Évaluation des tiers Sapin 2 : obligations, méthode et checklist

Dans un monde économique globalisé où les chaînes de valeur s'étendent et se complexifient

Les entreprises interagissent quotidiennement avec un nombre croissant de partenaires : fournisseurs, clients, intermédiaires, consultants, agents... Ces relations, si elles constituent le fondement de la vie des affaires, représentent également une zone de risque majeure en matière de corruption. En effet, selon diverses études, plus de 90% des cas de corruption impliquent des tiers agissant pour le compte d'une entreprise.

Face à ce constat, l'évaluation des tiers s'est imposée comme un pilier incontournable des dispositifs anti-corruption modernes. En France, la loi Sapin 2 a consacré cette approche en faisant des « procédures d'évaluation des tiers » l'une des huit mesures obligatoires pour les entreprises concernées. Mais comment mettre en œuvre concrètement cette obligation ? Quels tiers évaluer et selon quelles modalités ? Quelles informations recueillir et comment les analyser ?

Cet article vous propose une méthodologie structurée et des outils pratiques pour répondre à ces questions et construire un dispositif d'évaluation des tiers robuste et conforme aux exigences de la loi Sapin 2.

I. L'évaluation des tiers : une obligation centrale de la loi Sapin 2

Contexte légal et réglementaire

L'article 17 de la loi Sapin 2 impose aux entreprises concernées de mettre en place des procédures d'évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie des risques. Cette obligation, en apparence simple, cache une réalité opérationnelle complexe qui nécessite une approche méthodique et des ressources dédiées.

L'Agence Française Anticorruption (AFA) a précisé ses attentes dans ses recommandations, soulignant que l'évaluation des tiers doit :

• S'appuyer sur la cartographie des risques de corruption
• Être proportionnée au niveau de risque identifié
• S'intégrer dans les processus opérationnels existants
• Être documentée et traçable
• Faire l'objet d'une mise à jour régulière

Place dans les 8 piliers du dispositif anti-corruption

L'évaluation des tiers constitue le quatrième pilier du dispositif anti-corruption prévu par la loi Sapin 2, mais elle ne fonctionne pas de manière isolée. Elle s'articule étroitement avec les autres composantes du dispositif :

• Elle s'appuie sur la cartographie des risques (pilier 3) qui permet d'identifier les zones de risque liées aux tiers
• Elle alimente les contrôles comptables (pilier 5) qui doivent porter une attention particulière aux transactions avec les tiers à risque
• Elle est soutenue par le code de conduite (pilier 1) qui définit les comportements attendus dans les relations avec les tiers
• Elle est renforcée par les formations (pilier 6) qui sensibilisent les collaborateurs aux risques liés aux tiers
• Elle peut déclencher l'application du régime disciplinaire (pilier 7) en cas de non-respect des procédures d'évaluation
• Elle s'intègre dans le dispositif de contrôle et d'évaluation interne (pilier 8) qui vérifie son efficacité

Conséquences du non-respect de cette obligation

Le non-respect de l'obligation de mettre en place des procédures d'évaluation des tiers peut entraîner différentes conséquences :

• Sanctions administratives prononcées par la commission des sanctions de l'AFA (jusqu'à 1 million d'euros pour les personnes morales)
• Risque accru de corruption et sanctions pénales associées
• Impact réputationnel en cas de mise en cause publique
• Difficultés dans les relations avec certains partenaires exigeant des garanties en matière de conformité
• Vulnérabilité face aux poursuites extraterritoriales (FCPA, UK Bribery Act)

Au-delà de ces risques, une évaluation insuffisante des tiers peut conduire à des relations d'affaires problématiques, susceptibles d'affecter la performance opérationnelle et financière de l'entreprise.

II. Quels tiers évaluer ? Périmètre et priorisation

Définition de la notion de « tiers » selon l'AFA

Dans ses recommandations, l'AFA définit les tiers comme « les clients, les fournisseurs de premier rang et les intermédiaires ». Cette définition, volontairement large, englobe l'ensemble des partenaires commerciaux avec lesquels l'entreprise entretient des relations d'affaires.

