Management de la lutte anti-corruption et gestion du risque criminel

Les conventions internationales de l’ONU, les recommandations de l’OCDE, les lois nationales – dont l’application est globale – votées par les Etats Unis, les pays Européens et leur propres cadres réglementaires, les lois supranationales dans le domaine bancaire, sont autant de « canevas », de cadres de référence que les entreprises doivent appliquer pour lutter contre la corruption[i]. Cette multiplication nécessaire des cadres de référence crée des enjeux pour le management des entreprises, qu’elles soient présentes à l’international ou simplement exportatrices. Cela accroit le nombre de contraintes de déclaration, et documentation, pour être « conforme » à ces canevas. Les entreprises doivent avoir un outil à même d’être adapté à son environnement d’emploi, aux contraintes de chaque cadre d’action et apportant des méthodologies opérationnelles. Cet outil doit-il être normé, pour être reconnu officiellement, ou plus simplement conforme aux cadres de référence afin de pouvoir être accepté par les autorités officielles le cas échéant ? L’Observatoire du Crime Organisé (OCO)[ii] propose un système de management répondant à ces différents enjeux.

De l’environnement d’emploi au cadre d’action

Le principal facteur de variation des moyens à mettre en œuvre reste le cadre légal et réglementaire à appliquer. La plupart des pays ont des lois anti-corruption mais tous n’ont pas de cadre contraignant les entreprises à anticiper d’éventuels litiges par la vérification de l’identité, de la qualité, de la réputation et du casier judiciaire de leurs partenaires, fournisseurs, clients, aussi appelés « tierces parties ». La question ici n’est pas de comparer les différentes législations et règlementations mais de noter que la plupart se recoupent et que leurs champs d’application se recouvrent. Des pays signataires de la convention OCDE contre la corruption ont leurs propres législations contraignantes et d’autres non. Ainsi, la France, possédant une loi anti-corruption, ne contraint pas ses entreprises à mener systématiquement des investigations préventives (ou due diligence). A contrario une entreprise Française active aux Etats Unis se doit d’appliquer le Foreign Corrupt Practices Act. La mise en œuvre de multiples cadres de référence représente une contrainte managériale.

La mise en œuvre des cadres de référence fait appel à toutes les fonctions d’une entreprise : juridique, financière, opérationnelle (marketing, production, export), communication. Elle nécessite aussi la mise en place d’une fonction transverse chargée de coordonner les actions à mener. Les enjeux sont : suivi de l’évolution du cadre légal et réglementaire ; création de postes dédiés ; coordination avec les fonctions financières et opérationnelles ; formation interne de cadres venant d’horizons et cultures différentes ; recherches nécessaires à la documentation interne opposable aux autorités ; audits internes sur le fond et la forme ; suivi de l’évolution des menaces internes et externes. La question se pose de savoir si cette fonction transverse pourrait s’appuyer sur d’autres fonctions transverses comme la gestion des ressources humaines ou la sûreté/sécurité. De par leurs objectifs, elles ont une connaissance approfondies des compétences internes et des risques éventuels.

Enjeux d’organisation et gestion des risques

Quand un grand groupe de plusieurs dizaines de milliers de personnes peut créer une équipe dédiée comptant plusieurs dizaines d’employés spécialisés, une PME peut-elle détacher un employé à temps plein ? Assez souvent la fonction conformité se résume à une tâche supplémentaire dans la fiche de poste du directeur financier ou juridique. Ce constat est d’autant plus vrai lorsque l’entreprise n’a pas de contrainte dans son pays d’origine. Ainsi, un grand groupe Français n’avait, jusqu’à peu, qu’une seule personne en charge de cette problématique en France mais une équipe complète aux Etats Unis. Il s’agit d’une logique de mise en œuvre de moyens en fonction de l’exposition au risque légal. D’autres groupes ont choisi une approche systématique : l’adaptation du format des moyens à chaque cadre de référence national ou international représente en soi un enjeu de gestion interne des processus et compétences. Cela peut également représenter un risque : sans coordination centralisée, il peut arriver qu’une entreprise mette en œuvre des moyens dans un pays mais pas dans un autre, alors même que les deux ont un cadre contraignant.

