CARTOGRAPHIE DES RISQUES & ÉVALUATION DES TIERS. IRC Lyon 7 Décembre 2021

CARTOGRAPHIE DES RISQUES & ÉVALUATION DES TIERS

IRC – Lyon

7 Décembre 2021

q Lien direct entre la cartographie et le disposi0f d’évalua0on des 0ers

CARTOGRAPHIER ET ÉVALUER SES TIERS Un lien direct

Extrait des recommandations de l’AFA – JO 12 janvier 2021

Illustré par des exemples issus des scenarii de risques

Forma5ons prioritaires et différenciées selon les popula5ons exposées

Catégoriser les -ers selon leur niveau de risque

Actualiser la cartographie des risques

Établis sur la base des situa5ons à

risque iden5fiés lors de la cartographie

Actualiser la cartographie des risques,

améliorer le disposi5f de forma5on

CARTOGRAPHIER ET ÉVALUER SES TIERS Une démarche similaire

Cartographier ses risques : en pra1que

1- Élabora-on de la méthode

ØDéfini&on et valida&on du périmètre d’applica/onet des éventuelles exclusions ØDéfini&on des rôles et responsabilitésdes par&es prenantes à la cartographie (RACI) ØIden&fica&on des processus exposés: interac&ons avec les &ers et enjeux

2- Cadre méthodologique

ØCritères d’impact, d’occurrence, les facteurs aggravants, les ou&ls

3- Lancement des entre-ens/groupes de travail sur les processus exposés

ØIden&fica&on des scenariide risques

ØCota&on des risques bruts(impact x occurrence x facteur aggravant) ØÉvalua&on des mesures de maîtrisedes risques

ØCota&on des risques nets (réévalua&on du risque brut après applica&on des mesures de maîtrise)

4- Stratégie de ges-on des risques

ØRevue des scenarii : harmonisa/onet hiérarchisa/on ØDétermina&on de la limite d’acceptabilité

ØÉlabora&on des plans d’ac/onset modalités de suivi(acteurs, fréquence, indicateurs)

6- Formalisa-on et diffusion

ØOrganisa/onpar mé&er, processus, en&té ou zone géographique ØValida/onpar l’instance dirigeante, présenta&on aux comités

non exécu&fs, communica/oninterne

Détermina5on du périmètre de la cartographie et de son plan de déploiement (acteurs et processus exposés)

Canevas méthodologique harmonisé : iden5fica5on des

scenarios, grilles de cota5on des risques bruts et nets…

CARTOGRAPHIER ET ÉVALUER SES TIERS Une démarche similaire

•Entrée en rela5on sans mesure de vigilance spécifique

•Entrée en rela5on avec mesures de vigilance spécifiques

•Ne pas contractualiser (ou arrêter la rela5on)

J’iden'fie et je hiérarchise mes

risques

J’évalue mes 'ers selon leur niveau de

risque

Je 're les conséquences des évalua'ons réalisées Je gère mes rela'ons

contractuelles J’actualise mon

disposi'f d’évalua'on des 'ers

•Réévalua5on périodique

•Réévalua5on en cas d’évolu5on

significa5ve : critères internes ou externes

•Évalua5on simplifiée ou approfondie

•L’évalua5on individuelle doit tenir compte du comportement du 5ers

•Portefeuille 5ers : clients, fournisseurs de premier rang et intermédiaires … mais pas seulement

•Détermina5on de groupes de 5ers selon leur niveau de risque

•Contrôle des engagements contractuels

•Traçabilité des enregistrements comptables

•Suivi des mesures de vigilance mises en place

Traçabilité

Documenta/on

Évaluer ses *ers : en pra*que

CARTOGRAPHIE DES RISQUES

Exemple : m atrice des rôles et responsabilités

Instance dirigeante

Comité éthique

et déontologie Référent éthique Responsables processus

Opérationnels et fonctions

supports Revue et mise à jour de la méthodologie Est informé Supervise Réalise Est consulté

Mise à jour et réévaluation des risques Est informé Supervise Réalise Est consulté

Risques bruts

Revue et mise à jour du dispositif de contrôle Est informé Supervise Réalise Est consulté

Risques nets

Élaboration/mise à jour des plans d'actions Est informé Supervise Réalise

Risques acceptables

Formalisation de la cartographie des risques Est informé Supervise Réalise Revue et approbation de la cartographie Supervise Réalise