Il est important de noter que la notion de « fournisseurs de premier rang » ne se limite pas aux fournisseurs directs, mais inclut tous les prestataires contractant directement avec l'entreprise, quel que soit leur domaine d'intervention.

Quant aux « intermédiaires », cette catégorie comprend toutes les personnes ou entités qui interviennent dans la chaîne commerciale entre l'entreprise et le client final, ou qui représentent les intérêts de l'entreprise auprès de tiers : agents commerciaux, lobbyistes, consultants, distributeurs, etc.

Typologie des relations avec les tiers

Pour structurer l'approche d'évaluation, il est utile de catégoriser les tiers selon la nature de la relation :

• Fournisseurs et prestataires : entités qui fournissent des biens ou services à l'entreprise
• Clients : entités qui achètent les produits ou services de l'entreprise
• Intermédiaires commerciaux : agents, apporteurs d'affaires, consultants en développement commercial
• Partenaires de joint-venture ou de consortium
• Cibles d'acquisition ou investisseurs potentiels
• Distributeurs et revendeurs
• Représentants d'intérêts (lobbyistes)
• Bénéficiaires de mécénat ou sponsoring

Chaque catégorie présente des profils de risque spécifiques qui nécessitent des approches d'évaluation adaptées.

Approche par les risques : critères de priorisation

Face au volume potentiellement considérable de tiers, une approche fondée sur les risques est indispensable pour concentrer les efforts sur les relations les plus sensibles. Plusieurs critères peuvent guider cette priorisation :

• Nature de la relation : les intermédiaires agissant pour le compte de l'entreprise présentent généralement un risque plus élevé
• Pays d'activité : opérations dans des pays à indice de corruption élevé selon Transparency International
• Secteur d'activité : certains secteurs sont plus exposés aux risques de corruption (extraction, défense, BTP...)
• Proximité avec des agents publics : relations avec des entités publiques ou parapubliques
• Montant et structure de la rémunération : commissions élevées, success fees, paiements offshores
• Importance stratégique : volume d'affaires, caractère critique de la relation
• Signaux d'alerte préexistants : antécédents, rumeurs, structures opaques

Méthodologie de segmentation des tiers

Sur la base de ces critères, une segmentation en trois ou quatre niveaux de risque peut être établie :

• Risque faible : évaluation simplifiée
• Risque modéré : évaluation standard
• Risque élevé : évaluation approfondie
• Risque critique : évaluation renforcée avec validation par un comité dédié

Cette segmentation doit être formalisée dans une procédure claire, précisant les critères objectifs d'affectation à chaque catégorie et le niveau d'évaluation correspondant.

Un exemple de matrice de segmentation peut combiner des critères géographiques, sectoriels et relationnels pour déterminer le niveau de risque global d'un tiers.

III. Méthodologie d'évaluation des tiers étape par étape

L'évaluation des tiers doit suivre un processus structuré qui garantit à la fois l'exhaustivité de l'analyse et son adaptation au niveau de risque identifié. Voici une méthodologie en six phases qui peut être ajustée selon les spécificités de votre organisation.

Phase 1 : Collecte d'informations préliminaires

Cette première étape consiste à recueillir les informations de base sur le tiers :

• Identification précise : dénomination sociale, forme juridique, numéro d'identification (SIREN, VAT number...)
• Coordonnées complètes : siège social, adresse opérationnelle
• Informations sur l'activité : secteur, produits/services, ancienneté
• Données financières basiques : chiffre d'affaires, effectifs
• Structure de propriété : actionnaires principaux, groupe d'appartenance
• Informations sur la relation envisagée : nature, durée, montant, objectifs

Ces informations peuvent être collectées via un questionnaire interne rempli par le sponsor de la relation (acheteur, commercial...) et/ou un questionnaire externe adressé directement au tiers.