Dans un cas précis, une entreprise allemande avait mis en place une équipe dédiée, avec procédures et moyens, aux Etats Unis mais pas en Italie où pourtant la loi est doublement contraignante : en effet le décret législatif 231/2001[iii] impose aux entreprises d’apporter la preuve qu’elles ont mis en œuvre le cadre de référence ; lors d’une procédure judiciaire pour un cas de corruption, la justice italienne peut doubler la peine pour absence de dispositif de lutte anti-corruption. La société était sensibilisée à la problématique de la conformité aux cadres de référence et il est difficile de penser qu’elle n’ait pas eu connaissance du risque criminel en Italie. L’environnement d’emploi est l’ensemble des cadres de référence auxquels est soumise une entreprise. Le cadre d’action lui rassemble les risques, juridiques ou criminels, auxquels l’entreprise pourrait être exposée. A l’intérieur d’un même pays une entreprise peut être confrontée à différentes situations. Pour les risques qui nous concerne, la corruption ou la fraude interne, ils ne sont pas uniformément répartis d’une région à l’autre.

Une entreprise devrait donc ne pas différencier, d’un pays à l’autre, ses efforts pour mettre en œuvre les cadres de références ou gérer les risques auxquels elle est exposée. Cette uniformité, connaissance des lois et des risques, nécessitent des moyens importants ne serait-ce que pour coordonner les actions à mener et les compétences à internaliser. En effet, si certaines tâches, comme la veille juridique ou certaines investigations, peuvent être externalisées, il n’en va pas de même pour l’interface avec les fonctions opérationnelles ou financières, ou la préservation de la confidentialité des objectifs stratégiques ou technologiques de l’entreprise. D’autres fonctions, nécessairement liées à la conformité, sont externalisées comme l’audit des comptes, leur certification, ou la formation continue des personnels[iv]. Sans parler de moyens financiers, une entreprise ne peut pas tout internaliser. Il faudra donc également gérer l’interface avec des experts externes ou des organismes publics. En l’absence d’une documentation des procédures, des fonctions et des relations avec leurs tierces parties, cette interface est difficile à gérer. Cette documentation doit respecter certaines « normes », comme celles liées à la recherche d’éléments permettant d’évaluer les risques ou la récurrence de la recherche.

Les cadres de référence imposent parfois ces formats et la récurrence pour ces déclarations et donc pour la documentation sur laquelle elles s’appuient. Comme nous l’avons vu, une loi peut juger sur le fond et sur la forme. Si la documentation prouve qu’une entreprise a pris toutes les précautions définies par le cadre d’action de l’entreprise, une juridiction peut tenir compte de ce facteur dans l’appréciation d’un cas. Si la documentation est conforme aux lois, règlements et normes, elle peut devenir opposable et ainsi servir de preuve à décharge. La documentation est le reflet des procédures internes, mais à ce jour il n’existe pas de norme au sens officiel du terme[v]. La fonction « conformité » peut s’appuyer sur des best practices ou les textes des lois et règlements. L’enjeu à ce niveau-là est, comme pour la documentation financière, la certification, par un organisme extérieur lui-même certifié par les autorités, des procédures et documentations comme étant conforme aux cadres de référence existants. En l’absence de norme, la certification de principe par un organisme non certifié pourrait ne pas être reconnue par toutes les juridictions.

Processus de conformité

Pour une société aux activités internationales, donc nécessairement exposée aux risques de corruption, de fraude, de financement illégal, de blanchiment, la mise en œuvre d’une politique de conformité implique : une équipe dédiée dépendant de la direction juridique ou de la gestion des risques voire, mieux, indépendante avec un directeur exécutif autonome ; des correspondants dans ses filiales implantées à l’étranger ; des juristes et des avocats spécialistes des spécificités du droit local ; des personnes à même de valider et vérifier les informations exigées par les législations. Il faut de plus former les personnels et ajouter à leurs fiches de postes des tâches spécifiques (des formations spécialisées existent). Quel que soit la législation à appliquer, ou les recommandations à suivre, le processus de conformité comporte plusieurs étapes internes et externes.

