Depuis l’entrée en vigueur de la loi Sapin 2, vous vous interrogez sur sa mise en œuvre opérationnelle, notamment l’évaluation des tiers, alors même que l’Agence Française Anticorruption (A.F.A) a commencé ses contrôles. Le constat est édifiant : aujourd’hui seulement un tiers des assujettis a totalement déployé les 8 piliers de cette loi.
Voici des réponses concrètes sur les étapes à suivre depuis la cartographie des risques jusqu’à l’édition du rapport de conformité, ainsi que les processus à mettre en place.
Les 20 principaux défis quotidiens des Compliance Officers
Voici les défis majeurs auxquels les responsables conformité déclarent faire face dans l’évaluation des tiers :
- L’Onboarding clients et fournisseurs prend trop de temps.
- Un onboarding trop long engendre des retards en termes de ventes et d’approvisionnement.
- Nos équipes conformité sont trop sollicitées par les lignes métiers.
- La conformité exige beaucoup de ressources internes, que nous préférons utiliser pour notre cœur de métier.
- Identifier les Bénéficiaires Effectifs est le plus grand défi dans le processus de KYC/KYS.
- Identifier les BE pour des tiers étrangers est un enjeu majeur.
- Il est difficile d’identifier les allégations, les listes de sanctions et les Personnes Politiquement Exposées.
- Nous ne pouvons pas suivre l’évolution des lois et des règlements.
- Nous perdons du temps dans le cadre de l’onboarding des clients et fournisseurs à faible risque.
- La recherche et compréhension des données KYC prennent beaucoup de temps.
- Nous ne voulons pas que notre réputation et que notre honorabilité soient ternies.
- Nous ne savons pas comment définir le niveau de risque.
- Nous ne savons pas quels critères / données prendre en compte.
- La collecte des informations nous prend du temps et est généralement incomplète.
- Comment être sûrs que nous ne passons pas à côté d’une information importante ?
- Nous souhaitons automatiser la hiérarchisation du risque sur nos tiers.
- Nous souhaitons sensibiliser les acteurs de l’entreprise aux sujets de conformité.
- Nous avons besoin d’optimiser des traitements et les prises de décisions.
- Nous devons fournir facilement un état des lieux des risques à la Direction.
- Nous rencontrons des difficultés à adresser un questionnaire et gérer les réponses des tiers.
Rappel des piliers de la loi Sapin 2
8 étapes pour une due diligence en confiance :
Focus sur le 4ème pilier Évaluation des tiers
Le matching de vos tiers va vous permettre d’être certain d’analyser la bonne entité. Vous évitez ainsi d’analyser des doublons via notre référencement unique. Vous isolez les tiers inactifs et/ou uniquement les sièges sociaux pour une plus grande précision.
L’enrichissement permet notamment la collecte des BE, des dirigeants, les données identitaires exhaustives, le risque pays et activité…
Le screening ou criblage s’établit sur 5 chapitres : pays, activité, PEP, sanctions et presse négative. Vous pouvez personnaliser le screening pour être plus proche de votre stratégie compliance.
La gestion des faux positifs est automatisée dans indueD grâce aux D-U-N-S Number.
Enfin, vous obtenez le score KYC, disponible dans votre portefeuille sur chaque fiche des entités évaluées, il est intégrable dans vos systèmes ou exportable.
Le monitoring vous permet de paramétrer des alertes.
Enfin, le rapport de conformité vous sera utile en cas de contrôle portant sur vos processus d’évaluation des tiers.
Évaluation de l’intégrité des tiers selon l’AFA
L’Agence Française Anti-corruption recommande certaines bonnes pratiques pour l’évaluation des tiers (fournisseurs et clients notamment).
Cette évaluation consiste à collecter les informations et documents sur un tiers afin d’identifier ou actualiser les risques de corruption. Elle doit être effectuée avant que la relation ne soit formellement engagée ou en cas d’événement impactant le niveau de risque du tiers. Une mise à jour périodique doit être effectuée.
Les objectifs de l’évaluation des tiers
- Permettre de décider d’entrer ou non en relation avec un tiers, de poursuivre une relation en cours ou d’y mettre fin.
- Adapter, pour chaque tiers, le niveau de vigilance.
- Optimiser l’efficacité des mesures de prévention et de détection de la corruption.
Pour faciliter cette évaluation et sa mise à jour, il est recommandé de recenser ses tiers et de les classer selon leur nature, leur statut, leur taille, dans une base de données informatisée. Tous les tiers ont vocation à être évalués, mais certains doivent l’être en priorité, sur le fondement de la cartographie des risques de corruption préalablement effectuée (3ème pilier Sapin 2).
Réaliser soi-même son évaluation des tiers ?
L’évaluation de l’intégrité des tiers est un travail qui demande beaucoup de ressources et d’expertise, que beaucoup d’entités ne possèdent pas. Celles-ci préfèrent se concentrer sur d’autres tâches. Mais elles ne doivent pas pour autant faire l’impasse sur la conformité, c’est pourquoi l’AFA recommande de solliciter des fournisseurs de solutions compliance, tels que les éditeurs de logiciels d’évaluation, et les fournisseurs d’enquêtes de notoriété (cabinets d’investigation, d’avocats, de consultants).
En amont, il est préconisé d’établir la liste des salariés (en clarifiant leurs rôles et responsabilités dans cette démarche sensible) qui auront nécessité d’effectuer une évaluation des tiers, pour définir le nombre d’accès nécessaire à l’outil. En interne, il est conseillé de diffuser une procédure et un formulaire d’évaluation des tiers.
Les prestataires savent s’adapter à leurs clients selon leurs besoins, c’est pourquoi il est important d’établir le niveau de détail demandé dans la recherche, et le périmètre (France ou international).
Altares aide des milliers d’entreprises à effectuer leur évaluation des tiers grâce à sa solution de compliance automatisée indueD.
Comment connaître le niveau de risque d’un tiers ?
La détermination du niveau de risque repose sur 2 étapes d’évaluation des tiers :
- la notation basée sur des critères objectifs et quantifiables (sanctions, secteur d’activité, date de création…),
- la prise en compte d’éléments quantitatifs nécessitant une analyse ou un jugement (facteurs aggravants, coopérations…).
Sur cette base, l’entreprise peut :
- approuver la relation avec ou sans réserve (clauses contractuelles spécifiques),
- reporter la prise de décision (par exemple pour évaluations complémentaires),
- mettre un terme à la relation ou ne pas l’engager.
L’identification de facteurs de risque n’interdit pas la relation, mais doit conduire l’organisation à prendre les mesures appropriées pour prévenir les risques éventuels.
Rappelez-vous que de l’honorabilité de vos tiers dépend la vôtre, vous pouvez être conformes en interne, si vos partenaires, qu’ils soient directs ou indirects (partenaires de partenaires) ne respectent pas les réglementations et les principes de compliance, cela se répercutera lourdement sur votre entreprise.
Pour en savoir + sur la réglementation conformité, vous pouvez télécharger notre livre blanc.