Cartographie des risques Sapin 2 : guide pratique et modèle Excel 

Comme tout dispositif de conformité, une cartographie des risques de corruption n’a de valeur, aux yeux des autorités, que si elle est opérationnelle.

Elle ne peut se résumer à un document décrivant des catégories de risques. Elle doit permettre d’identifier les situations concrètes dans lesquelles un acte de corruption pourrait survenir et d’orienter les mesures de prévention mises en place dans l’entreprise.

C’est précisément la logique de l’article 17 de la loi Sapin 2. Les entreprises concernées doivent mettre en place un dispositif anticorruption structuré, dont la cartographie constitue l’un des piliers centraux. Les recommandations de l’Agence française anticorruption (AFA) précisent que cette cartographie doit être documentée, méthodologiquement construite et proportionnée aux activités de l’organisation.

Avant d’aborder la méthodologie permettant de construire une cartographie réellement exploitable, rappelons sa définition et son cadre réglementaire.

Cartographie des risques Sapin 2 : définition et cadre réglementaire

La cartographie des risques de corruption constitue l’un des éléments centraux du dispositif anticorruption prévu par la loi Sapin 2. Elle permet d’identifier les situations dans lesquelles une entreprise peut être exposée à des faits d’atteinte à la probité et d’organiser les mesures de prévention et de contrôle.

Les recommandations de l’Agence française anticorruption (AFA) précisent que cette cartographie doit être structurée, documentée et adaptée aux activités de l’organisation. Elle ne consiste pas à dresser une liste abstraite de risques, mais à analyser concrètement les processus de l’entreprise et ses interactions avec les tiers afin d’identifier les situations dans lesquelles un acte de corruption pourrait survenir.

Cette démarche répond à une question fréquente des responsables conformité : comment faire une cartographie des risques de corruption conforme aux recommandations de l’AFA.

Qu’est-ce que la cartographie des risques de corruption

La cartographie des risques de corruption est un exercice structuré qui consiste à identifier, analyser et hiérarchiser les risques d’atteinte à la probité auxquels une entreprise est exposée.

Selon les recommandations de l’AFA, cette analyse doit tenir compte notamment :

• des activités exercées par l’entreprise ;
• de son organisation interne ;
• des zones géographiques dans lesquelles elle opère ;
• de ses relations avec des tiers (clients, fournisseurs, intermédiaires, partenaires).

L’objectif n’est pas seulement d’identifier des risques potentiels, mais de comprendre dans quelles situations concrètes ils peuvent se matérialiser. C’est ce qui permet ensuite de définir des mesures de prévention adaptées et de prioriser les actions de conformité.

La cartographie couvre un périmètre plus large que la seule corruption au sens courant. Elle concerne l’ensemble des infractions d’atteinte à la probité, notamment la corruption active et passive, le trafic d’influence, la concussion, la prise illégale d’intérêts et le favoritisme.

Les 8 piliers de l’article 17

La loi Sapin 2 impose aux entreprises concernées de mettre en place un dispositif anticorruption structuré autour de huit mesures prévues par l’article 17.

1. Un code de conduite, définissant et illustrant les comportements à proscrire.
2. Un dispositif d’alerte interne, permettant de signaler les situations contraires au code de conduite.
3. Une cartographie des risques de corruption, destinée à identifier et hiérarchiser les risques.
4. Une procédure d’évaluation des tiers, adaptée au niveau de risque identifié.
5. Des procédures de contrôles comptables, pour prévenir la dissimulation d’actes de corruption.
6. Un dispositif de formation, destiné aux cadres et personnels exposés.
7. Un régime disciplinaire, permettant de sanctionner les violations du code de conduite.
8. Un dispositif de contrôle et d’évaluation interne, visant à vérifier l’efficacité du dispositif anticorruption.

La cartographie occupe une place centrale dans cet ensemble : elle permet d’identifier les situations à risque et d’orienter la mise en œuvre des autres mesures, notamment l’évaluation des tiers et les contrôles internes.

Qui est concerné ?

L’article 17 de la loi Sapin 2 s’applique aux entreprises qui dépassent deux seuils cumulés :

• plus de 500 salariés,
• et un chiffre d’affaires supérieur à 100 millions d’euros.

Ces obligations concernent les sociétés ayant leur siège social en France, mais aussi leurs filiales, dès lors que le groupe dépasse ces seuils.

Le dispositif s’applique également à certains établissements publics à caractère industriel et commercial (EPIC), ainsi qu’aux associations et fondations reconnues d’utilité publique lorsque leur taille dépasse ces critères.