Pour les tiers à faible risque, cette collecte préliminaire peut constituer l'essentiel de l'évaluation, complétée par une vérification dans les bases de données de sanctions et une recherche négative simple.

Phase 2 : Analyse des signaux d'alerte ("red flags")

Sur la base des informations collectées, une analyse des signaux d'alerte potentiels est réalisée. Ces "red flags" peuvent inclure :

• Signaux structurels : structure juridique complexe ou opaque, localisation dans un paradis fiscal
• Signaux financiers : demande de paiements inhabituels, commissions disproportionnées
• Signaux relationnels : liens avec des agents publics, recommandation par un client ou un officiel
• Signaux comportementaux : réticence à fournir des informations, pressions pour accélérer les procédures
• Signaux contextuels : mauvaise réputation, rumeurs d'affaires de corruption, secteur à haut risque

L'identification de signaux d'alerte ne signifie pas nécessairement que la relation doit être écartée, mais elle justifie un approfondissement de l'évaluation et potentiellement la mise en place de mesures d'atténuation spécifiques.

Phase 3 : Évaluation approfondie des tiers à risque élevé

Pour les tiers présentant un niveau de risque élevé ou des signaux d'alerte significatifs, une évaluation approfondie est nécessaire :

• Recherches externes étendues : articles de presse, litiges, procédures judiciaires
• Vérification des bénéficiaires effectifs : analyse de la chaîne de propriété complète
• Due diligence renforcée : rapport d'enquête spécialisé, audit sur site
• Analyse financière détaillée : examen des états financiers, ratios atypiques
• Vérification des références : retours d'expérience d'autres partenaires
• Évaluation du programme de conformité du tiers : existence et maturité des dispositifs anti-corruption

Cette phase peut nécessiter le recours à des prestataires spécialisés en due diligence ou à des bases de données professionnelles.

Phase 4 : Décision et mesures d'atténuation

Sur la base de l'évaluation réalisée, une décision doit être prise concernant la relation avec le tiers :

• Approbation sans réserve : pour les tiers à risque faible sans signal d'alerte
• Approbation avec mesures d'atténuation : pour les tiers présentant des risques maîtrisables
• Approbation conditionnelle : soumise à des vérifications complémentaires ou à la mise en place de mesures correctives par le tiers
• Refus : pour les tiers présentant des risques inacceptables

Les mesures d'atténuation peuvent inclure :

• Clauses contractuelles renforcées (audit, résiliation, certification...)
• Formations spécifiques dispensées au tiers
• Contrôles opérationnels supplémentaires
• Monitoring renforcé des transactions
• Validation hiérarchique des paiements
• Reporting périodique par le tiers

Le niveau de validation requis doit être adapté au niveau de risque : approbation par le manager, le responsable conformité ou, pour les cas les plus sensibles, par un comité dédié.

Phase 5 : Documentation et archivage

La documentation complète du processus d'évaluation est essentielle pour démontrer la diligence de l'entreprise en cas de contrôle :

• Questionnaires complétés et pièces justificatives fournies par le tiers
• Rapports de recherche et résultats des vérifications effectuées
• Analyse des risques et identification des signaux d'alerte
• Décision motivée et mesures d'atténuation définies
• Validation par les personnes habilitées

Cette documentation doit être conservée dans un système sécurisé, accessible aux personnes autorisées, tout en respectant les exigences en matière de protection des données personnelles (RGPD).

Phase 6 : Suivi et réévaluation périodique

L'évaluation des tiers n'est pas un exercice ponctuel mais un processus continu :

• Monitoring continu : surveillance des changements significatifs (propriété, management, réputation...)
• Réévaluation périodique : à fréquence définie selon le niveau de risque (annuelle pour les tiers à haut risque, tous les 2-3 ans pour les autres)
• Réévaluation événementielle : en cas de changement significatif dans la relation ou d'incident

Ce suivi permet d'adapter le niveau de vigilance à l'évolution de la relation et du contexte, et de maintenir l'efficacité du dispositif dans la durée.

