La place des données comptables dans la compliance
Code de déontologie, engagements contractuels, textes réglementaires, etc. font partie du quotidien
du Compliance Officer. Mais au-delà des Lettres, la lutte contre la corruption, la prévention des délits
économiques et financiers, le respect des exigences règlementaires vis-à-vis des tiers (exemple :
respect des délais de règlements) doivent aussi s’alimenter d’une analyse des Chiffres, et notamment
des données comptables et financières.
Les régulateurs ont bien compris que la majorité des pratiques litigieuses laissent des traces en
comptabilité. Ils exigent donc des entreprises des mesures de vigilance particulières en la matière
(recommandations de l’Agence Française Anticorruption en lien avec les volets 5 et 8 de Sapin 2,
FCPA’s accounting provisions, etc.).
La place particulière qu’occupent les données comptables s’explique simplement : c’est une matière
factuelle et assez uniforme, qui peut certes être manipulée, mais dont les manipulations restent
visibles. Convaincus de la richesse du matériel comptable, les organismes de contrôle externes –
DGFiP, DGCCRF, commissaires aux comptes en tête – intègrent d’ailleurs de façon très croissante
l’analyse de données dans leurs techniques de contrôle pour réaliser leurs missions d’investigations.
Être en conformité, c’est être en capacité de produire des informations comptables respectant les
exigences règlementaires (exemple : format du Fichier d’Ecritures Comptables), mais aussi et surtout
de s’assurer, grâce aux procédures propres à l’entreprise, de la licéité de ses opérations et de ses
pratiques.
Exemples de marqueurs de la corruption dans la
comptabilité
Dans la majorité des cas de corruption active, le corrupteur doit faire intervenir des opérations
comptables pour enregistrer la transaction et dissimuler la corruption.
Prenons un exemple : dans la CJIP conclue avec Airbus, on constate que la grande majorité des
schémas de corruption implique des intermédiaires en charge d’acheminer les fonds jusqu’au
bénéficiaire ultime, la collaboration avec ces intermédiaires faisant le plus souvent l’objet de contrat
d’engagement fictif.
L’imputation des avantages financiers indus en compte de charges de commissions et d’honoraires
est un schéma couramment utilisé. Un tel scénario peut être détecté de plusieurs façons en
comptabilité : par la nature du compte utilisé, par l’imprécision du libellé de la prestation, ou bien
encore par l’atypisme de l’utilisateur à l’origine de l’écriture comptable.
Autre exemple : pour camoufler une dépense illégitime, une méthode consiste à la noyer dans un
compte fortement mouvementé du type « achats de matières », « autres charges d’exploitation »,
« autres charges sociales ». L’analyse approfondie des données du référentiel fournisseurs et des
natures de dépenses associées à chaque tiers s’avère particulièrement précieuse. En détectant la
présence de tiers inhabituels dans un compte de charges précis ou l’existence de tiers impactant
différentes typologies de charges, ce type de dissimulation peut être décelé.
L’intérêt des analyses automatisées
L’objectif de l’analyse automatisée des données comptables est de repérer d’éventuels faits de
corruption en scrutant systématiquement ces signatures comptables, qui combinées entre elles
constituent des faisceaux d’alerte. De plus, ces signaux sont bien souvent révélateurs de failles de
contrôle interne, qui peuvent parfois être malheureusement exploitées.
En décortiquant les faits de corruption faisant l'objet de publications (notamment les cas détaillés
publiés par les autorités américaines, plus récemment par les autorités françaises via la publication
de CJIP), et en s’inspirant d’expériences terrain (audits des dispositifs anticorruption Sapin 2, audits
FCPA, missions d'investigations de fraude et de corruption, missions d'évaluation du contrôle interne
etc.) et des publications des organes de contrôle, il est possible de recenser ces signatures et
d’aboutir à un catalogue d’analyses automatisées pertinentes car inspirées de situations réelles.
C’est typiquement ce travail qui a été réalisé par les équipes de BM&A dans le développement du
module Sapin 2 / anticorruption de leur outil d’analyse de données GEO*, dédié à la mise en œuvre
des contrôles internes comptables de 2 ème et 3 ème niveau, que ce soit pour une entreprise isolée ou
pour un groupe international.
