Evaluation des tiers (Sapin 2) : il est temps d’agir !

Par Cerise Nourry, Manager & Abdoul Bocar SY, Senior Analyst, Day One

L’évaluation des tiers arrive « en bon dernier » dans l’épreuve des programmes de conformité anticorruption. Et, les chiffres des récentes études le démontrent.

Le Baromètre Grant Thornton sur la maturité des dispositifs anticorruption (septembre 2020) faisait ressortir que la procédure d’évaluation des tiers est « le pilier le moins mature et le plus difficile à mettre en œuvre par les entreprises ». Quelque 82 % des entreprises interrogées ne seraient en effet toujours pas conformes aux exigences de la loi Sapin 2 en ce qui concerne ce pilier. Par où commencer ? Comment procéder ? Plus que jamais, il faut se lancer avec la volonté de simplifier les processus et non de les complexifier. Ce qui, a priori n’est pas une gageure !
Avant de commencer…

Mettre en place une gouvernance

Il s’agit de répondre aux questions : Quelle organisation ? Qui fait quoi quand ?

Qui à accès à quelle donnée ?

•   Avoir le support et l’impulsion de l’instance dirigeante pour garantir le « Tone from the Top » ;
•   identifier le « propriétaire » du programme, celui qui en est le responsable ;
•   monter une équipe projet : une équipe dédiée désignée par l’instance dirigeante, avec des personnes qui ont une bonne connaissance des tiers de l’entreprise, des process et des outils associés (par exemple des représentants des fonctions Achats, Finance…). Il va de soi que le choix des collaborateurs se fait également en tenant compte du volume de tiers et du poids de chiffres d’affaires associé ;
•   identifier l’ensemble des contributeurs du projet et les « embarquer » ;
•   définir les rôles et responsabilités de chacun dans le projet ;
•   construire un budget (ressources internes/externes, outils...).

Cartographier l’existant

Il s’agit de répondre aux questions : Quels tiers ? Quels niveaux de risque ? Quels processus ? Quels types de données ? Quels outils ?

•   Recenser ses tiers (tiers stratégiques, tiers les plus à risque) via les référentiels de tiers existants, en partant de la cartographie des risques de corruption et de trafic d’influence comme recommandé par l’Agence Française Anticorruption, en prenant son « bâton de pèlerin » et en allant rencontrer les directions opérationnelles ;
•   par catégories de tiers identifiées, cartographier en interne les pratiques, processus, données, outils, ressources humaines mobilisées ou mobilisables, contrôles et approbations en place… Cela permettra d’identifier les tâches qui pourraient être automatisées, les doublons d’évaluation, les informations qui pourraient être collectées en interne et non plus auprès du tiers… dans une optique d’optimisation, de mutualisation des ressources et d’élimination des possibles silos ;
•   analyser les écarts avec les exigences et critères de l’Agence Française Anticorruption.

Définir une stratégie d’évaluation des tiers

Il s’agit de répondre aux questions : Quel périmètre ? Quelle profondeur d’évaluation ? Quel(s) processus ? Quelle animation ?

•   Définir le périmètre : quels tiers, quelles sociétés, quels pays, quelles directions, quelles opérations… ?
•   Définir la nature et la profondeur de l’évaluation et les profils de risques : quelle diligence / quelles informations / quels documents pour quel tiers ?
•   Définir la gouvernance des données (en gardant les réflexes RGPD) : qui est responsable de la donnée référence dans quel outil (qui source, qui utilise, qui met à jour, qui supprime…)?
•   Définir le(s) processus cible(s) en s’appuyant sur les étapes suggérées par l’Agence Française Anticorruption, tout en privilégiant simplicité et agilité. Digitaliser un processus non optimisé complexifie son automatisation et alourdit sa mise en place ;
•   définir les niveaux de contrôle (Compliance, Audit, CAC, niveau global vs niveau local, rapprochement des factures…) ;
•   définir la durée, la fréquence et les modalités de réutilisation des évaluations.
•   Allouer les ressources (internes et/ou externes, humaines, financières) en soutien de ce(s) process ;
•   choisir les outils en privilégiant toujours l’intégration aux outils et processus opérationnels existants au sein de l’organisation. L’outil ne sert que l’organisation et le processus mis en place, et non le contraire !
•   Benchmarker, le cas échéant, les outils marché ;
•   réfléchir à l’ouverture du dispositif de signalement des alertes aux tiers ;
•   formaliser les politique et procédures d’évaluation des tiers ;

Déployer le programme

•   choisir un pilote (catégorie spécifique de tiers/ou département de l’entreprise) ;
•   embarquer les équipes en amont du programme. Créer une équipe projet pluridisciplinaire ;
•   implémenter des outils ou adapter les outils existants ;
•   connecter les outils avec ceux du Business (Compliance by Design) ;
•   Communiquer sur le programme via un plan de communication solide adapté aux différentes cibles (collaborateurs, management, personnes en charge de l’évaluation des tiers…) ;
•   Définir le mode « run » sans oublier la question de la valorisation de la donnée : comment réutiliser les données pour anticiper les risques futurs / optimiser son programme de conformité ?

Maintenant, vous pouvez accélérer le business en toute sécurité !