IV. Les informations clés à recueillir : checklist complète

Pour faciliter la mise en œuvre de votre processus d'évaluation des tiers, voici une checklist détaillée des informations à recueillir, adaptable selon le niveau de risque identifié.

Informations d'identification et structure juridique

• Dénomination sociale complète
• Forme juridique
• Numéro d'identification (SIREN, VAT number...)
• Date de création
• Adresse du siège social
• Adresses opérationnelles
• Site web
• Pays d'immatriculation et d'opération
• Appartenance à un groupe
• Organigramme juridique simplifié
• Certifications et accréditations détenues

Actionnariat et bénéficiaires effectifs

• Liste des actionnaires principaux (>5%)
• Identification des bénéficiaires effectifs (>25%)
• Sociétés cotées en bourse : place de cotation
• Structure de gouvernance
• Identité des principaux dirigeants
• Changements récents dans l'actionnariat
• Présence d’investisseurs institutionnels ou étatiques
• Liens capitalistiques avec d'autres partenaires de l'entreprise

Réputation et intégrité

• Historique de l'entreprise
• Présence sur les listes de sanctions internationales
• Implication dans des litiges ou procédures judiciaires
• Articles de presse négatifs
• Réputation dans le secteur
• Éventuelles allégations de corruption ou de fraude
• Stabilité financière et solvabilité
• Références clients
• Adhésion à des initiatives d’éthique des affaires

Relations avec des agents publics

• Statut public ou privé du tiers
• Présence d’agents publics parmi les actionnaires ou dirigeants
• Relations familiales ou personnelles avec des agents publics
• Ancien statut d’agent public des dirigeants (revolving doors)
• Fréquence et nature des interactions avec des administrations
• Autorisations ou licences obtenues récemment
• Participation à des marchés publics
• Lobbying ou représentation d’intérêts auprès d’autorités publiques

Dispositif anti-corruption du tiers

• Existence d’un code de conduite
• Politique anti-corruption formalisée
• Dispositif d’alerte éthique
• Formation des collaborateurs à l’éthique
• Certification anti-corruption (ISO 37001...)
• Personne responsable de la conformité
• Procédures d’évaluation de ses propres tiers
• Historique d’incidents de conformité et mesures correctives
• Engagement à respecter le code de conduite de votre entreprise

Informations financières pertinentes

• Chiffre d'affaires des trois dernières années
• Résultats financiers récents
• Effectifs
• Banques partenaires
• Pays de domiciliation des comptes bancaires
• Structure de coûts et marges typiques du secteur
• Modalités de rémunération demandées
• Cohérence entre l’activité et les flux financiers
• Transparence des états financiers

Spécificités selon les catégories de tiers

Pour les intermédiaires commerciaux

• Expérience et expertise dans le domaine d’activité
• Ressources humaines et matérielles
• Portefeuille clients
• Justification commerciale du recours à l’intermédiaire
• Structure de rémunération détaillée
• Processus de prise de décision interne

Pour les fournisseurs stratégiques

• Capacités techniques et opérationnelles
• Dépendance économique vis-à-vis de votre entreprise
• Politique RSE et engagements environnementaux
• Sous-traitants significatifs
• Processus qualité
• Incidents de sécurité ou de conformité passés

Pour les clients à risque élevé

• Source des fonds
• Utilisateur final des produits/services
• Conformité aux réglementations export (biens à double usage...)
• Historique des transactions
• Cohérence entre le profil du client et les achats réalisés
• Processus d’approbation interne des achats

V. Outils et ressources pour une évaluation efficace

Questionnaires d'évaluation : modèles et bonnes pratiques

Les questionnaires constituent l'outil de base de la collecte d'informations. Pour être efficaces, ils doivent respecter certains principes :

• Adaptation au niveau de risque : questionnaire simplifié pour les tiers à faible risque, approfondi pour les autres
• Clarté des questions : formulation précise évitant les ambiguïtés
• Progressivité : des questions générales aux points spécifiques
• Format adapté : papier, Excel, plateforme en ligne selon le contexte
• Instructions claires sur les documents justificatifs à fournir
• Multilinguisme pour les tiers internationaux
• Mentions légales sur la protection des données personnelles

Il est recommandé de développer plusieurs modèles de questionnaires selon les catégories de tiers (fournisseurs, intermédiaires, clients...) et les niveaux de risque.