Comment exploiter les données comptables dans le cadre de Sapin
2
Différents types d’analyses devraient être embarquées dans un programme de travail en lien avec un
enjeu de conformité.
Il y a d’abord les analyses qui permettent de s’assurer de l’efficience des contrôles quotidiens mis en
œuvre par les opérationnels (en langage AFA, les contrôles de 1 er niveau). Ces analyses doivent
permettre d’identifier facilement des vulnérabilités (ou l'absence de vulnérabilités) de contrôle
interne (droits d'accès, séparation des tâches, règles en matière de facturation, qualité des
référentiels comptables, tenue comptable, etc.). Un exemple de contrôle de 1 er niveau standard est
que toute création / modification de droits d’accès au système comptable doit être dûment
approuvée. Grâce à l’analyse des données comptables, le contrôleur de 2 ème niveau pourra ensuite
identifier les failles potentielles dans le processus de gestion des droits d’accès en détectant les
utilisateurs n’appartenant pas à la fonction comptable. L’objectif d’un système expert est de couvrir
l’ensemble des contrôles de 1 er niveau à partir d’analyses simples et basées sur des faits.
Il y a ensuite les analyses qui permettent d’identifier les transactions particulièrement à risques sur
une thématique particulière. Sur l’anticorruption, le FCPA ressource guide et les recommandations de
l’AFA rappellent les natures de comptes fréquemment utilisées pour dissimuler des faits de
corruption. Ces listes sont des bons points de départ. Toutefois, les natures d’opérations sensibles à
analyser doivent être adaptées en fonction du secteur d’activité considéré. Ainsi, une entreprise du
secteur pharmaceutique scrutera en outre les opérations enregistrées en « études scientifiques », les
comptes comptables « échantillons », « gratuits », etc. En complément de ces natures de comptes, il
convient d’étudier les autres signatures évoquées plus haut (exemple de contrôle GEO* :
« description avec un nombre limité de caractères »).
D’un point de vue méthodologique, on peut classer ces analyses en deux catégories :
● les méthodes d’analyses « classiques » s’appuyant sur l’observation du respect des règles et
bonnes pratiques comptables (exemple de contrôle GEO* : « écritures de charges non
financières à banque » permettant d’identifier des achats dont le tiers ne serait pas identifié
en comptabilité),
● Les méthodes d’analyses « comportementales » permettant d’identifier des événements
inhabituels au vu des modes de fonctionnement normalement constatés au sein de
l’entreprise (exemple déjà évoqué plus haut : détection d’un fournisseur de matière
première inhabituellement associé à un compte de dépenses marketing).
Le rôle du Compliance Officer
S’assurer de la conformité des opérations grâce à la qualité des contrôles en place fait partie des
nombreuses missions du Compliance Officer en tant que garant du respect des règles et de l’éthique.
Pour cela, le Compliance Officer, sans être le responsable de l’efficacité des contrôles comptables,
doit d’une part pouvoir appréhender la présence en comptabilité de traces ou de faits de corruption,
d’autre part comprendre les implications des éventuelles vulnérabilités en termes de contrôle
interne, et enfin interpréter les réponses et justifications apportées par la Fonction Finance ou le
Business. Comme pour le reste, il doit être en mesure d’aiguiller, de conseiller, de contrôler,
d’informer et de motiver les acteurs de l’entreprise sur ces sujets.
Le Compliance Officer doit rendre compte à l’instance dirigeante, et cela, de la façon la plus objective
et indépendante possible. Le caractère factuel des informations comptables est une aide précieuse …
à condition qu’il puisse et sache exploiter efficacement cette masse d’informations.
C’est tout l’intérêt d’un outil d’analyse de données comptables, capable d’offrir un sixième sens
comptable au Compliance Officer et aux contrôleurs internes de deuxième niveau.
