Back to blog

7 angles morts à éviter pour construire un programme anticorruption fondé sur les risques

Risk Management & Internal Controls
Iratxe Gurpegui
Written by
Iratxe Gurpegui
13 min read

La plupart des cartographies des risques de corruption échouent de manière prévisible : elles semblent complètes, mais elles n'expliquent pas comment la corruption pourrait réellement se produire dans vos processus, et elles ne produisent pas la preuve que vos contrôles fonctionnent effectivement.

Si vous travaillez dans le cadre des exigences de la loi Sapin II en France (et souvent de l'approche d'audit de l'AFA), ou si vous vous alignez sur la norme ISO 37001, votre cartographie des risques n'est pas un simple support de présentation. Elle constitue l'ossature qui doit orienter des contrôles proportionnés, des formations ciblées, le niveau de profondeur de la due diligence des tiers, les priorités de surveillance et le reporting au conseil d'administration.

Ce guide se concentre sur 7 angles morts, liés à l'approche par les risques, qui affaiblissent discrètement les cartographies des risques de corruption, ainsi que sur des correctifs rapides que vous pouvez mettre en œuvre sans tout recommencer.

Ce qu'une cartographie des risques de corruption doit faire (et ce que les évaluateurs vérifient)

Une cartographie des risques de corruption doit répondre, de manière défendable, aux questions suivantes :

  1. où la corruption pourrait survenir (entités, pays, processus métier)
  2. comment elle pourrait survenir (scénarios, déclencheurs, acteurs, tiers)
  3. pourquoi elle pourrait survenir (incitations, pouvoir discrétionnaire, contrôle insuffisant, pression du marché)
  4. ce que vous faites pour y remédier (contrôles, responsables, preuves, risque résiduel, plan d'action)

Au titre de la loi Sapin II (article 17), la cartographie des risques est l'une des composantes obligatoires pour les entreprises concernées, et elle est évaluée dans le cadre d'un programme anticorruption global.

Pour les attentes de mise en œuvre en France, les recommandations de l'AFA constituent une référence pratique de ce à quoi ressemble une cartographie « exploitable » lors des contrôles, notamment en matière de méthodologie, de justification et de traçabilité. Commencez par la page de ressources de l'AFA : Agence française anticorruption.

Du côté des normes, l'ISO 37001 impose aux organisations d'identifier et d'évaluer les risques de corruption et de maintenir un système de management anticorruption fondé sur les risques. Voir la présentation de la norme : ISO 37001. (L'ISO 37301 est un système de management de la conformité plus large, utile comme structure de soutien.)

Le point opérationnel essentiel : vous ne pouvez pas construire une cartographie crédible des risques de corruption à partir des seuls documents. L'exposition la plus élevée se situe généralement au cœur des processus quotidiens (appels d'offres, pression lors des négociations commerciales, intermédiaires, dédouanement, permis, cadeaux et invitations). Si vous ne cartographiez pas ces processus, vous passerez à côté des points de pression.

Une structure en 10 étapes utilisable comme piste d'audit

Même si votre objectif immédiat est de « corriger rapidement », il est utile d'ancrer votre plan de travail sur une ossature simple et alignée sur les normes.

Étape

Résultat que vous devez pouvoir présenter lors d'un audit

1

Énoncé du périmètre (entités, zones géographiques, activités, objectifs)

2

Gouvernance et plan de travail (sponsor, équipe, calendrier, règles de confidentialité)

3

Données d'entrée documentées (sources internes, contexte externe)

4

Notes d'entretien / d'atelier rattachées à des processus réels

5

Bibliothèque de scénarios (« comment la corruption pourrait survenir »)

6

Méthode de cotation du risque inhérent (définitions de la probabilité et de l'impact)

7

Cartographie des contrôles et logique de risque résiduel (fondée sur les contrôles opérationnels)

8

Plan d'atténuation priorisé avec responsables, échéances, preuves

9

Enregistrement de la validation et de l'approbation (justification des cotations)

10

Déclencheurs de revue et signaux de surveillance (actualisation annuelle minimale)

Si votre cartographie actuelle ne permet pas de produire ces éléments, vos angles morts sont généralement les suivants.