La première étape consiste à concevoir un programme interne de conformité, souvent appelé « code éthique », tenant compte des moyens, des cadres juridiques et des contraintes imposées par la stratégie et les objectifs de l’entreprise. La seconde étape consiste à lister les risques déjà identifiés, et à évaluer, par l’analyse des activités et des acteurs, les risques potentiels : cette analyse initiale doit être régulièrement renouvelée pour tenir compte des évolutions de l’environnement. La troisième étape est une veille légale et réglementaire pour estimer les conséquences juridiques des risques identifiés, cette veille devant porter aussi sur les différentes formes de risques (nouveaux types de fraudes, évolution des organisations criminelles, méthodes de blanchiment et financement)[vi]. La quatrième étape concerne la définition de procédures et règles internes issues des premières étapes, diffusées auprès de tous les acteurs internes, en menant des actions de formation pouvant être validées par un certificat.

Ce « code » est documenté, régulièrement audité par une autorité publique ou privée indépendante (sans conflit d’intérêt avec la structure qu’elle audite), adapté et si besoin contractuellement implémenté au niveau des ressources humaines. Comme l’intelligence économique, un programme de conformité tire sa force de la coordination interne des différentes fonctions ayant à traiter les différents aspects de la problématique : juridique, finance, ressources humaines, stratégie, international, achats, R&D, commercial, etc. Cette nécessaire coordination a un impact sur la conduite des opérations. En effet un partenariat ou un projet peuvent, et doivent, être suspendus dans l’attente de l’évaluation d’une tierce partie ou du risque encouru. Et une démarche de façade, c’est-à-dire seulement sur le plan de la posture publique, est un risque : une société a été ainsi sanctionnée pour avoir affichée « être conforme » alors qu’un cas de corruption est survenu après cette communication. Tous les échelons, de la direction au conseil d’administration, et des cadres jusqu’aux employés doivent être impliqués et accompagnés dans la mise en œuvre des règles internes.

Il s’agit d’un processus qui doit être documenté, avec des rapports réguliers et des responsabilités clairement définies, dont la mise en place d’une procédure interne de dénonciation de faits délictueux[vii]. Le conseil d’administration et la direction doivent être impliquées, les procédures doivent être documentées avec des audits internes et des investigations externes sur les tierces parties (due diligence). Ce reporting, s’il a un coût élevé (gestion et achats), est nécessaire pour pouvoir répondre à une éventuelle requête d’une autorité judiciaire. L’objectif d’un processus continu est de pouvoir dater l’origine d’un comportement délictueux, au titre des lois et du code éthique interne. Certaines sociétés, par exemple des cabinets d’audit, font signer une clause spécifique “conformité” permettant le cas échéant de se séparer du collaborateur fautif en limitant la responsabilité de l’entreprise dans son ensemble[viii]. En effet, un juge peut statuer que la faute d’un employé est de la responsabilité de sa hiérarchie, sauf à démontrer le contraire, a minima par manque justement de mise en place d’une procédure ad-hoc, d’une formation et d’un suivi.

Elément central de cette documentation, les rapports de due diligence dont la production elle-même doit faire l’objet d’une procédure adaptée. L’entreprise peut commencer par mettre en place une procédure de déclaration pour ses partenaires, fournisseurs, clients ou investisseurs : il s’agit alors pour eux de se présenter selon les axes requis (santé financière, passé judiciaire, actionnaires physiques ultimes, conflits d’intérêts, personnels clés, etc.). Mais si cette approche est nécessaire, il est rare que les entreprises aient leurs propres capacités d’investigation à l’étranger, même si leurs filiales, les ambassades ou les Conseillers du Commerce Extérieurs, peuvent apporter des éléments de contexte pertinents. L’entreprise peut aussi faire appel à une société spécialisée qui aura elle-même été auditée ou certifiée : hors à ce jour il n’existe pas de législation ou norme spécifiques et globales pour certifier les intervenants que ce soit en droit français ou européen. On le voit il s’agit d’un processus incrémental, où chaque acteur est validé, et qui ne peut s’arrêter.