Sources d'information externes

Plusieurs sources d'information externes peuvent compléter les déclarations du tiers :

• Registres publics : registre du commerce, cadastre, brevets...
• Bases de données de sanctions : OFAC, UE, ONU...
• Bases de données de personnes politiquement exposées (PPE)
• Bases de données de litige et contentieux
• Rapports d'analyse financière et de crédit
• Presse et médias : articles, reportages, réseaux sociaux
• Bases sectorielles spécifiques
• Rapports d'ONG sur la corruption, les droits humains...

Ces sources peuvent être consultées directement ou via des prestataires spécialisés qui agrègent et analysent ces informations.

Solutions technologiques pour l'automatisation des contrôles

Face au volume de tiers à évaluer, les solutions technologiques deviennent incontournables :

• Plateformes de gestion de la due diligence : workflows automatisés, questionnaires en ligne, scoring des risques
• Outils de screening automatisé : vérification en temps réel dans les bases de données de sanctions
• Solutions d'intelligence artificielle pour l'analyse des signaux faibles
• Outils d'analyse de réseau pour identifier les liens non apparents entre entités
• Systèmes de monitoring continu des changements affectant les tiers

Ces solutions permettent de gagner en efficacité, d'harmoniser les pratiques et de renforcer la traçabilité du processus d'évaluation.

Gestion documentaire et traçabilité des évaluations

La gestion documentaire est un aspect crucial de l'évaluation des tiers :

• Système centralisé de stockage des dossiers d'évaluation
• Nomenclature standardisée des documents
• Gestion des droits d'accès selon les profils utilisateurs
• Piste d'audit des modifications et validations
• Système d'alerte pour les réévaluations périodiques
• Archivage sécurisé respectant les durées de conservation légales

Une bonne pratique consiste à intégrer cette gestion documentaire dans les systèmes existants (ERP, CRM, procurement) pour faciliter l'adoption par les équipes opérationnelles.

VI. Intégration de l'évaluation des tiers dans les processus opérationnels

Articulation avec les processus d'achats

L'évaluation des fournisseurs doit s'articuler avec le processus achats :

• Intégration en amont : déclenchement de l'évaluation dès l'identification du besoin pour les catégories sensibles
• Synchronisation avec les étapes clés : qualification, appel d'offres, sélection, contractualisation
• Critères de conformité dans la grille d'évaluation des offres
• Validation de conformité comme prérequis à l'entrée en relation
• Formation des acheteurs aux signaux d'alerte
• Révision périodique alignée avec les cycles de renouvellement des contrats

Cette intégration permet d'éviter les retards dans les approvisionnements tout en garantissant la maîtrise des risques.

Intégration dans le cycle commercial

Pour l'évaluation des clients et partenaires commerciaux :

• Alignement avec le processus de qualification des prospects
• Intégration dans le CRM pour centraliser les informations
• Évaluation proportionnée aux enjeux commerciaux
• Processus d'escalade clair en cas de signaux d'alerte
• Implication de la conformité dans les revues d'opportunités significatives
• Formation des commerciaux aux risques de corruption

L'enjeu est de trouver le juste équilibre entre vigilance et agilité commerciale, en adaptant le niveau de contrôle à la matérialité des risques.

Clauses contractuelles anti-corruption

Les résultats de l'évaluation doivent se traduire par des protections contractuelles adaptées :

• Clauses anti-corruption : engagement à respecter les lois applicables et le code de conduite
• Clauses d'audit : droit de vérifier la conformité aux engagements
• Clauses de résiliation en cas de violation des engagements éthiques
• Clauses de certification périodique par le tiers de sa conformité
• Clauses de coopération en cas d'enquête ou d'incident
• Clauses spécifiques selon les risques identifiés lors de l'évaluation

Ces clauses doivent être adaptées au niveau de risque et à la nature de la relation, et faire l'objet d'une attention particulière lors de la négociation.