Angle mort 1 : le périmètre est flou (la cartographie devient donc non comparable)

À quoi cela ressemble

  1. « L'Europe » est dans le périmètre, mais personne ne peut lister quelles entités juridiques et quelles lignes de métier sont concernées.
  2. Les coentreprises (JV), les agents et les entités récemment acquises sont « à examiner plus tard ».
  3. La cartographie mélange les risques de corruption avec tous les autres sujets de conformité sans énoncer l'objectif.

Pourquoi c'est important pour construire un programme anticorruption fondé sur les risques

Une approche par les risques commence par des limites claires. Si le périmètre est flou, la cartographie ne peut pas soutenir l'allocation des ressources, et les comparaisons entre pays deviennent arbitraires.

Correctif rapide

Créez un bloc de périmètre d'une page et joignez-le à la cartographie des risques (ainsi qu'à l'invitation à l'atelier) :

  1. Entités dans le périmètre (liste des entités juridiques ou règle d'inclusion claire)
  2. Zones géographiques dans le périmètre (et ce que signifie « opérer dans »)
  3. Activités dans le périmètre (ventes, achats, logistique / douane, licences / autorisations, appels d'offres publics, fusions-acquisitions, parrainages / dons)
  4. Objectif (préparation à l'AFA, certification ISO 37001, intégration après une fusion-acquisition, gouvernance interne)
  5. Exclusions explicites (et le moment où vous les traiterez)

Cette simple page permet souvent d'éviter des semaines d'allers-retours par la suite.

Angle mort 2 : la cartographie est construite à partir de documents, et non des processus

À quoi cela ressemble

  1. Une belle carte de chaleur, mais fondée sur des documents de politique interne, et non sur la manière dont les affaires sont réellement conclues.
  2. « Les tiers » constituent une catégorie de risque, mais il n'existe aucun lien avec qui les utilise, quand et pourquoi.
  3. La cartographie ne peut pas expliquer où apparaît la pression à la corruption (objectifs, dérogations, urgence, pouvoir discrétionnaire).

Pourquoi c'est important pour construire un programme anticorruption fondé sur les risques

Le risque de corruption est situationnel. Il se concentre là où vous avez une combinaison de pression + pouvoir discrétionnaire + contrôle insuffisant, souvent amplifiée par les intermédiaires et les points de contact avec des agents publics.

Correctif rapide : menez un sprint d'entretiens ciblés (2 semaines)

N'essayez pas d'interroger tout le monde. Concentrez-vous sur les fonctions situées aux points de pression de la corruption.

Ensemble minimal d'entretiens :

  1. Responsables commerciaux et gestionnaires de comptes clés (en particulier ceux en contact avec le secteur public)
  2. Responsables achats / responsables de catégories
  3. Finance (comptabilité fournisseurs, contrôleurs, trésorerie)
  4. Opérations / logistique (douane, import-export)
  5. Responsables des licences / autorisations et relations institutionnelles (le cas échéant)
  6. RH (incitations, procédure disciplinaire)
  7. Directeurs pays dans les zones géographiques à plus haut risque

Utilisez un script d'entretien cohérent afin de pouvoir documenter votre méthode. Exemples de questions (cartographie des risques de corruption) :

  • Décrivez-moi une affaire / un appel d'offres récent, du premier contact jusqu'au paiement.
  • Où interagissons-nous avec des agents publics (directement ou indirectement) ?
  • Où recourons-nous à des tiers pour « ouvrir des portes » ? Lesquels ?
  • Où les objectifs sont-ils serrés et le pouvoir discrétionnaire élevé ?
  • Quelles dérogations se produisent en pratique (urgence, documents manquants, lettres annexes) ?
  • Quelle est la justification la plus fréquente que vous entendez pour les comportements en zone grise ?
  • Que changeriez-vous dès demain pour rendre le processus plus sûr sans le ralentir ?

Le résultat recherché n'est pas une collection d'opinions. C'est une liste de processus assortie de points de décision.

Angle mort 3 : les risques sont décrits comme des étiquettes, et non comme des scénarios

À quoi cela ressemble

  1. « Risque de corruption » apparaît comme une ligne générique.
  2. Un risque élevé est attribué parce qu'un pays est « à haut risque », sans lien avec des transactions concrètes.

Pourquoi c'est important pour construire un programme anticorruption fondé sur les risques

Les contrôles et les tests sont propres à chaque scénario. « Risque de corruption » ne vous dit pas si votre point faible se situe au niveau des agents, des remises, de la douane, des dons ou des recrutements.