S’il y a des délais de prescription dans toutes les lois, un juge, dans certains pays, peut s’auto saisir d’une affaire passée, si de nouveaux éléments de preuve émergent. De même un juge peut décider de poursuivre la direction « centrale » d’un groupe dans le cas d’une faute commise par un individu dans une filiale à l’étranger. A minima la justice peut statuer sur l’absence de procédure de conformité : c’est le cas en Italie où toutes les sociétés actives dans le pays, locales ou étrangères, sont censées avoir une telle procédure depuis 2001[ix]. Selon ce texte, une entreprise poursuivie pour corruption, si elle est jugée coupable, verra sa peine doublée si elle ne peut pas démontrer qu’elle a mené une action spécifique pour empêcher de tels agissements. La responsabilité de l’encadrement, et de la direction, est recherchée : si elle est démontrée, des cadres basés à l’étranger peuvent être poursuivis. En l’absence de documentation, et de permanence de l’effort, l’entreprise est responsable. Dans ce cas, la seule porte de sortie est la procédure du « plaider coupable » et la compartimentation des responsabilités : l’entreprise, et les individus, jugés responsables de façon séparée, payent une amende mettant fin aux poursuites.

Système de management pour la lutte anti-corruption

La mise en œuvre d’un système de management est basée sur des normes existantes ou un canevas intégrant l’ensemble des cadres de référence existants. Cela peut permettre à une entreprise, un groupement d’entreprises, ou une association professionnelle, de faire valider sa démarche par une autorité officielle. Les systèmes de management représentent un consensus d’experts : dans le cas qui nous intéresse, nous pouvons nous appuyer sur les cadres de référence cités, ONU, OCDE mais aussi Europe, bien qu’il n’y ait pas encore d’harmonisation, ou le Conseil de l’Europe qui, au travers du Groupe d’Etats contre la Corruption, évalue la mise en œuvre effective de lois par ses membres. Les experts indépendants, ou les associations de lutte contre la corruption, publient leurs propres travaux et recommandations. Une entreprise peut donc bénéficier de cette expertise, et de l’accès à une vaste documentation, pour bâtir son propre système interne. Il s’agit cependant d’un processus long et par définition évolutif tant l’environnement d’emploi et les cadres d’action changent, tout comme les entreprises qui les emploient.

Ces systèmes de management doivent justement pouvoir être applicables à tout organisme, petit ou grand, quel que soit le produit ou le service fourni et quel que soit le secteur d’activité. Un système de management « opérationnel » doit pouvoir s’adapter, utiliser les ressources internes de l’organisme/entreprise, améliorer la gestion des risques et servir à l’organisme dans la gestion de son environnement. Par exemple, une entreprise doit gérer ses relations, et son image, non seulement vis-à-vis des autorités mais surtout de ses clients, fournisseurs et partenaires. Leurs investisseurs et le public sont également des parties prenantes de l’équation : la conformité aux normes et cadres devient un outil de communication et d’action. L’enjeu interne est l’amélioration continue, par les fonctions de veille, toujours vis-à-vis de l’environnement d’emploi et d’action. Selon les évolutions il faut pouvoir adapter les procédures pour les améliorer et donc former à nouveau et documenter. Le simple fait de pouvoir « prouver » que l’organisme évolue est important.

On reparle là de la récurrence : les procédures internes doivent être régulièrement menées, pour intégrer les évolutions possibles, et être auditées par un organisme externe, pour éviter les conflits d’intérêts. L’audit externe permet de prouver la conformité aux normes et lois. Des procédures et une documentation aux normes permettent de faciliter l’audit et sa présentation aux autorités, dont l’International Standardization Organization (ISO) : « Un système de management est un ensemble de procédures qu’une organisation doit suivre pour réaliser ses objectifs. Un très petit organisme n’a pas nécessairement un «système» formel en place. Il aura plutôt «des procédures maison» qui, sans être écrites noir sur blanc, seront parfaitement connues de tout le personnel. Plus l’organisation est grande, plus il est probable qu’elle dispose d’instructions écrites sur les modes opératoires à suivre. Ainsi sont évités les éventuels oublis et tout le monde sait clairement qui est responsable de quoi, quand et comment. Un système de management est la systématisation, par une organisation, de sa manière d’opérer »[x]. La certification du système n’est pas une obligation mais la conformité constatée du système avec la norme existante peut servir d’outil de communication interne et externe, vis-à-vis de toutes les parties prenantes.