L’outillage comme vecteur de la correcte application d’un
programme commun
Un autre défi auquel doit faire face le Compliance Officier est de réussir à faire appliquer le
programme de conformité à l’ensemble des entités et à l’ensemble des métiers du Groupe. L’AFA
s’attend en effet à ce que des procédures de contrôles comptables soient en place partout (en
privilégiant l’approche par les risques). Être force de proposition et accompagner l’outillage de la
mise en œuvre des contrôles de 2 ème et de 3 ème niveau est le meilleur moyen de garantir un niveau
d’application homogène des exigences en termes de contrôles d’une filiale à l’autre.
Pour rendre l’exercice pertinent, l’outil d’analyse retenu doit être capable i. d’interpréter tout plan
de compte local et tout système comptable, ii. de prendre en compte les spécificités locales en
termes d’organisation, iii. d’être suffisamment ergonomique pour être accepté par les utilisateurs
finaux, iv. d’apporter une plus-value directe aux différents métiers qui pourront avoir à l’utiliser (il ne
faut pas qu’il soit perçu comme une contrainte supplémentaire, mais bien plus comme un élément
directement utile).
Par ailleurs, la mise en place d’un programme de travail uniforme, adossé à des analyses
systématiques, facilite la structuration d’un tableau de bord unique, favorisant ainsi une remontée
structurée et rapide des résultats au Compliance Officer, et permet ainsi au Compliance Officer de
proposer plus facilement des indicateurs pertinents et lisibles à l’instance dirigeante.
Si ce travail de détection est réalisable pour la lutte anti-corruption, il l’est aussi naturellement pour
les autres métiers qui utilisent les données comptables (directions comptables et fiscales
évidemment, mais aussi M&A, contrôle interne et audit interne par exemple). Il y a donc possibilité
de mutualiser cet effort de contrôle entre différents acteurs de l’entreprise.
Le « data-analytic » remis en perspective par la crise
sanitaire et économique
La crise sanitaire que nous vivons actuellement a bien entendu eu d’importantes répercussions sur
les métiers de la compliance, du contrôle et de l’audit interne. Et elle continuera d’en avoir. Face à
l’impossibilité d’intervenir physiquement sur site, il est en effet devenu indispensable de pouvoir
disposer de moyens d’analyse distants. La mise en œuvre de KPI automatisés est une réponse
efficace aux contraintes actuelles et futures. Le retour sur investissement de ces indicateurs peut
être rapide, en termes de coûts de fonctionnement comme de qualité de la détection.
La crise économique profonde et durable qui s’annonce renforcera par ailleurs la pression sur de
nombreuses entreprises mais aussi sur de nombreux citoyens. Mécaniquement, la possibilité de la
corruption ne s’en trouvera qu’accrue, malheureusement. En parallèle – ou en complément – des
dispositifs de détection abordés plus haut, l’analyse automatisée des flux et pratiques
comptables apportera un autre bénéfice : l’effet dissuasif. La fraude et la corruption s’appuient en
effet sur trois leviers principaux : l’intérêt financier, la faisabilité technique et le sentiment
d’impunité. La mise en place de mécanismes de détection automatisés, sans réduire le risque à zéro,
aura pour immense avantage de ne pas laisser s’installer chez les éventuels candidats à la fraude le
sentiment que « cela vaut le coût d’essayer ».
*- GEO (Global Compliance Observer) est une solution globale d’analyse et d’investigation comptable
développée et distribuée par BM&A. Utilisable dans tous pays et sur tous les plans comptables, elle
dispose d’un module dédié à la réponse aux exigences de Sapin II sur son pilier 5. GEO a été finaliste
du concours Smart Compliance Award 2019 organisé par le Cercle de la Compliance et a obtenu en
2020 le label d’excellence « Projet Innovant » par le Pôle de compétitivité mondial « Finance
Innovation ».
Jean-Marc ALLOUËT est le responsable du pôle Digital de BM&A. Fort de ses 25 années d’expérience
centrées sur l’exploitation et la maîtrise de la donnée, il est à l’origine de la conception de la solution
d’analyse des pratiques et flux comptables GEO et de son module spécifique Sapin 2 / FCPA.
Romain MAILLARD conduit des missions d’investigation, de lutte contre la fraude et la corruption
depuis plus de 10 ans. Dans le cadre de Sapin 2, il accompagne ses clients dans la réalisation de leur
cartographie des risques et dans la structuration et/ou l’outillage des contrôles internes comptables.