insérer dans cette procédure de contrôle et d’audit interne général, en couvrant spécifiquement les situations à risque identifiées dans la cartographie des risques de corruption. En l’absence d’une telle procédure, l’entreprise doit définir des mécanismes adéquats, spécifiquement dédiés au contrôle du dispositif anticorruption, afin de s’assurer de l’efficacité des mesures et procédures définies à l’article 17 de la loi Sapin II.

En tout état de cause, en matière d’anticorruption, la procédure de contrôle et d’évaluation interne vise à répondre à plusieurs objectifs⁹, notamment :

• vérifier le respect des mesures du dispositif par l’ensemble du personnel au regard des risques de corruption (voire des tiers, si certaines procédures leur sont imposables comme éventuellement la politique cadeaux et invitations ou les règles de gestion des conflits d’intérêts, intégrées au code de conduite de l’entreprise) ;

• vérifier l’efficacité des mesures anticorruption au regard des risques identifiés¹⁰ ;

• identifier et comprendre les manquements identifiés ;

• proposer des corrections en vue d’améliorer l’efficacité du dispositif anticorruption et enfin ;

• détecter des faits de corruption et de trafic d’influence. Ainsi, le contrôle interne s’inscrit dans une démarche d’amélioration continue du dispositif de l’entreprise.

Selon le diagnostic national de 2024 de l’AFA sur la maturité des dispositifs anticorruption mis en œuvre dans les entreprises¹¹, 73 % des entreprises répondantes indiquent avoir mis en place une procédure de contrôle et d’évaluation interne de leur dispositif. Ce chiffre élevé s’explique par le fait qu’une grande partie des entreprises répondantes sont assujetties à l’article 17 de la loi Sapin II, et se sont donc, ces dernières années, progressivement pleinement conformées à la loi, et qu’elles disposaient déjà d’une expérience en matière de maîtrise de risques (opérationnels, financiers, etc.)¹².

Pour ces grands groupes, les enjeux reposent essentiellement sur une application homogène et efficace de la mesure de contrôle et d’évaluation interne au sein de l’ensemble de leurs entités, tout en s’assurant qu’elle soit adaptée à tous les process opérationnels propres à chaque société et/ou filiale.

S’agissant des PME¹³ et ETI¹⁴, qui ne sont, pour leur part, pas forcément dotées d’une procédure de contrôle et d’audit général, l’enjeu est de mettre en œuvre des mesures de contrôle et d’évaluation interne prioritairement sur les principaux risques de corruption auxquels elles sont exposées¹⁵.

Contrôle interne et anticorruption : quels sont les principes essentiels ?

À titre liminaire, il convient de souligner que la pertinence du contrôle interne du dispositif dépend des règles d’intégrité portées par les instances dirigeantes, de leur exemplarité ainsi que d’une communication régulière suivie auprès de l’ensemble du personnel. Il se doit, par ailleurs, pour garantir son efficacité, de reposer sur plusieurs principes essentiels¹⁶ (liste non exhaustive) :

• l’application stricte du principe de séparation des tâches. Il est notamment recommandé de veiller à séparer les fonctions d’exécution, de gestion, de supervision et de décision. Par exemple, le chargé de conformité qui réalise des vérifications approfondies sur un client, au titre de l’obligation d’évaluer les tiers de l’entreprise, prévue à l’article 17 de la loi Sapin II, ne peut être en charge de contrôler le respect de la procédure d’évaluation des tiers. Ce contrôle pourra être réalisé par un autre chargé de conformité, par le supérieur hiérarchique ou par un autre service distinct ;

• les systèmes d’information adaptés, efficaces et sécurisés, permettant, par exemple, de s’assurer que certaines informations ne soient accessibles qu’aux personnes dont la fonction le justifie ;

• une comptabilité générale rigoureuse dont l’organisation est formalisée, établie suivant les normes comptables en vigueur, au sein de toute entreprise, quelle que soit sa taille ou son secteur d’activité, garantissant la visibilité complète sur l’ensemble des opérations enregistrées, participe à la solidité de la procédure de contrôle et d’évaluation interne d’une entreprise ;

• la formalisation de l’ensemble des procédures de l’entreprise, avec des points de contrôle intégrés dans lesdites procédures. À cet égard, une bonne pratique peut consister à associer les personnels à la définition de ces points de contrôle afin de favoriser la bonne conduite de ces contrôles ;

• la sensibilisation de l’ensemble du personnel, tant sur les procédures elles-mêmes que sur l’importance de la réalisation des contrôles, afin que la démarche soit perçue comme une protection et non comme un frein à leurs activités.

