Sapin II : vers une fusion des piliers 5 et 8 ?

3 niveaux de contrôle liés… et nécessaires

Cette surprenante fusion apparaît au sein des dispositions générales, à partir du paragraphe 61, sous le titre « Le dispositif de contrôle ». Ce chapitre décrit les mesures mises en œuvre dans le cadre de l’article 17 et opère la fusion entre les piliers 5 et 8, en affirmant au point 63, dans les dispositions générales, que le contrôle du dispositif « peut comprendre idéalement jusqu’à 3 niveaux réalisés de façon autonome ». A partir du point 317 figurent des précisions quant aux développements liés à la détection des risques des acteurs économiques : les recommandations appliquent les 3 niveaux de contrôle au pilier 8 en illustrant ce que pourraient être ces contrôles, appliqués à ce dernier pilier.

Pour mémoire, les 3 niveaux de contrôle sont en substance les suivants :

• le 1^er niveau est le contrôle primaire effectué sur toute opération, comme vérifier qu’une facture possède son bon de commande ou qu’une note de frais est bien liée à un justificatif,
• le 2^ème niveau vise à ce que les contrôles de 1^er niveau soient vérifiés, de façon systématique ou non, par un système ou par quelqu’un, qu’il s’agisse d’un indépendant ou du supérieur hiérarchique de la personne ayant réalisé le contrôle de 1^er niveau,
• enfin, les contrôles de 3^ème niveau ne sont ni plus ni moins que l’audit de la mise en œuvre des contrôles de 1^er et 2^ème niveaux.

Il faut bien comprendre que les 3 niveaux de contrôle sont liés :

• d’une part, à l’application de principes directement inspirés du monde bancaire, et nettement moins utilisés dans les sphères de l’industrie et des services non financiers, et aux notions de contrôle permanent (niveaux 1 et 2) et de contrôle périodique (niveau 3) pour l’exécution quotidienne des opérations,
• d’autre part à la nécessité, compte tenu de la volumétrie de ces dernières, d’être certain que chaque transaction est contrôlée de différentes façons. Il est ici question de mesures systémiques, à appliquer à des opérations reproduites à l’infini pour limiter au maximum la survenance de mauvaises surprises ou d’entorses aux processus établis. Il s’agit bien d’une structuration de contrôles liés à une diversité et à une quantité d’opérations importantes.

L’application de ces principes vise au maintien de la sécurité et de la pérennité de l’activité, et au fait, qu’in fine, la direction générale de l’entreprise à l’origine de ces contrôles soit elle-même sereine quant au déroulement des opérations quotidiennes.

Que retenir de cette fusion ?

Or, pour Sapin II et les mesures de l’article 17 dont il s’agit de vérifier la mise en œuvre, la comparaison avec des opérations récurrentes ne semble pas complètement adaptée. Tout d’abord la mise en œuvre de Sapin II ne consiste pas en une répétition permanente de tâches. Il paraît en effet délicat d’affirmer que la production d’une cartographie des risques de corruption, la rédaction d’un code de conduite ou d’un régime de sanctions, la mise en œuvre ou le déploiement d’une ligne d’alerte, la rédaction d’une formation, de procédures comptables ou de connaissance des tiers revêtent un quelconque caractère répétitif, ou de permanence. Or ce sont bien ces démarches de mise en œuvre qu’il s’agit de contrôler. Que les contrôles comptables eux-mêmes mettent sous surveillance de façon permanente les opérations relève du bon sens, d’où les 3 niveaux de contrôle prévus à cet effet. Mais que l’on applique le même régime, permanent, à des opérations dont la récurrence est infiniment moindre que les opérations de la vie courante, paraît pour le moins inadapté. A plus forte raison quand les objets à contrôler structurent une démarche, qui n’a pas pour vocation à être réitérée au cours de la vie courante.

