La loi Sapin II prévoit un certain nombre d’obligations au rang desquelles figure le 4e pilier de l’article 17, libellé sous la forme « des procédures d’évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie des risques ».
Émerge alors la tentation pour certains de rattacher cet objet qui inquiète, à un standard bien connu de nos amis anglo-saxons : la loi Sarbanes-Oxley (SOA ou SOX). Est-ce là une voie raisonnable, ou même acceptable ?
Pilier 5 : 3 questions récurrentes auxquelles l’AFA a apporté des réponses
- Les contrôles comptables doivent-ils avoir une existence indépendante de la cartographie des risques de corruption (pilier 3) ?
- Les contrôles comptables ne doivent-ils être que « comptables », ou sortir du cadre strict de la comptabilité ? Voir les articles Les contrôles comptables de l’article 17 : des principes plutôt simples, mais délicats à mettre en œuvre et Les contrôles comptables sont ils l’affaire de la comptabilité ?
- Les contrôles comptables doivent-ils nécessairement être déclinés en contrôles de 1er, 2ème et 3ème niveaux ?
Les recommandations de l’AFA, les rapports de contrôle de l’Autorité, ainsi qu’une bonne part de la doctrine et de la pratique ont à ce jour assez précisément répondu à ces 3 questions :
- Les contrôles comptables au sens du pilier 5 doivent nécessairement être liés à l’un ou l’autre des risques de la cartographie des risques de corruption.
- Les contrôles comptables doivent évidemment encadrer le fonctionnement de différents processus de l’organisation qui les porte, sans être uniquement « comptables ». Ces contrôles pourraient d’ailleurs être plutôt qualifiés de contrôles internes, vocable plus large mais plus adapté aux attentes de l’Agence.
- Les contrôles comptables doivent être déclinés en différents niveaux 1, 2 et 3.
Un nouveau SOX ?
Une fois ces 3 points de fond appréhendés par les organisations soumises au dispositif Sapin II a surgi une question assez surprenante, mais qui semble faire florès, et qui pourrait être énoncée comme suit : « Finalement, le pilier 5 n’est-il pas une adaptation de l’appréhension du contrôle interne à la mode du Sarbanes-Oxley Act (SOX), la Public Law 107-204 de 2002, qui s’impose depuis à toutes les sociétés cotées sur marché américain ? ».
De façon lapidaire, le texte américain, créé en réaction aux scandales Enron et Worldcom, impose au commissaire aux comptes de porter une opinion sur la qualité du contrôle interne d’une entreprise cotée sur un marché américain. Tout comme ce même commissaire certifie les comptes, il doit donc certifier la qualité du contrôle interne telle qu’il la perçoit.
Alors pourquoi cette question se pose-t-elle ?
Parce que le pilier 5, probablement le moins aimé de la bande des 8, est souvent confié à « ceux qui savent » : les contrôleurs ou auditeurs internes, a priori les mieux placés pour traiter ces questions de « contrôle ».
Parce que la loi Sapin II est relativement nouvelle, et qu’elle n’a à proprement parler pas de mètre étalon ni de référentiel propre, et qu’il faut donc se raccrocher à quelque chose de connu, avec lequel on a l’habitude de frayer. De surcroît, les spécialistes à qui est confiée cette tâche sont parfois très seuls dans l’organisation : il n’est pas rare que les référents conformité ne leur fournissent que peu d’informations quant à la meilleure façon de régler l’épineuse question du pilier 5.
Parce que la peur d’un contrôle, ou la survenance de celui-ci, crée une forme de stress qui implique que ceux ayant en charge le pilier 5 cherchent à se réfugier dans un dispositif formaliste, matériel qui permet de donner le change à un contrôleur de l’AFA ou à un supérieur qui souhaiterait s’assurer que l’organisation organise et déploie correctement sa mise en conformité.
Une fois ceci posé, la transposition des modalités de traitement du SOX est-elle la réponse la plus adaptée aux exigences du texte et de l’Agence ? Pour répondre à cette question, il convient de rappeler le fonctionnement technique de l’application du SOX dans les organisations qui y sont soumises.
Pour faire simple, le SOX est guidé par le COSO, lui-même un référentiel de contrôle interne, présenté sous la forme d’un cube, et donc de 3 dimensions :
- les 3 objectifs de maîtrise du contrôle interne,
- les 5 composants nécessaires d’un contrôle interne digne de ce nom,
- la structure de l’organisation dans ses différentes composantes (entités, filiales, BU).
Et dans ce cube divisé en autant de sous-éléments à la jonction des 3 dimensions, il faut démontrer, démontrer, et démontrer encore matériellement que l’organisation soumise au SOX s’y conforme correctement. Caricaturalement, il s’agit donc d’un exercice particulièrement lourd et coûteux, où doivent être empilées les preuves de l’application vertueuse du texte, et où il convient de se cantonner dans un premier temps à déterminer combien de preuves doivent être réunies – le fameux échantillonnage – pour chaque contrôle avant de se lancer dans une course (folle ?) à la collecte de ces mêmes preuves. Après s’être évidemment assuré qu’au fond lesdits contrôles étaient pertinents.
Or doit-on déployer, ou l’Agence exige-t-elle un tel déploiement de force lors de ses contrôles ?
S’attacher au fond, surtout
Pour l’heure, et pour l’heure seulement, l’AFA n’a de cesse de vérifier qu’il existe bien une corrélation entre cartographie des risques de corruption et dispositifs de contrôles de 1er, 2ème et 3ème niveaux et que ces liens sont matérialisés – sans exiger toutefois de contrôle forcené de leur application. Mieux encore, il semblerait que l’évocation de l’application de SOX et de ses batteries de tests n’emporte que modérément la conviction de ses contrôleurs.
Dès lors, il semblerait bien que le traitement des contrôles comptables doive s’attacher au fond, en démontrant que chaque risque de la cartographie est correctement pris en charge et limité par des contrôles, et que ces derniers sont formalisés et clairement rattachés aux risques de la cartographie. Ce qui n’est déjà pas une mince affaire pour nombre d’organisations.
Le lancement à corps perdu dans une démonstration de force de l’application des contrôles n’étant pas encore à l’ordre du jour, l’énergie déployée par les entreprises doit être tournée vers le fond, plutôt que vers la forme. Sans perdre pour autant de vue toutefois que tout contrôle revendiqué se doit d’être appliqué, et que, si l’Agence n’exigera pas de vérifier mille occurrences, elle n’acceptera certainement pas non plus que le moindre des contrôles qu’elle observerait soit défaillant. Et en cela, Sapin II est finalement très éloigné de SOX.
François Nogaret