Suivi trimestriel des plans d'actions Est informé Supervise Réalise

Revue annuelle des plans d'actions et arbitrage Supervise Réalise Est consulté

Doit reprendre les étapes de votre

démarche

Toutes les par&es prenantes engagées

dans la démarche

CARTOGRAPHIE DES RISQUES Exemples : idenCfier les scenarios

• Les scenarios de risque sont les situa0ons dans lesquelles un acte corrup0f pourrait survenir

• Le risque peut survenir à chaque étape du processus iden0fié comme par0culièrement exposé

• Cela nécessite d’iden*fier chaque grande étape du processus du point d’entrée au point de sor*e ü Cela va dépendre du fonc'onnement et de l’organisa'on propre à chaque acteur public ou privé

• Par exemple, un processus de ges0on de subven0ons peut se découper en cinq grandes étapes : ü Programma'on budgétaire

ü Iden'fica'on des projets ü Instruc'on des dossiers

ü Déploiement / mise en œuvre ü Contrôles et audits des dossiers

• Une fois chaque étape du processus iden0fiée, la détermina0on des scenarios pourra se baser sur :

ü L’ac1vité réalisée : rédac'on du cahier des charges, étude de dossier, ouverture d’un poste, contrôle de service fait, … ü Les 1ers impliqués (acteur public, par'culier, entreprises, associa'ons…) en lien avec l’ac'vité réalisée

ü Le risque d’aKeintes à la probité : corrup'on, trafic d’influence, fraude, …

• La rédac0on du scenario devra permeBre d’iden0fier les par0es prenantes du scenario (externe et interne)

CARTOGRAPHIE DES RISQUES Exemples : échelle d’impact

Impact

Conséquences juridiques Conséquences financières Conséquences sociales Conséquences opérationnelles

Conséquences réputationnelles

1- Faible

Versement de dommages et intérêts / Contentieux

amiable

Impact financier limité au seul marché ou contrat en

cause

Faibles retombées en interne limitées au seul service / département / filiale mis(e)

en cause

Retard ne remettant pas en cause la réalisation du contrat / ou la performance

de la prestation

Rumeurs

2- Moyen Annulation du marché /

Contentieux juridique

Pertes financières / surcoût pénalisant les autres dépenses de l'organisme / ou une seule entité du groupe

Retombées dans l'ensemble de l'organisation / groupe

avec départs d'un ou plusieurs collaborateurs

Mauvaise exécution d'une partie du contrat / ou

entraînant le mécontentement des parties

prenantes (usagers)

Informations négatives dans la presse locale / nationale

sur une courte durée

3- Élevé

Engagement de la responsabilité pénale d'un

salarié

Pertes financières / surcoût pénalisant les autres dépenses de l'organisme / ou impactant fortement le

résultat du groupe

Climat social dégradé : grèves, rupture du dialogue

avec les représentants du personnel

Arrêt du contrat avec impact limité à un seul client / ou

rupture ponctuelle d'un service public

Information dans le milieu / profession / région / pays /

sur une période de temps significative

4- Catastrophique

Engagement de la responsabilité pénale d'un dirigeant ou de la personne

morale

Pertes financières / surcoût mettant en péril le budget de

l'organisme / ou amenant à un résultat négatif au niveau

du groupe

Départs massifs (plus de x%

du personnel), difficulté à recruter de nouveaux personnels / à pourvoir des

postes vacants

Arrêt du contrat avec impact sur des tiers extérieurs au

contrat / ou rupture de longue durée de la continuité

d'un service public

Campagne de presse nationale / internationale sur

une période de temps significative

CARTOGRAPHIE DES RISQUES Exemples : échelle d’occurrence

Probabilité d'occurrence

Description Fréquence

1- Rare Évènement risquant de se produire uniquement de

façon exceptionnelle Une fois tous les 20 ans

2- Éventuel Évènement risquant de se produire à un moment donné

Au moins une fois tous les 10 ans

3- Probable Évènement ayant de fortes chances de se produire à un moment donné

Au moins une fois tous les 5 ans

4- Hautement probable Évènement risquant de se produire dans un futur

proche Au moins une fois par an

q On peut aussi prévoir d’objectiver l’échelle d’occurrence, par exemple :