Cette inadaptation de la mise en œuvre de 3 niveaux de contrôle aux obligations de l’article 17 est également caractérisée par la qualité de responsable « comptable » de la bonne tenue du dispositif Sapin II qu’est l’instance dirigeante, ou son représentant direct, le compliance officer. Ainsi, puisque c’est cette instance dirigeante ou son représentant au sommet de la pyramide hiérarchique qui est en charge de la mise en œuvre du dispositif, quelle est donc l’autorité interne, l’organisation qui va s’imposer et la contrôler au titre du niveau 2 ? Qui procèdera au contrôle périodique de niveau 3, de l’autorité – non identifiée – qui aura contrôlé l’instance dirigeante ? Par construction, appliquer des contrôles de 1^er ou de 2^ème  niveau à ceux que les 8 piliers de la loi sont réputés protéger, c’est-à-dire les dirigeants, relève de la gageure technique. C’est pourquoi les recommandations de l’AFA, qui apportent une réponse technique, peuvent laisser perplexe.

Par ailleurs, après avoir affirmé que les 3 niveaux s’appliquent aux 7 autres piliers, le point 327 précise qu’il n’est pas possible de réaliser des contrôles de 1^er et 2^ème niveau à la cartographie des risques de corruption. Restent les contrôles de 3^ème niveau dont personne ne contestera la pertinence pour ce pilier. Concernant le code de conduite, les recommandations de l’AFA dans leur point 328 précisent, pour les contrôles de niveau 1 du code de conduite, qu’il convient de « valider les opérations ou situations régies par les politiques ou procédures annexées ou intégrées au code de conduite ». Or, si sur le fond on ne saurait s’éloigner de ce qui est écrit, sur la forme il s’agit purement et simplement de ce qui doit être fait dans le cadre du pilier 5, dit des contrôles comptables. Et il en est de même pour ce qui est des contrôles de niveaux 2 et 3. Le pilier 5 suffit largement.

Au sujet de la formation, les nouvelles recommandations précisent que la liste de présence doit être vérifiée, de même que doivent l’être les connaissances acquises. Ce qui semble normal, et qui est de la responsabilité du dirigeant ou du compliance officer, de s’en assurer. Une fois cela posé, quel est le supérieur du dirigeant qui vérifiera que ce dernier a bien effectué cette vérification ? Mêmes questions pour le lancement d’alerte. Enfin, pour l’évaluation des tiers, ce qui est proposé au titre du pilier 8 est exactement ce qui devrait être fait au niveau du pilier 5 relatif aux contrôles comptables. Cela est d’ailleurs arrivé au pilier 5, note 332, que l’on touche à l’extrême limite de la démarche : il s’agirait donc, en principe, d’appliquer des contrôles de 1^er niveau aux contrôles de 1^er, 2^ème et 3^ème niveaux du pilier 5, et d’appliquer à ces contrôles de 1^er niveau des contrôles de niveau 1, 2 et 3, un contrôle de 2^ème niveau ? Puis de 3^ème niveau ?

Une complexité supplémentaire ?

L’AFA ne va pas jusque-là, et pose le principe des contrôles automatisés de certaines opérations, de contrôle des habilitations, de règle des 4 yeux, et de la plus énigmatique « application des contrôles comptables avant réalisation de l’opération ». Autant de contrôles qui sont déjà du ressort du pilier 5 en régime normal, à part peut-être, le dernier cité. Ce placage de 3 niveaux de contrôle au pilier 8 ne fait finalement que mener à une forme d’impasse, parfois admise par l’AFA elle-même dans ces recommandations, ou à une reproduction pure et simple du pilier 5 qui, de toutes façons, fait partie intégrante des obligations de l’article 17.

Devant la complexité opérationnelle de la mise en œuvre du dispositif en soi, rajouter cette couche serait presque à même de rendre les recommandations opérationnellement inapplicables. En effet, le pilier 5 correctement et méthodiquement appliqué pourrait largement suffire à assurer les 3 niveaux de contrôle, quand c’est possible, au dispositif de prévention de la corruption. Quant au pilier 8, il devrait viser à simplement démontrer sous la responsabilité de l’instance dirigeante que les 7 autres piliers fonctionnent de façon nominale, sans qu’il n’y ait à introduire d’autre intrication inutile.