Adoption d’un système de management conforme

Comme le suggère l’ISO, « une organisation peut autoriser ses clients à vérifier qu’elle a correctement appliqué la norme de système de management (évaluation par seconde partie) ou déclarer elle-même qu’elle est en conformité (évaluation par première partie) ». Une « seconde partie » doit être un organisme indépendant des organisations dont il valide la conformité : cet organisme ne doit pas être financièrement dépendant et la composition de son panel d’experts doit éviter tout lien direct avec les entreprises auditées. Cependant, dans notre domaine d’intervention, un expert de la lutte anti-corruption est nécessairement quelqu’un ayant l’expérience requise dans une entreprise, comme consultant en management et enseignant spécialisé ou avocat et financier. Ces professions interviennent sur des fonctions nécessaires à la mise en œuvre des procédures et ont souvent une approche transverse des enjeux et compétences internes. Une telle structure doit connaître l’ensemble des cadres de référence, pouvoir faire évoluer ses recommandations et être à mettre de mettre en œuvre l’ensemble des procédures : audits, formations, et « évaluations de conformité » en tant que « seconde partie » indépendante.

L’OCO est un organisme à but non lucratif réunissant des experts du monde entier (chercheurs, magistrats, investigateurs, praticiens) pour échanger sur les évolutions des environnements d’emplois et des cadres d’actions. Ce réseau a permis d’accumuler expériences personnelles, dans la gestion de cas complexes, et connaissances pédagogiques, par interaction avec les autorités de plusieurs pays. Ce travail permanent a conduit à la création en 2013 du premier « système de management » de la lutte anti-corruption et de gestion du risque criminel[xi], suite à un premier « standard privé » reconnu en 2007 par l’International Standardization and Accreditation Services (ISAS)[xii]. Il s’agit d’un standard ouvert conçu pour permettre l’évaluation des risques légaux et criminels puis de les gérer par un ensemble de procédures. Le lien entre la corruption et les organisations criminelles n’est pas systématique mais reste néanmoins fréquent : la corruption nécessite de divertir, par des manipulations financières, de l’argent pour payer une personne ; ce processus nécessite parfois des infrastructures et des flux financiers qui sont sous le contrôle des organisations criminelles ; la personne corrompue doit, elle, pouvoir utiliser la somme d’argent ; il s’agit donc de pouvoir « blanchir » cet argent[xiii].

La première étape de la mise en œuvre de cet « OCO Management System » (OCOMSTM) est la prise de conscience, par la direction de l’entreprise des risques auxquels elle est exposée. Dans des pays comme le Mexique, le Brésil, l’Inde, la Chine, ou plusieurs pays d’Europe, une entreprise peut entrer en contact avec des organisations criminelles et recevoir des sollicitations de corruption pour gagner un appel d’offres ou faire avancer un projet[xiv]. La direction doit alors afficher sa volonté de mettre en place les procédures adéquates et communiquer en interne. En effet, dans certains des cas étudiés, ce sont des cadres expatriés qui ont pris l’initiative d’accepter de telles sollicitations pour atteindre leurs objectifs en contradiction avec les consignes internes. De plus en plus d’entreprises affichent un « code éthique », qui n’est pas toujours mis en exécution de façon stricte par exemple en faisant signer à chaque responsable le dit code. Cette traçabilité des engagements pris fait partie de la documentation obligatoire car elle permet d’établir les responsabilités de chacun lors de la survenance d’un cas avéré. Lors d’une procédure judiciaire, cela permet de limiter la mise en cause de la hiérarchie, en isolant les fautifs, si tant est qu’elle ne puisse pas être impliquée par d’autres éléments de preuve.