Formation des équipes impliquées

La formation des collaborateurs impliqués dans les relations avec les tiers est essentielle :

• Formation générale sur les risques de corruption liés aux tiers
• Formation spécifique sur les procédures d'évaluation
• Ateliers pratiques sur l'identification des signaux d'alerte
• Sensibilisation aux conséquences d'un défaut d'évaluation
• Communication régulière sur les évolutions du dispositif
• Partage d'expérience sur les cas complexes rencontrés

Ces formations doivent être adaptées aux fonctions concernées (achats, ventes, finance...) et aux spécificités de leurs interactions avec les tiers.

Gouvernance et responsabilités

Une gouvernance claire est nécessaire pour assurer l'efficacité du dispositif :

• Définition précise des rôles et responsabilités :
  • Opérationnels : collecte initiale d'informations
  • Conformité : analyse des risques et recommandations
  • Management : validation selon les seuils de délégation
  • Comité éthique : arbitrage des cas complexes
• Processus d'escalade pour les situations à risque élevé
• Reporting régulier sur le fonctionnement du dispositif
• Revue périodique de la politique et des procédures

Cette gouvernance doit être formalisée et communiquée à l'ensemble des parties prenantes pour garantir une mise en œuvre homogène.

VII. Les défis courants et comment les surmonter

Gestion du volume de tiers à évaluer

Face au nombre potentiellement considérable de tiers, plusieurs approches sont possibles :

• Approche progressive : commencer par les catégories les plus risquées
• Mutualisation des évaluations entre entités du groupe
• Définition de seuils de matérialité (montant, durée de la relation...)
• Automatisation des contrôles de premier niveau
• Approche par campagnes pour les réévaluations périodiques
• Recours à des prestataires externes pour absorber les pics d'activité

L'essentiel est de maintenir une approche fondée sur les risques tout en assurant une couverture complète du périmètre pertinent.

Obtention des informations dans des contextes internationaux

L'accès aux informations peut s'avérer complexe dans certains contextes internationaux :

• Adaptation des questionnaires aux spécificités locales
• Traduction dans les langues locales
• Recours à des sources alternatives d'information
• Utilisation d'intermédiaires locaux pour la collecte d'informations publiques
• Prise en compte des contraintes légales locales (protection des données...)
• Sensibilisation accrue dans les pays où la transparence n'est pas la norme

Dans les contextes les plus opaques, le principe de précaution peut conduire à renforcer d'autres mesures de maîtrise des risques (contrôles opérationnels, clauses contractuelles renforcées...).

Gestion des résultats "ambigus"

Certaines évaluations aboutissent à des résultats ni clairement positifs ni manifestement négatifs :

• Établissement d'une grille d'analyse structurée des signaux d'alerte
• Processus d'investigation complémentaire standardisé
• Comité pluridisciplinaire pour l'analyse des cas complexes
• Documentation renforcée de l'analyse et de la décision
• Mesures d'atténuation spécifiques adaptées aux zones d'incertitude
• Monitoring renforcé des relations présentant des signaux faibles

L'important est de formaliser le raisonnement ayant conduit à la décision et les mesures prises pour maîtriser les risques identifiés.

Équilibre entre conformité et impératifs commerciaux

La tension entre exigences de conformité et objectifs commerciaux est fréquente :

• Implication précoce de la conformité dans les projets stratégiques
• Définition claire des "lignes rouges" non négociables
• Processus d'arbitrage transparent pour les cas limites
• Formation croisée entre équipes commerciales et conformité
• Indicateurs de performance intégrant la dimension conformité
• Communication sur la valeur ajoutée de la démarche de conformité

L'enjeu est de positionner l'évaluation des tiers non comme un obstacle mais comme un outil de sécurisation des relations d'affaires sur le long terme.

