Le contrôle de la conformité : les incontournables de la sécurité financière - Episode 3
Episode 3 : D’autres contrôles SF
I. Dispositif Anticorruption
La mise en place du dispositif Anticorruption comprend les 8 axes de la loi Sapin II, qui sont tous ciblés par les missions de contrôle. Sans être exhaustif sur les contrôles pouvant être réalisés, voici quelques thématiques qui font l’objet d’examen lors de missions de contrôle.
Engagement de l’équipe dirigeante
L’engagement de l’équipe dirigeante est clé dans le déploiement du dispositif Anticorruption ainsi que pour mesurer l’effectivité de celui-ci. Cette implication est contrôlée également à travers la participation de l’instance dirigeante aux décisions impliquant des dossiers avec des faits de corruption. A titre d’exemple, l’évaluation annuelle des risques de corruption ou encore les éventuels incidents de corruption sont des évènements qui doivent être présentés à la direction générale lors de comités dédiés ou encore de celui organisé sur les sujets conformité.
Code anticorruption
Il est nécessaire d’avoir élaboré un code anticorruption qui peut être intégré à un autre code (par exemple, code éthique, code de conduite ou encore code de déontologie, qui rappelle les principes en matière de prévention et d’interdiction pour lutter contre la corruption). Cela est examiné par les missions de contrôle ainsi que la diffusion et la sensibilisation faite pour disséminer la culture des règles du code. Un point important à retenir : ce code ne remplace pas la procédure relative au dispositif Anticorruption qui doit décliner les obligations de la loi au sein de l’établissement en tenant compte de son activité, de ses processus et de son organisation. Ce dernier point fait également l’objet de contrôles.
Dispositif d’alerte éthique
Un autre thème important et qui est de plus en plus examiné par les missions de contrôle est celui du dispositif d’alerte éthique permettant de recueillir les signalements des employés sur des manquements constatés. La mise en place du dispositif et son exécution font l’objet de contrôles. Un canal d’alerte éthique qui existe mais dont l’accès n’est pas possible pour l’ensemble des collaborateurs constitue un manquement à l’obligation de mise en place d’un tel dispositif.
Cartographie des risques de corruption
La cartographie des risques de corruption doit être réalisée séparément de celle des risques LCBFT pour identifier, analyser et hiérarchiser les risques de corruption externe et ce, en fonction des activités de l’entité. Cet exercice permet de remplir l’obligation de détecter les risques de corruption pour mieux les contrôler et les maitriser.
Ces éléments sont examinés par le contrôle, et l’évaluation cible les activités les plus exposées pour s’assurer que des processus ont été mis en place en prenant en compte des points critiques dans le plan de contrôle annuel.
Evaluation des tiers
Le sujet de l’évaluation des tiers est un des axes de la loi Sapin II et fait également l’objet d’attention et de contrôles. S’agissant des procédures, celles relatives à l’évaluation des tiers (à savoir, clients (KYC), fournisseurs (KYS), intermédiaires (KYI)) doivent également tenir compte de la cartographie des risques de corruption. A titre d’exemple, il est important de prendre en considération toute alerte relative à des faits de corruption sur un client dans l’évaluation du niveau de sensibilité de celui-ci. Un autre exemple concerne le cas d’un intermédiaire clôturé pour des soupçons de corruption. Celui-ci doit faire l’objet d’une interdiction ultérieure d’entrée en relation et doit donc être ajouté sur la liste interne.
Contrôles comptables
Le corps procédural doit comprendre les contrôles comptables requis par la réglementation. Et donc l’audit s’assurera de leur formalisation et de leur exécution.
Les modalités des contrôles comptables anticorruption sont formalisées dans une procédure qui explique l’objet et le périmètre des contrôles ; les rôles et responsabilités dans la mise en œuvre des contrôles de 3 niveaux ; les critères de seuils ou de matérialité devant entraîner un contrôle ; les modalités d’échantillonnage des opérations à contrôler, de formalisation, de traçabilité et d’archivage des contrôles réalisés. (Voir notamment le Guide pratique publié en 2022 par l’AFA sur les contrôles comptables anticorruption).
En synthèse, ces contrôles visent le respect des normes comptables qui sont fixés par l’Autorité des normes Comptables (ANC). Elles comprennent les comptes annuels et toute la documentation requise pour l’enregistrement des opérations.
Le contrôle vise à la fois l’existence d’une procédure dédiée et les contrôles comptables définis sur la base de la cartographie des risques de corruption ; ainsi, lorsque certains processus comptables ne couvrent pas suffisamment les risques de corruption, des contrôles comptables complémentaires doivent être mis en place.