La direction doit alors évaluer l’ensemble des ressources internes existantes permettant de répondre aux exigences des cadres de références applicables. La corrélation entre les ressources, informationnelles et humaines, et les exigences permet d’estimer les moyens encore à mobiliser pour être conforme, a minima par la production de la documentation nécessaire. La documentation sert également de base pour l’auto-évaluation et le reporting, l’analyse des cas litigieux concernant les clients, fournisseurs et partenaires. Cette étape participe à l’amélioration continue pour mettre à jour les procédures et responsabiliser les décideurs de tous niveaux mobilisés par ce processus. Celui-ci doit être adapté à l’organisation interne de l’entreprise : certaines sont hyper centralisées, d’autres organisées par grandes régions ou lignes de produits. Par le biais de la mondialisation, des PMEs technologiques exportent vers des pays à risques : le nombre de responsables concernés peut être limité, avec un seul coordinateur, et donc une boucle d’apprentissage rapide. Parfois même, c’est le PDG qui gère l’export et peut donc être sollicité. A l’échelle d’une PME, d’un ETI[xv] ou d’un grand groupe, la décision à prendre est la même : refuser clairement et devoir, pour un temps, se retirer du marché visé.

L’OCOMSTM est conçu pour s’adapter à des entreprises de toutes tailles, quelles que soient leurs organisations, services, bureaux, filiales, représentations et participations dans d’autres entreprises. Il s’agit dans un premier temps de définir le périmètre d’application : certaines filiales ou participations minoritaires peuvent mettre en œuvre leurs propres procédures indépendamment du reste d’un groupe : dans ce cas les responsabilités mutuelles doivent être clairement définies. Tout comme les relations, contractuelles et financières, avec les clients, fournisseurs, partenaires, les relations avec les filiales et participations doivent être documentées et mises à jour à intervalle régulier ou en fonction d’évolutions significatives (ventes d’actions, nouveaux investisseurs, nouveaux contrats). Le coordinateur doit être destinataire de toutes les évolutions internes et externes et lui-même s’assurer de la diffusion de toutes les informations pertinentes vers ses correspondants : ceux-ci sont les responsables des autres fonctions, des différentes sites, filiales et représentants dans les conseils d’administrations du périmètre ou ses représentants dans chaque entité. Cette circulation de l’information est une partie intégrante de la procédure de conformité.

Approche systémique de l’OCO Management System

Les principaux interlocuteurs d’une entreprise sont ses clients, fournisseurs, partenaires, investisseurs et autorités officielles. Le principal objectif est donc de s’assurer en permanence de la situation et de la qualité de ces interlocuteurs et de leurs représentants. Selon les exigences des cadres à appliquer, ces vérifications peuvent concerner l’ensemble des responsables de ces interlocuteurs mais aussi leurs propres clients, fournisseurs, partenaires et investisseurs. L’évaluation du risque repose sur des critères spécifiques à chaque organisation cherchant à déterminer l’identité des personnes physiques actionnaires, la transparence des comptes, des contrats et des actions menées ou la réputation et l’éventuel passé judiciaire. Avant de lancer une investigation poussée, le plus simple est pour toute relation, existante ou nouvelle, de demander à la tierce partie de remplir un formulaire portant sur ces points. En l’absence de réponse transparente, le doute est permis. Si la tierce partie persiste dans sa position, le plus simple est de rompre toute relation. De même, la Chambre de Commerce Internationale propose l’inclusion dans les contrats d’une clause anticorruption, qui, si elle n’est pas respectée, provoque la rupture du contrat sans recours possible, à moins que la tierce partie ne respectant pas la clause prenne rapidement toutes les dispositions pour résoudre le cas litigieux[xvi].

Cette approche est dépendante d’une étude préalable de la situation, comme nous l’avons vu du point de vue des ressources, puis des relations avec des tierces parties, mais aussi du point de vue des risques potentiels. Même une entreprise avec une procédure de conformité largement implémentée à tous les niveaux de son organisation n’est pas à l’abri d’une sollicitation corruptive ou tentative d’extorsion et injection de fonds à blanchir. Des cas existent de banques, pourtant les plus règlementées, dont un chargé d’affaires a accepté des fonds d’origine criminelle contre une « commission ». Dans un exemple cité, un directeur de filiale internationale, a accepté, en toute connaissance de cause, de verser, par le biais de surfacturations, des fonds à un homme politique, lui-même lié à une organisation criminelle. On le voit, l’approche consistant à mettre en place des procédures, ou à informer les managers sur leurs responsabilités, peut ne pas suffire. On peut renforcer ces procédures par la contractualisation des obligations mais les sanctions peuvent ne pas contrebalancer les contreparties, le plus souvent financières, du non-respect des règles. L’évaluation des risques vise à estimer l’exposition de chaque partie d’une organisation aux organisations criminelles connues ou aux réseaux opportunistes moins structurés.