Mise à jour et maintenance du dispositif

Maintenir le dispositif dans la durée représente un défi significatif :

• Planification des réévaluations selon une matrice de risque
• Veille sur les changements significatifs (fusions-acquisitions, changements de dirigeants...)
• Automatisation des alertes sur les événements critiques
• Revue périodique de la méthodologie à la lumière des retours d'expérience
• Benchmarking régulier avec les pratiques du secteur
• Adaptation aux évolutions réglementaires et aux nouvelles recommandations de l'AFA

Un dispositif d'évaluation des tiers est un système vivant qui doit évoluer avec l'entreprise et son environnement.

VIII. Mesurer l'efficacité de votre dispositif d'évaluation des tiers

Indicateurs clés de performance (KPIs)

Plusieurs indicateurs peuvent être suivis pour évaluer l'efficacité du dispositif :

• Indicateurs de couverture :
  • Pourcentage de tiers évalués par catégorie de risque
  • Délai moyen entre l'identification d'un nouveau tiers et la finalisation de son évaluation
  • Taux de réévaluation dans les délais prévus
• Indicateurs de qualité :
  • Nombre de signaux d'alerte identifiés
  • Taux de refus ou d'approbation conditionnelle
  • Cohérence des évaluations entre différentes entités ou évaluateurs
• Indicateurs d'efficience :
  • Temps moyen par évaluation selon le niveau de risque
  • Coût moyen d'une évaluation
  • Ratio entre ressources allouées et couverture des risques
• Indicateurs d'impact :
  • Nombre d'incidents évités grâce à l'évaluation préalable
  • Satisfaction des parties prenantes internes
  • Perception du dispositif par les tiers évalués

Ces indicateurs doivent faire l'objet d'un reporting régulier auprès de la direction et des instances de gouvernance.

Contrôles de second niveau

Au-delà du suivi des KPIs, des contrôles de second niveau doivent être réalisés pour vérifier la bonne application des procédures :

• Revue d'échantillons d'évaluations par la fonction conformité
• Vérification de la cohérence des niveaux de risque attribués
• Contrôle de la qualité documentaire des dossiers d'évaluation
• Vérification de l'application effective des mesures d'atténuation
• Surveillance des exceptions et dérogations accordées

Ces contrôles permettent d'identifier d'éventuelles faiblesses dans l'application du dispositif et de prendre des mesures correctives.

Audits périodiques

Des audits plus approfondis, réalisés par l'audit interne ou des prestataires externes, complètent le dispositif de contrôle :

• Audit de conception : évaluation de l'adéquation du dispositif aux exigences légales et aux risques spécifiques de l'entreprise
• Audit d'efficacité opérationnelle : vérification de l'application effective des procédures sur un échantillon représentatif
• Audit thématique sur des aspects spécifiques (évaluation des intermédiaires, contrôles dans certaines filiales...)
• Test d'intrusion : tentative délibérée de contournement du dispositif pour en identifier les faiblesses

Les résultats de ces audits doivent alimenter les plans d'amélioration du dispositif.

Retours d'expérience et amélioration continue

L'amélioration continue du dispositif repose sur plusieurs mécanismes :

• Analyse des incidents et des "near misses" (situations où le risque a été évité de justesse)
• Feedback des utilisateurs du dispositif (opérationnels, conformité...)
• Veille sur les évolutions des pratiques et standards du secteur
• Benchmarking avec d'autres entreprises
• Intégration des recommandations issues des contrôles et audits
• Revue périodique de la politique et des procédures

Cette démarche d'amélioration continue permet d'adapter le dispositif à l'évolution des risques et de l'entreprise, tout en optimisant son efficience.

Conclusion

L'évaluation des tiers constitue un pilier fondamental de tout dispositif anti-corruption efficace. Au-delà de l'obligation légale imposée par la loi Sapin 2, elle représente un outil stratégique de maîtrise des risques qui contribue à la pérennité et à la réputation de l'entreprise.