En outre, la procédure de contrôle interne du dispositif anticorruption ne saurait être efficace sans la réalisation, puis la mise à jour régulière d’une cartographie des risques de corruption de qualité, sur la base de laquelle l’entreprise peut identifier des situations à risques, pas ou peu couvertes par des mesures de contrôle et formaliser dans un plan, validé par l’instance dirigeante, les actions à mettre en place de nature à maîtriser ces risques¹⁷.

Les contrôles comptables anticorruption

Dans ses recommandations, comme dans son guide pratique sur les contrôles comptables anticorruption en entreprise, l’AFA utilise les termes « contrôles comptables anticorruption » pour nommer les contrôles comptables qui visent à maîtriser des situations à risque identifiées dans la cartographie des risques de corruption de l’entreprise. En d’autres termes, pour chaque scénario de risque identifié dans la cartographie, l’entreprise peut être amenée, lorsqu’elle constate l’absence ou l’insuffisance des mesures de maîtrise des risques existantes, à renforcer ou à mettre en place des contrôles comptables additionnels (tests sur les écritures manuelles, réconciliation bancaire, etc.) en fonction de son analyse du risque. En tout état de cause, l’objectif de ces contrôles est de pouvoir détecter rapidement des opérations volontairement enregistrées dans les mauvais comptes ou des opérations sans cause ou sans justification économique pertinente, qui visent à dissimuler des faits de corruption.

Procédure de contrôle des mesures anticorruption : comment la mettre en place ?

L’ensemble des mesures et procédures composant le dispositif anticorruption d’une entreprise doit faire l’objet de contrôles internes pertinents.

En se fondant sur ce que préconisent les organisations professionnelles de gestion des risques, d’audit et de contrôle interne¹⁸, l’AFA recommande trois niveaux de contrôle¹⁹ :

• un contrôle permanent de l’application des procédures, dit de niveau 1, qui vise à s’assurer que les tâches inhérentes à un processus opérationnel ont été effectuées conformément aux procédures définies par l’entreprise. Les opérationnels jouent ici un rôle actif dans la maîtrise de leurs opérations, et peuvent être appuyés en tant que de besoin par les responsables hiérarchiques ou le responsable de la conformité anticorruption, ce dernier pouvant endosser un rôle de conseil pour ces opérations de contrôle ;

• un contrôle régulier, dit de niveau 2, qui permet de vérifier que les contrôles de 1^er niveau sont correctement effectués. Il est recommandé que le responsable de la conformité anticorruption ait un rôle actif dans l’élaboration d’un plan de contrôle de niveau 2 et que, pour chaque contrôle, soient précisés l’objet et le périmètre, les responsables du contrôle (fonction qualité, fonction gestion des risques, etc.), leur fréquence, la formalisation attendue, les modalités de communication des résultats et les mesures correctives pouvant être mises en place. En outre, ces contrôles fonctionnant souvent par échantillonnage, il est recommandé de procéder à la sélection en prenant en compte un ensemble de critères pré-identifiés permettant de cibler les zones de risques (activités, implantations géographiques, etc.) et de viser les différents niveaux de l’organisation. Par ailleurs, si l’établissement d’un questionnaire d’autoévaluation, notamment auprès des sociétés et filiales d’un groupe, peut tout à fait être envisagé, celui-ci doit systématiquement être accompagné d’un contrôle aléatoire d’une partie des réponses, qu’elles soient satisfaisantes ou non, afin de s’assurer de leur fiabilité ;

• un contrôle plus global, dit de niveau 3, ou audit interne. Il couvre, d’une part, l’efficacité de la procédure, en s’assurant que les deux premiers niveaux de contrôle existent et sont réalisés correctement. D’autre part, il vise à réaliser une revue globale du dispositif anticorruption afin de s’assurer de sa pertinence et de sa qualité. Il est recommandé de prendre en compte les résultats de la cartographie des risques de corruption et des missions de contrôle interne dans l’élaboration du plan d’audit. De même, le lancement d’un audit du dispositif anticorruption peut se révéler opportun suite à l’arrivée d’une nouvelle instance dirigeante ou après une opération d’acquisition. Enfin, une bonne pratique consiste, à l’issue des audits, à rédiger un rapport circonstancié détaillant les éventuels manquements et les mesures correctives à apporter, et le communiquer à l’instance dirigeante.