Le Guide de l’AFA énumère de nombreux exemples : des processus comptables insuffisamment encadrés et qui fonctionnent sur base d’enregistrements manuels ou incluant un nombre limité de contrôles automatisés ou faiblement intégrés avec les systèmes opérationnels en amont (achats, ventes, stocks, notes de frais, etc.).
Les missions de contrôle pourront effectuer des rapprochements des contrôles comptables en place pour s’assurer de l’efficacité du dispositif ; par exemple rapprochement du registre cadeaux avec les écritures comptables ; le rapprochement des comptes fournisseur/client avec les comptes de charge/produit correspondant (par exemple, compte « autres charges diverses »).
En bref, la mission de contrôle s’assurera que les situations à risques sont bien identifiées dans la cartographie des risques de corruption pour compléter ou renforcer les contrôles comptables généraux par des contrôles comptables anticorruption.
Formation et Module spécifique
La formation doit intégrer un module spécifique sur les risques de corruption et de trafic d’influence. Le contrôle vérifiera la cible de cette formation notamment l’identification des personnes les plus exposées, l’opportunité du contenu des formations et le nombre des personnes qui ont complété la formation. Cela pourrait passer par une certification pour les personnes en charge des sujets de corruption.
Régime disciplinaire
L’axe remédiation mentionné par la loi Sapin II requiert la mise en place d’un régime disciplinaire pour les cas de non-respect du dispositif anticorruption (voir article 17 loi Sapin II, « un régime disciplinaire permettant de sanctionner les salariés de la société en cas de violation du code de conduite de la société »).
Le régime disciplinaire intègre les mesures que l’entreprise prend en cas de non-respect des règles mises en place ; ces règles sont mentionnées dans le règlement intérieur et/ou le code de conduite anticorruption. Le contrôle vise l’existence du régime disciplinaire et le processus en place pour l’engager.
II. Qualité des données
Le sujet de la qualité des données et de son contrôle est de plus en plus mis en lumière notamment lorsque des missions de contrôle (internes ou externes) relèvent des informations insuffisantes ou collectées avec de nombreuses erreurs de saisie.
Dans les deux cas, cela a un impact immédiat sur la vérification des noms contre les listes de sanctions internationales ou encore de PPE. De même, cela peut mettre en difficulté l’entreprise en termes d’efficacité de production en fonction de son activité. Ainsi, une collecte d’informations incomplètes sur un client peut présenter des difficultés pour le règlement de sa facture, pour déterminer la surface financière de la personne morale cliente et donc de sa solvabilité, etc.
Les contrôles sont systématiquement effectués avec des extractions de données du système d’information, qui permettent la revue de la qualité des données. Le contrôle, qu’il soit interne ou externe, a de plus en plus recours à l’intelligence artificielle (IA) pour exécuter ces contrôles sur un volume très important de données et surtout pour relever toutes les irrégularités (par exemple, des données sur un client avec une date de naissance incohérente (né en janvier 1900 et un statut étudiant).
Le recours à l’IA permet donc de relever les erreurs, les incohérences et d’identifier l’efficacité ou non des outils qui utilisent ces données (screening, supervision des transactions, etc.).
Cette thématique est aujourd’hui clé dans les contrôles réalisés. Pour l’anticiper, il faut mettre en place un contrôle sur la qualité des données avec un plan d’action pour sa fiabilisation. A titre d’exemple, un contrôle automatisé sur la date de naissance et la profession du client permet de relever certaines incohérences entre l’âge et la profession exercée (par exemple client âgé de 18 ans et ayant la profession professeur d’université) ; contrôle de cohérence entre profession et revenus déclarés ; etc.
III. Conclusion
Fort est de constater que les missions de contrôle sont aujourd’hui très spécifiques et de plus en plus ciblées. Le périmètre est en constante expansion comme la sécurité financière est un domaine qui ne cesse d’évoluer et de se renforcer. Cette tendance est d’autant plus claire avec les derniers textes adoptés : le 6ème paquet européen et l’institution de la nouvelle autorité qui fera également des contrôles, l’AMLA.
Un autre élément à souligner est le recours à l’IA à la fois dans le dispositif Sécurité Financière (notamment pour la supervision des transactions) et celui des missions de contrôle (comme le recours à l’IA pour l’analyse des données KYC).
Enfin, un autre sujet de plus en plus présent dans l’ensemble des processus (y compris ceux relatifs à la sécurité financière) est l’ESG (Environnement, Social et Gouvernance). Ainsi, l’analyse de la relation (client, fournisseur, etc.) s’accompagnera également de critères ESG, qui sont des indicateurs de la contribution d'une entreprise au développement durable.