Si la mise en place d'un processus structuré d'évaluation des tiers représente un investissement initial significatif, elle génère des bénéfices durables : relations d'affaires plus sûres, meilleure connaissance de l'écosystème de partenaires, et protection renforcée contre les risques juridiques et réputationnels.

La clé du succès réside dans une approche proportionnée, fondée sur les risques, qui s'intègre harmonieusement dans les processus opérationnels de l'entreprise. Cette intégration est facilitée par le recours à des outils technologiques adaptés, qui permettent d'automatiser certaines tâches et de renforcer la traçabilité du processus.

Des solutions comme Supervizor peuvent jouer un rôle crucial dans ce dispositif, en permettant d'analyser automatiquement les transactions avec les tiers et de détecter d'éventuelles anomalies. Grâce à ses plus de 350 contrôles automatisés, cette plateforme contribue à renforcer le pilier "contrôles comptables" du dispositif Sapin 2, en complément de l'évaluation préalable des tiers. Cette approche combinée – évaluation en amont et contrôle en aval – offre une protection optimale contre les risques de corruption liés aux tiers.

En définitive, l'évaluation des tiers ne doit pas être perçue comme une simple obligation de conformité, mais comme un véritable levier de performance et de maîtrise des risques, contribuant à des relations d'affaires plus transparentes et plus durables. Pour comprendre l’ensemble du dispositif et les autres obligations, lisez notre guide complet sur la loi Sapin 2.

FAQ

Faut-il évaluer absolument tous nos fournisseurs, même pour des achats de faible montant ?

Non, une approche fondée sur les risques est recommandée. Vous pouvez définir des seuils de matérialité (montant, durée de la relation...) en dessous desquels une évaluation simplifiée ou aucune évaluation formelle n'est requise. Toutefois, ces seuils doivent être définis sur la base de votre cartographie des risques et formalisés dans votre procédure.

Comment gérer l'évaluation des tiers dans les situations d'urgence commerciale ?

Il est recommandé de prévoir une procédure accélérée pour les situations d'urgence, avec des contrôles minimaux à réaliser immédiatement et une évaluation complète à finaliser dans un délai défini. Cette procédure doit inclure des validations spécifiques et une documentation renforcée justifiant l'urgence. L'important est qu'aucune relation ne soit totalement exemptée d'évaluation, même si celle-ci est réalisée a posteriori.

Que faire si un tiers refuse de nous fournir certaines informations demandées ?

La réticence d'un tiers à fournir des informations constitue en soi un signal d'alerte. Il convient d'abord d'expliquer l'objectif de la démarche et de proposer, si nécessaire, des accords de confidentialité. Si le refus persiste, vous devez évaluer la criticité des informations manquantes et, selon les cas, renforcer d'autres mesures de contrôle, obtenir des validations à un niveau hiérarchique supérieur, ou envisager de ne pas poursuivre la relation si le risque est jugé trop élevé.

Est-il nécessaire de réévaluer tous nos tiers existants après la mise en place du dispositif ?

Idéalement, oui, mais une approche progressive et priorisée est recommandée. Commencez par les tiers présentant les risques les plus élevés (intermédiaires, tiers dans des pays sensibles, montants importants...) et établissez un calendrier de déploiement réaliste pour couvrir progressivement l'ensemble du périmètre pertinent. L'AFA reconnaît qu'une mise en conformité totale peut prendre du temps, mais attend une démarche structurée et documentée.

Comment adapter notre dispositif d'évaluation aux petits fournisseurs ou partenaires qui n'ont pas les ressources pour répondre à des questionnaires complexes ?

Pour les petites structures, vous pouvez simplifier le processus en adaptant vos exigences documentaires, en proposant un accompagnement dans la complétion des questionnaires, ou en recueillant certaines informations via des sources publiques plutôt qu'en les demandant directement. L'important est de maintenir une évaluation proportionnée au risque, qui peut être basée sur d'autres facteurs que les réponses formelles au questionnaire (ancienneté de la relation, connaissance directe du partenaire, simplicité des transactions...).