L’entreprise est libre de choisir d’externaliser tout ou partie de la procédure de contrôle de son dispositif anticorruption à des tiers (par exemple, des auditeurs externes) mais elle demeure entièrement responsable de la qualité de son dispositif. Qu’elle fasse ou non le choix de l’externalisation, il est vivement recommandé qu’elle s’assure que les personnes en charge des contrôles soient, notamment au niveau 3, formées sur le référentiel français anticorruption²⁰ et présentent des garanties en matière d’indépendance, d’impartialité et de confidentialité afin d’éviter, par exemple, les situations d’auto-contrôle et de conflits d’intérêts.

Pour conclure, bien que la mise en place d’une procédure d’évaluation et de contrôle des mesures anticorruption puisse représenter un effort important pour les entreprises, elle constitue un investissement essentiel pour la pérennité de l’entreprise puisqu’elle contribue à renforcer sa culture de transparence et de conformité, ainsi que sa réputation auprès des tiers.

1. Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (Sapin II).

2. Établissements publics à caractère industriel et commercial (EPIC), sociétés françaises ou sociétés appartenant à un groupe de sociétés dont le siège social est en France, qui ont un effectif d’au moins cinq cents salariés et un chiffre d’affaires supérieur à 100 millions d’euros.

3. Plus précisément, le 5° du II de l’article 17 de la loi Sapin II prévoit que les EPIC et sociétés assujetties doivent mettre en œuvre « des procédures de contrôles comptables, internes ou externes, destinées à s’assurer sur des livres, registres, comptes ne sont pas utilisés pour masquer des faits de corruption ou de trafic d’influence ».

4. La commission des sanctions peut prononcer une sanction pécuniaire dont le montant ne peut excéder 200 000 € pour les personnes physiques et un million d’euros pour les personnes morales, enjoindre l’entreprise d’adapter les procédures de conformité internes, selon les recommandations de la Commission dans un délai fixé de maximum 3 ans et ordonner la publication, diffusion ou affichage de la décision de la Commission, aux frais de la personne sanctionnée.

5. AFA, Recommandations du 12 janvier 2021, JORF.

6. Corruption, trafic d’influence, détournement de fonds publics, favoritisme, concussion et prise illégale d’intérêts. Pour plus d’informations, se référer à la présentation des infractions d’atteinte à la probité de l’AFA.

7. AFA, Présentation de référentiels étrangers promouvant l’intégrité dans la vie des affaires, mai 2023, pages 9 à 16.

8. FCPA Resource Guide (mis à jour en 2020), chapitre 2, pages 2 à 37.

9. Les objectifs partagés dans cet article ne sont pas exhaustifs. Ils doivent être appréciés par l’entreprise au regard de son profil de risque et de son environnement de contrôle.

10. Les entreprises assujetties à l’article 17 de la loi Sapin II doivent élaborer « une cartographie des risques prenant la forme d’une documentation régulièrement actualisée et destinée à identifier, analyser et hiérarchiser les risques d’exposition de la société à des sollicitations externes aux fins de corruption, en fonction, notamment, des secteurs d’activités et des zones géographiques dans lesquels la société exerce son activité ». De plus, dans ses recommandations, l’AFA préconise à toutes les entreprises, quelle que soit leur taille, de réaliser cet exercice afin d’avoir conscience des risques auxquels l’entreprise est exposée.

11. AFA, Diagnostic national de l’AFA sur les dispositifs anticorruption dans les entreprises, novembre 2024.

12. À noter que 66 % des entreprises répondantes sont assujetties à l’article 17 de la loi Sapin II.

13. Petites et moyennes entreprises.

14. Entreprises de taille intermédiaire.

15. Ces dernières peuvent utilement s’appuyer sur le guide pratique de l’AFA à destination des PME et ETI, décembre 2021.

16. Les principes partagés dans cet article ne sont pas exhaustifs. Ils doivent être appréciés par l’entreprise au regard de son profil de risque et de son environnement de contrôle.

17. AFA, Recommandations du 12 janvier 2021, JORF, § 287, § 288, § 289, § 290 p. 38.

18. Committee of Sponsoring Organizations of the Treadway Commission (CoSO), Internal control guidances ; IFACI, Synthèse – Référentiel intégré de contrôle interne.

19. AFA, Recommandations du 12 janvier 2021, JORF, § 286, p. 38.

20. Le référentiel anticorruption français est constitué de la loi Sapin II, de ses décrets d’application, des recommandations, guides et fiches pratiques de l’AFA.

Approfondissez la question sur