ü Enjeu financier

ü Environnement règlementaire ü Facteur pays

ü Type de marché

CARTOGRAPHIE DES RISQUES

Exemples : grille d’évalua9on des mesures de maîtrise des risques

niveau/critères Procédures Traçabilité des contrôles Mesure de l'efficacité Pilotage du dispositif INITIAL

Non écrites ou non appliquées Non formalisés Pas d'indicateurs de suivi Pas de reporting aux instances

dirigeantes

DÉFINI

^Écrites Formalisés mais non

systématiques / exhaustifs Pas d'indicateurs de suivi Pas de reporting aux instances dirigeantes

SUPERVISÉ

^Écrites Contrôles formalisés Indicateurs de suivi Reporting fait pour information

OPTIMAL

^Écrites Contrôles formalisés Indicateurs de suivi

Reporting fait et intégré au processus d'amélioration continue de l'organisation

Exemple sur le dispositif de formation anticorruption

Formations anticorruption

existence procédure, plan de formation etc.

attestation de suivi de la formation, feuilles de présence, suivi informatique si e-learning

quizz avec certificat de réussite,

% population formée

reporting fait dans le cadre des revues de direction annuelles (ISO)

q On peut aussi demander au groupe de travail d’évaluer l’impact des mesures de préven-on sur leur processus

ü Approche terrain / plus fine ü Permet d’iden5fier les zones

de faiblesse dans votre

disposi5f de forma5on

ÉVALUATION DES TIERS

Formaliser le lien avec la cartographie

Activité Risque identifié Scénario identifié

Population exposée en interne (agent non cadre, cadre, cadre

supérieur, élu)

Tiers concerné (particuliers, associations, entreprises

privées, autre acteur

Achat public Corruption Un maire a octroyé des marchés publics à des entrepreneurs en

échange de travaux sur sa résidence principale. Maire Entreprises du BTP

Attribution de subventions Corruption Orientation des clauses du cahier des charges des AAP Directeur adjoint, Chef de service Associations, particuliers

Gestion des Ressources Humaines

Détournement de fonds publics

Mise en place d'un système d'emplois fictifs d'enseignants au travers

de faux documents (contrats, attestations,…) Gestionnaire de paie à son profit direct ou indirect

Achat public Prise illégale d'intérêts

Un agent public créant une auto-entreprise dans un domaine concurrentiel répondant à des marchés publics dont l'agent serait lui- même le prescripteur (ex : juriste marchés publics également formateur en marchés publics).

Acheteur Entreprise

Achat public Favoritisme Fractionnement d'un appel d'offres en plusieurs lots afin de passer

sous les seuils de la commande publique et favoriser un fournisseur Prescripteur Entreprise

Directement lors de l’iden*fica*on de vos scenarios de risque

GÉRER SES TIERS

Du début à la fin du contrat

Matérialiser la fin de la rela1on Formaliser les livrables attendus

Intégrer les clauses éthiques et d’audit

Déterminer les mesures de vigilance et leurs modalités de suivi Valider le besoin, identifier le tiers

Évaluer le tiers avant l’entrée en relation selon son niveau de risque

Contrôle du service rendu (conformité contractuelle)

Suivi des mesures de vigilance et de leur correcte applica1on Entrée en

rela*on

Signature du contrat

Presta*on

Enregistrement et paiement

Fin de la rela*on

Traçabilité des enregistrements comptables Workflow d’approbation et de paiement

Conformité

Juridique

Opéra*onnels Comptabilité

Trésorerie

ÉVALUER SES TIERS

Comment évaluer un Cers ?

Que doit-on évaluer ?

ü La personne morale ü Les dirigeants

ü Les bénéficiaires effec0fs

De quoi doit-on tenir compte dans l’évalua8on individuelle ? ü Le secteur géographique / secteur d’ac4vité

ü Le disposi4f de préven4on

ü Les rela4ons avec des agents publics ou PPE…

Quels ou8ls d’évalua8on ?