Les organisations criminelles sont structurées comme des entités économiques cohérentes : elles ont le plus souvent une hiérarchie claire avec des « fonctions » précises, des objectifs « commerciaux » sur leurs zones d’intérêts et des outils de « communication/influence » adaptés. Leurs objectifs vis-à-vis des entreprises sont de pouvoir y blanchir des capitaux ou en tirer des revenus : il peut s’agir de corrompre un décideur financier, d’extorquer des fonds ou de faire assurer à l’entreprise une partie de leurs besoins « logistiques »[xvii]. Elles cherchent à faire perdre son indépendance à une partie de l’entreprise, voire à son ensemble dans le cas d’une prise de participation financière, celle-ci risquant, en cas de dénonciation, des poursuites judiciaires sur la seule base de son association avec une organisation criminelle. Mais que ce soit pour la corruption, la fraude, ou le blanchiment, si les personnes et entités impliquées sont à identifier, auditer voire surveiller, les flux sont tout autant essentiels. Les flux sont les transactions financières, les transports de biens, la réalisation de services, les déplacements de personnes et la circulation de l’information. La systématisation de la documentation permet de retracer tous les flux et vérifier leur authenticité et légalité.

Les fonctions « sûreté/sécurité » et audit interne sont nécessaires à la conformité car elles ont pour objectif le contrôle : la conformité, et la fonction « intelligence stratégique », apportent une vérification supplémentaire à leurs informations. Comme nous l’avons dit, certains responsables peuvent être « compromis » ou corrompus. La sélection des responsables fonctionnels et de la conformité est clé et passe par la fonction ressources humaines. Les procédures de vérification, de profilage des personnes et entités, doivent être le plus poussées mais encore une fois adaptées : les lois sur la protection de la vie privée, ce qu’il est possible d’en connaître dans une entreprise, ou les limites imposées par d’autres lois, sur l’identification de l’ayant droit final d’un avoir financier, existent et ne peuvent être contournées par des moyens éthiques et légaux. La procédure de conformité doit prendre en compte ses objectifs, et ces contraintes externes, par la différentiation de chaque cas : personnes physiques, personnes morales, personnes investies d’une autorité, institutions publiques, contacts sur internet, etc. Des règles de déclenchement des vérifications sont utiles pour ne pas surcharger la fonction conformité : règles sur le montant/nature des flux, niveau de responsabilité des personnes, opérations financières dépassant la variation moyenne, comportements différents, etc.

Conclusion

La conformité est avant tout une approche méthodique reposant sur des ressources et compétences existant en interne. Un système de management conforme aux cadres de référence, et régulièrement mis à jour, permet d’organiser cette nouvelle fonction, nécessaire de par l’internationalisation des entreprises et donc leur exposition grandissante aux risques cités. Il limite également l’impact en temps et financement, mais l’entreprise, quelle que soit sa taille, devra malgré tout mobiliser ses dirigeants et ses cadres, les former et les tenir informés, suivre les évolutions des environnements d’emploi, des cadres d’action, et des risques spécifiques à leurs activités. Même en employant un système de management qui s’adapte à ces évolutions de lui-même, l’investissement de l’entreprise sera notable, à commencer par l’engagement pris par la direction de suivre les règles et la procédure. La direction devra créer une fonction conformité, avec au moins un coordinateur, et s’assurer du suivi de la procédure, de sa diffusion et de l’engagement de poursuites et sanctions effectives pour les cas avérés de non-respect de la procédure ou d’infraction aux lois.