Correctif rapide : construisez une bibliothèque de scénarios (commencez par 12 à 20)

Utilisez une formulation orientée scénario : « comment la corruption pourrait survenir ».

Exemples :

  1. Recours à un agent commercial pour influencer l'attribution d'un marché public
  2. Paiement de facilitation demandé à la douane pour libérer des marchandises
  3. Rétrocommissions dissimulées par des factures surévaluées et des paiements fractionnés
  4. Invitations inappropriées offertes lors du renouvellement d'une autorisation
  5. Don caritatif demandé par un agent public en lien avec un appel d'offres
  6. Recrutement d'un proche d'un agent public pour obtenir un avantage commercial

Modèle de fiche de scénario (à garder court pour que les métiers le maintiennent) :

  1. Nom du scénario (verbe + mécanisme + résultat)
  2. Où cela se produit (processus, entité, pays)
  3. Qui est impliqué (fonctions, tiers)
  4. Déclencheurs (appel d'offres, inspection, renouvellement, litige, pression de trésorerie)
  5. Signaux d'alerte typiques (exemples)
  6. Contrôles associés (par identifiant de contrôle)
  7. Cote de risque inhérent et justification
  8. Cote de risque résiduel et justification

Si vous disposez déjà d'un registre des risques, vous pouvez convertir vos 10 principaux risques en fiches de scénario en un seul atelier.

Angle mort 4 : la cotation est incohérente (et ne peut pas être expliquée)

À quoi cela ressemble

  1. La probabilité et l'impact sont notés de 1 à 5, mais personne ne peut définir ce que signifie un « 4 ».
  2. Le « 3 » du pays A est le « 5 » du pays B, parce que la cotation repose sur le ressenti et non sur des critères.

Pourquoi c'est important pour construire un programme anticorruption fondé sur les risques

Si vous ne pouvez pas expliquer la logique de cotation, les évaluateurs supposeront qu'elle est subjective, et votre priorisation ne sera pas crédible.

Correctif rapide : définissez les facteurs de cotation, puis calibrez une seule fois

Commencez simplement et de manière spécifique à la corruption. Facteurs de probabilité (exemples que vous pouvez explicitement coter) :

  1. Interaction avec des agents publics (fréquence et criticité)
  2. Dépendance à l'égard de tiers (agents, consultants, commissionnaires en douane)
  3. Pouvoir discrétionnaire sur les prix / remises / commissions et supervision insuffisante
  4. Pression des objectifs et des dispositifs d'intéressement
  5. Intensité des paiements en espèces ou chaînes de paiement complexes
  6. Dépendance aux permis, inspections ou dédouanements

L'impact doit inclure davantage que les amendes :

  1. Exposition pénale et exclusion possible des marchés publics
  2. Perturbation opérationnelle (expéditions bloquées, perte de licence)
  3. Perte de contrats, restitutions (clawbacks), impact sur le financement
  4. Atteinte à la réputation auprès des clients et partenaires

Angle mort 5 : le risque résiduel est « comme par magie » faible parce que des contrôles existent sur le papier

À quoi cela ressemble

  1. Des contrôles sont listés (« formation », « due diligence », « approbations »), de sorte que le risque résiduel baisse.
  2. Il n'existe aucune preuve que les contrôles fonctionnent, ni que les dérogations sont suivies.

Pourquoi c'est important pour construire un programme anticorruption fondé sur les risques

Les régulateurs comme les auditeurs s'intéressent de plus en plus à l'efficacité, et pas seulement à la conception. Si vous ne pouvez pas prouver un contrôle, considérez-le comme faible.

Correctif rapide : introduisez une vérification de réalité des contrôles à 3 niveaux

Utilisez une notation légère pour éviter les débats sans fin.

Statut du contrôle

Ce que cela signifie

Preuves que vous devriez avoir

Conçu

documenté, attribué sur le papier

politique / procédure, RACI, description du contrôle

Mis en œuvre

les personnes peuvent l'exécuter

flux de travail dans le système, couverture de formation, traçabilité des approbations

Opérationnel

il fonctionne de manière constante et détecte les problèmes

échantillons / tests, journal des dérogations, enregistrements de remédiation

Choisissez vos 5 principaux scénarios à haut risque et testez un contrôle par scénario sur un petit échantillon (par exemple, 10 approbations, 10 dossiers de tiers, 10 notes de frais). Consignez ce que vous avez constaté et ce que vous avez corrigé. C'est souvent le moyen le plus rapide de rendre votre cartographie défendable.