Même lorsqu’elles ne sont pas juridiquement assujetties à l’article 17, de nombreuses entreprises choisissent de s’inspirer de cette démarche. Une cartographie des risques de corruption constitue en effet un signal de gouvernance et de maîtrise des risques pour les partenaires commerciaux, les banques et les donneurs d’ordre.

Elle s’inscrit plus largement dans les dispositifs de cartographie des risques compliance déployés par de nombreuses entreprises.

Les processus métier exposés au risque de corruption

La cartographie des risques de corruption ne se construit pas à partir d’une liste abstraite de risques. Les recommandations de l’Agence française anticorruption (AFA) insistent au contraire sur une approche par processus métier.

L’objectif est d’identifier les situations dans lesquelles les collaborateurs de l’entreprise interagissent avec des tiers, prennent des décisions économiques ou disposent d’un pouvoir d’influence susceptible d’être détourné.

Certains processus sont particulièrement exposés. C’est notamment le cas des fonctions achats, commerciales, financières ou encore des opérations de croissance externe, où les décisions peuvent impliquer des montants importants, des intermédiaires ou des interactions avec des agents publics.

La cartographie consiste donc à analyser ces processus et à identifier, pour chacun d’eux, les scénarios de corruption plausibles.

L’objectif n’est pas de produire une simple liste des risques de corruption, mais de comprendre dans quelles situations concrètes ces risques peuvent apparaître.

Vous retrouverez ci-dessous une liste des processus qu’on retrouve le plus couramment dans tout type d’entreprises.

Achats et approvisionnements

Les fonctions achats figurent parmi les processus les plus exposés aux risques de corruption. Elles impliquent des décisions d’attribution de marchés, la sélection de fournisseurs et la négociation de conditions contractuelles, souvent pour des montants significatifs.

Plusieurs scénarios de corruption peuvent apparaître dans ce contexte. Un fournisseur peut, par exemple, verser un avantage indu à un acheteur afin d’obtenir l’attribution d’un marché ou de conserver un contrat. Des situations de conflit d’intérêts peuvent également survenir lorsque la personne en charge des achats entretient des liens personnels ou économiques avec un fournisseur.

La corruption peut aussi prendre des formes plus indirectes, comme des surfacturations organisées ou des prestations fictives destinées à dissimuler le versement d’avantages indus.

Certains facteurs peuvent augmenter le niveau de risque, notamment lorsque le marché des fournisseurs est très concentré, lorsqu’un fournisseur est en situation quasi exclusive ou lorsque les opérations se déroulent dans des zones géographiques exposées à un niveau élevé de corruption.

Commercial et développement

Les fonctions commerciales sont également exposées à des risques de corruption, en particulier lorsque l’entreprise recourt à des intermédiaires commerciaux, à des agents locaux ou à des partenaires chargés de faciliter l’accès à certains marchés.

Dans ces situations, le risque ne provient pas seulement des collaborateurs de l’entreprise, mais aussi des tiers qui agissent pour son compte. Des commissions commerciales anormalement élevées, des contrats d’intermédiation mal documentés ou l’intervention d’agents sans véritable activité économique peuvent constituer des signaux d’alerte.

Les pratiques de cadeaux, d’invitations ou d’avantages accordés à des clients ou à des décideurs peuvent également poser des difficultés lorsqu’elles dépassent le cadre des usages professionnels ou lorsqu’elles visent à influencer une décision commerciale.

Dans certains secteurs ou dans certaines zones géographiques, ces pratiques peuvent être utilisées pour obtenir l’attribution d’un contrat, accélérer une décision administrative ou faciliter l’accès à un marché.

Ressources humaines

Les fonctions ressources humaines peuvent également être exposées à des situations d’atteinte à la probité, même si ces risques sont souvent moins visibles que dans les fonctions commerciales ou achats.

Plusieurs scénarios peuvent apparaître dans le cadre des processus de recrutement, de promotion ou de mobilité interne. L’embauche d’un proche d’un décideur public, par exemple, peut constituer une forme de contrepartie indirecte destinée à influencer une décision administrative ou commerciale.

Des situations de favoritisme peuvent également survenir dans les décisions de promotion ou d’attribution de postes sensibles lorsque des intérêts personnels interviennent dans le processus de décision.

Ces situations sont particulièrement sensibles lorsque l’entreprise entretient des relations fréquentes avec des autorités publiques, participe à des appels d’offres publics ou intervient dans des secteurs fortement réglementés.

La cartographie des risques doit donc intégrer ces scénarios et prévoir, le cas échéant, des mesures de prévention adaptées, notamment en matière de gestion des conflits d’intérêts et de transparence des processus de recrutement.