Les risques juridiques ou criminels remettent en question la réputation de l’entreprise, son fonctionnement naturel voire même sa santé financière et sa pérennité. Si les grands groupes peuvent imputer leurs pertes, et amendes, sur plusieurs années, ou quitter un marché à risque pour un autre, les PMEs ou même les ETIs peuvent disparaitre suite à la mise en cause d’un de leurs dirigeants ou leur implication dans un cas de corruption. Les conséquences d’un tel « incident » sont durables : l’entreprise peut être exclue par les autorités d’un pays de tout contrat pendant plusieurs années. L’atteinte à la réputation peut être encore plus longue. D’autres entreprises peuvent, par leur propre procédure de conformité, refuser toute transaction avec l’entreprise impliquée ou en limiter sa crédibilité financière pour les banques. La conséquence économique peut toucher les employés, avec la disparition de leurs emplois ou même en entachant leur propre réputation. La responsabilité sociale de l’entreprise est donc engagée. L’entreprise doit pouvoir s’entourer d’expertises diverses et le cas échéant se faire accompagner par un organisme spécialisé indépendant pour la mise en place des procédures, audits ou même être certifiée de façon volontaire et conforme.

Références

i Il s’agit également de prévenir le blanchiment d’argent ou le financement du terrorisme.

ii http://www.o-c-o.net

iii « Italie: Phase 2 – Rapport sur l’application de la convention sur la lutte contre la corruption d’agents publics étrangers » – p11 « Décret 231/2001 » – http://www.oecd.org/fr/daf/anti-corruption/conventioncontrelacorruption/35108439.pdf

iv A l’exception des « universités d’entreprise » mais le plus souvent réservées aux grands groupes.

v Des travaux sont actuellement menés par l’ISO en se basant sur les lois, systèmes de management et « best practices » de l’Angleterre et de l’Australie.

vi KOKOREFF M. (2007), Economies criminelles et mondes urbains, PUF

vii Sur la protection des dénonciateurs et leur protection voir : « L’origine du whistleblowing: le Sarbanes Oxley Act de 2002 » – http://m2bde.u-paris10.fr/node/2379

viii Mais comme le montre une récente décision de justice aux Etats Unis, un responsable conformité mets en jeu son propre poste lorsqu’il dénonce une pratique interne illégale ou non éthique: « Court: Compliance Officer Can Be Fired for Reporting Misconduct » – http://www.complianceweek.com/pages/login.aspx?returl=/court-compliance-officer-can-be-fired-for-reporting-misconduct/article/242509/&pagetypeid=28&articleid=242509&accesslevel=2&expireddays=0&accessAndPrice=0

ix Decreto Legislativo 8 giugno 2001, n. 231 – http://www.camera.it/parlam/leggi/deleghe/01231dl.htm

x http://www.iso.org/iso/fr/home/standards/management-standards.htm

xi Librement téléchargeable sur: OCO LAUNCH THE FREE OCO MANAGEMENT STANDARD – http://www.o-c-o.net/oco-launch-the-free-oco-management-standard-ocoms/

xii http://www.isas.org/

xiii L’objet de cet article n’est pas d’étudier les liens entre corruption et crime organisé, ou les méthodes de fraude financière et de blanchiment d’argent. Pour ces sujets, on peut se référer aux travaux suivants : « Plan de lutte contre le crime organisé, la corruption et le blanchiment d’argent » – http://www.europarl.europa.eu/news/fr/news-room/content/20130916IPR20026/html/Plan-de-lutte-contre-le-crime-organis%C3%A9-la-corruption-et-le-blanchiment-d’argent; « EXAMINING THE LINKS BETWEEN ORGANISED CRIME AND CORRUPTION » – http://ec.europa.eu/dgs/home-affairs/doc_centre/crime/docs/study_on_links_between_organised_crime_and_corruption_en.pdf.

xiv Pour l’exposé d’un cas réel, se référer à l’article « Intelligence Economique et Anticipation des Risques : Application à la Lutte Anti-Corruption » paru dans le numéro 7 de la Revue du GRASCO, Novembre 2013, p.101.

xv Etablissement de Taille Intermédiaire.

xvi International Chamber of Commerce Anti-corruption Clause – http://www.iccwbo.org/Advocacy-Codes-and-Rules/Areas-of-work/Corporate-Responsibility-and-Anti-corruption/Buisness-Ethics-Documents/ICC-Anti-corruption-Clause/

xvii Transit de flux financiers ou matériels (drogue, équipements, personnes).