ü Ques0onnaires de due diligence, grilles de cota0on internes ü Sources ouvertes

ü Listes des personnes physiques et morales sanc0onnées publiées par les autorités françaises ou étrangères ü Prestataires spécialisés

Le bénéficiaire effectif est actuellement défini par l’Article L561-2-2 du Code monétaire et financier comme la ou les personnes physiques qui soit contrôlent en dernier lieu, directement ou indirectement, le client (de l’entité assujettie) ou soit la personne pour laquelle une opération est exécutée ou une activité exercée

Lorsque le client est une société, on entend par bénéficiaire effectif de l’opération la ou les personnes physiques qui soit détiennent directement ou indirectement, plus de 25% du capital ou des droits de vote de la société, soit exercent, par tout autre moyen, un pouvoir de contrôle sur la société au sens de l’Article L233-3 du Code de commerce

gels-avoirs.dgtresor.gouv.fr

hKps://sanc'onssearch.ofac.treas.gov

ÉVALUER SES TIERS

Comment évaluer un Cers ?

RÉSULTAT DES SCREENINGS POSITIF VIERGE

Résultat du screening sur les listes de sanctions (Worldcheck) - si positif, précisez 20 0 Facteur 20 car sources officielles et vérifiables

Résultat de la recherche en sources ouvertes - si positif, précisez (et mettre le lien

url) 10 0 Facteur 10 car sources non officielles et non

vérifiables, constitue un indice

Sous-total résultats des screenings (A) 30

OUI NON

FACTEURS D'AGGRAVATION DU RISQUE

Au cours des 5 dernières années, la société a-telle fait l'objet d'une condamnation pour

des faits de corruption ou assimilés ? Si oui, précisez ^{10 0}

La société a-t-elle déclaré qu'un de ses dirigeants / actionnaires est une PPE ? ^{5 0}

Sous-total facteurs d'aggravation du risque (B) 15

GRILLE DE COTATION DU RISQUE INDIVIDUEL DU TIERS

ÉVALUER SES TIERS

Comment évaluer un Cers ?

FACTEURS D'ATTÉNUATION DU RISQUE

Société soumise à la loi Sapin II ^{2 0} Facteur 2 car relève d'une obligation légale

Société certifiée ISO 37001 ^{5 0} Facteur 5 car relève d'une démarche volontaire de

l'organisation avec une certification externe

Programme de lutte contre la corruption / trafic d'influence : Autre option : ne pas mettre tout ce détail, mais uniquement un facteur 5 sur l'existence ou non d'un programme anti-corruption

Une cartographie des risques ^{1 0}

Un code éthique ou code de conduite ^{1 0}

Un dispositif d'alerte interne et recueil de signalement ^{0,5 0}

Une procédure d'évaluation des tiers ^{0,5 0}

Des contrôles comptables ^{0,5 0}

Un dispositif de formation sur l'éthique ^{0,5 0}

Un régime disciplinaire ^{0,5 0}

Un dispositif de contrôle interne ^{0,5 0}

La société a-t-elle mis en place d'autres mesures relatives à l'éthique ? Si oui précisez ^{3 0} Notation libre (de 0 à 3) selon la réponse du tiers

Sous-total facteurs d'atténuation du risque (C) 15

min -15

Cotation du risque individuel (A+B-C) 30 ^{max 40}

Supérieur à 30 supérieur à 30 = screenings tous positifs +

condamnation ==> risque max Entre 11 et 30

Inférieur à 10

CARTOGRAPHIER ET ÉVALUER SES TIERS Quelques bonnes praCques

Bien iden'fier ses 'ers

ü Clients, fournisseurs de premier rang et intermédiaires commerciaux

ü Partenaires, co-traitants, maître d’ouvrage (propriétaire), maître d’œuvre (architecte) ü Bénéficiaires de mécénat, fonda&ons

Sur les 'ers par'culièrement exposés (intermédiaires commerciaux par exemple)

ü Préalablement à la contractualisa&on, documenter et archiver la jus&fica&on du recours à ce

&ers et la matérialisa&on du processus de décision, par exemple par le biais d’une note interne signée par les intervenants dans la prise de décision

Coopéra'on du 'ers

ü Matérialiser et archiver l’adhésion du &ers à la charte éthique de l’entreprise

ü La non coopéra&on du &ers dans le processus d’évalua&on devrait cons&tuer une alerte et inciter l’entreprise à réévaluer le niveau de risque du &ers

Évalua'on d’un 'ers personne publique

ü Bien iden&fier le &ers à évaluer (l’instance dirigeante et les intervenants dans la prise de décision)