Pour approfondir la manière de rendre les programmes testables, consultez le guide associé de Naltilia : construire un programme de conformité auquel les auditeurs font confiance.

Angle mort 6 : l'exposition aux tiers est traitée comme une catégorie, et non comme un modèle économique

À quoi cela ressemble

  1. Le « risque tiers » existe, mais il n'y a aucune segmentation.
  2. Les agents et les commissionnaires en douane sont traités comme des fournisseurs à faible risque.
  3. L'actualisation de la due diligence est calée sur le calendrier (annuelle), et non déclenchée par le risque.

Pourquoi c'est important pour construire un programme anticorruption fondé sur les risques

Les tiers constituent l'un des canaux les plus fréquents de corruption car ils peuvent servir à créer de la distance, un déni plausible et des flux de paiement opaques.

Correctif rapide : reliez les tiers aux scénarios et créez des déclencheurs d'actualisation

Faites trois choses concrètes :

  1. Reliez les types de tiers aux fiches de scénario (agents, distributeurs, apporteurs d'affaires, commissionnaires en douane, lobbyistes)
  2. Hiérarchisez-les selon les facteurs d'exposition à la corruption (points de contact avec des agents publics, honoraires de succès, commissions élevées, activité sur des marchés à haut risque)
  3. Définissez des déclencheurs d'actualisation (pas uniquement le temps)

Un ensemble de déclencheurs simple et efficace en pratique :

  1. Entrée sur un nouveau pays ou lancement d'une nouvelle stratégie d'appels d'offres publics
  2. Forte hausse des dépenses, du taux de commission ou des demandes urgentes
  3. Médias défavorables ou signalement crédible d'un lanceur d'alerte
  4. Changement de bénéficiaire effectif ou de gestionnaire de relation clé
  5. Anomalies de facturation répétées (montants ronds, factures fractionnées, descriptions vagues)

Si vous avez besoin d'un modèle opérationnel rapide, vous pouvez réutiliser la logique de processus présentée dans cet article : due diligence des tiers en matière d'anticorruption après une mauvaise surprise fournisseur.

Angle mort 7 : la cartographie ne se traduit pas en actions assumées et en surveillance

À quoi cela ressemble

  1. La cartographie des risques est mise à jour annuellement puis classée.
  2. Les actions d'atténuation sont des « tâches de la conformité », sans responsable opérationnel.
  3. Le reporting porte sur l'activité (nombre de formations), et non sur l'efficacité.

Pourquoi c'est important pour construire un programme anticorruption fondé sur les risques

Une cartographie des risques ne vaut que par la boucle opérationnelle qu'elle crée : actions, échéances, preuves et signaux de surveillance.

Correctif rapide : transformez vos principaux risques en un plan d'action assumé par les métiers en un seul atelier

Pour chaque scénario prioritaire, définissez :

  1. Action d'atténuation (spécifique et rattachée au processus)
  2. Responsable (première ligne métier, avec l'appui de la conformité)
  3. Date d'échéance
  4. Preuve (quel document, enregistrement système ou test atteste de l'achèvement)
  5. KPI / KRI (ce que vous suivrez trimestriellement)

Exemples de KPI / KRI plus défendables que « formation réalisée » :

  1. pourcentage de tiers à haut risque intégrés avec une due diligence renforcée achevée avant le premier paiement
  2. pourcentage de demandes de cadeaux et d'invitations approuvées avant l'événement (et non après)
  3. nombre de dérogations d'appel d'offres approuvées en dehors du flux standard
  4. délai de clôture des enquêtes et de mise en œuvre des actions de remédiation

Si vous souhaitez des indicateurs prêts pour le conseil d'administration, cette référence peut vous aider : 10 indicateurs de risque pour un tableau de bord de conformité qui intéressent réellement votre conseil.

Arbre de décision rapide : avez-vous besoin d'une refonte complète ou d'un correctif ciblé ?

Utilisez ce tableau pour décider jusqu'à quel point vous pouvez raisonnablement aller « vite ».