ü Iden&fier les facteurs pouvant influer sur le niveau de risque de la rela&on : contrat passé dans ou en dehors d’un processus d’appel d’offres, contrat UGAP, démarche éthique engagée par l’acteur public (charte éthique, cer&fica&on ISO 37001)…

ü En cas de risque iden&fié, me^re en place des mesures compensatoires adaptées au &ers (binôme systéma&que lors des rencontres avec le représentant du &ers, matérialisa&on et archivage des comptes rendus de réunion,…)

Mobiliser les acteurs internes

ü Rappeler l’objec,f : améliorer le disposi,f de maîtrise des risques ü « Dépersonnaliser » la sélec,on des processus exposés

ü Engagement de l’instance dirigeante

Capacité des groupes de travail à coter les risques / évaluer le disposi'f de maîtrise

ü Donner des exemples concrets : cartographie des cas de corrup,on listés par Transparency Interna,onal

ü Revue post-mortem des scenarii

Granularité des scenarios : le juste milieu

ü Doit pouvoir se raEacher à un processus ou une tâche

ü Nécessite de « découper » le processus du point d’entrée au point de sor,e

Cartographie des risques Évaluation des tiers

CARTOGRAPHIER ET ÉVALUER SES TIERS Quelques bonnes praCques

Hiérarchiser les risques

ü Pour prioriser les ac,ons d’améliora,on

Plan d’ac'ons

ü Une ac,on, un pilote, un délai, un indicateur de suivi ü Repor,ng à l’instance dirigeante

Golden rules d’une cartographie

ü Elle doit être compréhensible par les personnes en charge de meEre en œuvre les mesures de maîtrise des risques

ü Elle doit permeEre d’iden,fier et d’évaluer votre univers de risque, les popula,ons et les ,ers les plus exposés aux risques

ü Elle est lapremière étapedu processus d’améliora,on con,nue de votre contrôle interne

Réévalua'on du 'ers : quelques exemples de critères

ü Critères exogènes

- ar&cles de presse concernant l’intermédiaire ou des actes de ces employés

- mise à jour des listes de sanc&ons interna&onales (en&tés, organisa&ons ou personnes sanc&onnées, embargos)

èNécessite la mise en place d’une veille permanente sur ces différentes sources externes ü Critères endogènes

- évolu&on dans la gouvernance ou l’ac&onnariat du &ers - changement de coordonnées bancaires

- tout changement apporté aux caractéris&ques essen&elles du contrat (nature de la presta&on, mode de rémunéra&on, volume d’affaire réalisé…)

èNécessite la mise en place d’une communica/on ac/ve au sein de la société donneur d’ordre entre l’ensemble des départements concernés (opéra/onnels, juridiques et conformité)

Conserva'on des informa'ons sur le 'ers

ü Le dossier d’évalua&on du &ers comprenant l’historique des modifica&ons sont à conserver pendant 5 ans après la cessa&on de la rela&on d’affaires (source AFA/CNIL)

Cartographie des risques Évalua7on des 7ers

Société de conseil intervenant aux côtés des entreprises et des acteurs du secteur public sur tous les aspects de l’éthique et de la conformité (dont la loi Sapin II), de la cartographie des risques de

corrup'on, la concep'on et mise en œuvre du programme conformité, jusqu’à la prépara'on et l’assistance au contrôle AFA,

en passant par la concep'on d’ou'ls et de forma1ons dédiées.

Marion GUILLAUME

Mobile: +33 (0)6 98 54 22 03

Email : [email protected]

Linkedin : https://www.linkedin.com/in/marion-guillaume-37986157/

Ancienne Directrice des Risques, Audit interne et Chief Compliance Officer d’un groupe parapétrolier, membre du Comité de Direction

13 années en tant que Responsable puis Directrice Consolidation & Comptabilités 8 années en cabinet d’audit externe

Certifiée en tant que Responsable d’audit ISO 37001, Green belt Lean Six Sigma Intervenante en Master Conformité bancaire, DU Panthéon-Assas et DU Sorbonne

Intervenante auprès du CIAN et de l’Institut du Risk & Compliance (IRC), membre fondateur du Comité

IRC Grand Sud, membre actif de l’IFACI (Institut Français de l’Audit et du Contrôle Interne