Si ceci est vrai

Faites ceci maintenant

Et planifiez ceci ensuite

Votre périmètre a changé (nouveau pays, nouvelle entité, fusion-acquisition majeure)

actualisez le périmètre et relancez l'identification des scénarios pour les processus concernés

intégrez-le au cycle annuel avec un plan de conformité post-fusion

Vous ne pouvez pas prouver le fonctionnement des contrôles pour les principaux risques

menez des tests de contrôle ciblés sur les 5 principaux scénarios et ajustez le risque résiduel

mettez en place un rythme trimestriel de surveillance des contrôles

Les tiers génèrent du chiffre d'affaires, ou les permis / la douane sont critiques

reconstruisez la hiérarchisation et les déclencheurs des tiers, reliez-les aux scénarios

automatisez l'actualisation et les signaux de surveillance

La cartographie est crédible mais obsolète

menez 3 entretiens par processus à haut risque et mettez à jour les hypothèses

définissez des signaux continus et un atelier annuel de validation

À quoi ressemblent des preuves « prêtes pour l'audit » d'une cartographie des risques de corruption

Si un auditeur (interne, externe, évaluateur de type AFA ou certificateur ISO) demande « comment savez-vous que cela est fiable ? », vous devriez pouvoir produire un dossier de preuves comprenant :

  1. Énoncé du périmètre et note méthodologique (y compris les définitions de cotation)
  2. Liste des sources de données (internes et externes)
  3. Liste des entretiens et notes montrant la cartographie des processus
  4. Bibliothèque de scénarios et justification des scénarios les mieux cotés
  5. Cartographie des contrôles et logique de risque résiduel reliée à des preuves opérationnelles
  6. Résultats de tests de contrôle ou extraits de surveillance (même sur de petits échantillons)
  7. Plan d'atténuation validé avec responsables et échéances
  8. Enregistrement des approbations (direction et, le cas échéant, conseil d'administration)
  9. Calendrier de revue et déclencheurs d'actualisation

Comment Naltilia peut vous aider

Si votre principal goulet d'étranglement est l'opérationnalisation (collecte des données, rattachement des contrôles, bibliothèques de preuves, surveillance et reporting), Naltilia peut soutenir une cartographie des risques de corruption fondée sur les risques et constamment à jour. Les cas d'usage typiques incluent l'automatisation de la collecte d'informations auprès des parties prenantes, le maintien des liens scénario-contrôle, le suivi des actions de remédiation avec responsables et échéances, et la centralisation de preuves prêtes pour l'audit afin de ne pas reconstituer les justificatifs chaque trimestre. La plateforme peut aussi aider à standardiser la cotation entre les pays tout en préservant le contexte local et la responsabilité.

Contactez-nous pour échanger sur vos enjeux de cartographie des risques.

Cet article constitue une information générale et non un conseil juridique.

Frequently Asked Questions

À quelle fréquence faut-il mettre à jour une cartographie des risques de corruption au titre de la loi Sapin II ou de l'ISO 37001 ?

En général au moins une fois par an, et également lorsque des changements importants surviennent (nouveaux marchés, fusions-acquisitions, nouvelle stratégie d'appels d'offres, incidents majeurs). Une approche par les risques utilise aussi des déclencheurs d'événements pour une mise à jour anticipée.

Pouvons-nous nous appuyer sur un indice national de corruption pour coter le risque de corruption ?

Utilisez-le comme contexte externe, et non comme la cartographie elle-même. Vous avez toujours besoin d'une exposition fondée sur les processus et les scénarios (appels d'offres, intermédiaires, permis, schémas de paiement) pour rendre la cotation défendable.

Comment éviter des débats sans fin sur la cotation entre les pays ?

Définissez par écrit les niveaux de probabilité et d'impact, cotez ensemble quelques scénarios lors d'une session de calibrage, et documentez les hypothèses. La cohérence vient de la méthode et de la justification, et non du fait de forcer

Back to blog

About the Author

Iratxe Gurpegui

Iratxe Gurpegui

I've spent 20 years as a compliance and competition lawyer across Europe and Latin America, and throughout my career, I've seen firsthand how complex and costly regulations can hold companies back. But I've also learned that compliance doesn't have to be a burden, it can be a strategic advantage. My mission is to help companies harness the power of AI, transforming compliance into something faster, simpler, and most importantly, a real driver of growth for businesses.

View LinkedIn profile