Finance et comptabilité

Les fonctions finance et comptabilité jouent un rôle central dans la prévention des actes de corruption. C’est en effet par les flux financiers et les écritures comptables que les paiements illicites peuvent être dissimulés.

Plusieurs scénarios peuvent apparaître dans ce cadre. Des factures fictives, des prestations surévaluées ou des notes de frais injustifiées peuvent être utilisées pour masquer le versement d’un avantage indu. Dans certains cas, des mécanismes de double facturation ou l’utilisation de comptes intermédiaires permettent de dissimuler l’origine ou la destination des fonds.

Ces situations sont directement liées au cinquième pilier du dispositif Sapin 2 : les procédures de contrôles comptables, destinées à prévenir et détecter la dissimulation d’actes de corruption dans les livres de l’entreprise.

La cartographie des risques doit donc analyser les processus financiers sensibles, validation des paiements, gestion des dépenses, contrôle des factures ou des notes de frais, afin d’identifier les situations dans lesquelles un détournement des procédures pourrait permettre de dissimuler un acte de corruption.

Fusions, acquisitions et joint-ventures

Les opérations de fusion, d’acquisition ou de création de joint-venture exposent l’entreprise à un risque spécifique : hériter de pratiques de corruption préexistantes.

Lorsqu’une entreprise acquiert une société ou prend une participation dans une structure existante, elle peut reprendre des relations commerciales, des intermédiaires ou des pratiques qui n’ont jamais été évalués au regard des règles anticorruption.

L’absence de due diligence anticorruption constitue dans ce contexte un facteur de risque important. Une entreprise peut, par exemple, découvrir après l’acquisition que la société cible recourt à des agents commerciaux opaques, verse des commissions injustifiées ou entretient des relations problématiques avec certains partenaires.

Les recommandations de l’AFA soulignent donc l’importance d’intégrer les risques de corruption dans les processus de croissance externe. L’analyse préalable de la cible, de ses partenaires et de ses pratiques commerciales permet d’identifier les situations à risque avant la réalisation de l’opération.

Dans une cartographie des risques, ces opérations doivent être considérées comme un processus spécifique, impliquant des mesures de vigilance adaptées, notamment en matière d’évaluation des tiers et d’analyse des relations commerciales existantes.

Sponsoring, mécénat et dons

Les opérations de sponsoring, de mécénat ou de dons peuvent également présenter des risques de corruption lorsqu’elles sont utilisées pour accorder un avantage indu à un décideur ou à une organisation qui lui est liée.

Un financement présenté comme une action de mécénat peut, par exemple, bénéficier à une association contrôlée par un décideur public ou par un partenaire commercial. Dans ce cas, l’opération peut constituer une forme indirecte de contrepartie destinée à influencer une décision.

Ces situations peuvent être difficiles à identifier lorsque les objectifs de communication ou de responsabilité sociétale de l’entreprise se mêlent à des enjeux commerciaux ou institutionnels.

La cartographie des risques doit donc analyser les conditions dans lesquelles ces opérations sont décidées et contrôlées : critères d’attribution, validation interne, transparence des bénéficiaires et traçabilité des flux financiers.

Lorsque ces mécanismes de contrôle sont insuffisants, les opérations de sponsoring ou de mécénat peuvent être utilisées pour dissimuler des avantages indus ou contourner les règles applicables aux cadeaux et invitations.

Relations avec les agents publics

Les interactions avec des agents publics constituent l’une des situations les plus sensibles en matière de corruption. Elles peuvent intervenir dans de nombreux contextes : obtention d’autorisations administratives, délivrance de licences, participation à des marchés publics ou contrôles réglementaires.

Dans ces situations, le risque apparaît lorsque des avantages sont accordés à un agent public afin d’influencer une décision administrative. Ces avantages peuvent prendre des formes variées : cadeaux, invitations, paiements dissimulés ou recours à des intermédiaires chargés de faciliter l’obtention d’une décision favorable.

Les recommandations de l’AFA soulignent que ces interactions doivent faire l’objet d’une vigilance particulière, notamment lorsque l’entreprise opère dans des secteurs fortement réglementés ou dans des pays où l’exposition à la corruption est élevée.

Dans une cartographie des risques, ces situations doivent être identifiées précisément : nature des interactions avec les autorités, processus concernés et personnes impliquées. Cette analyse permet ensuite de définir des mesures de prévention adaptées, telles que des règles strictes en matière de cadeaux et invitations, ou un encadrement des relations avec les représentants des autorités publiques.

Définir des scénarios de corruption pertinents : l’étape la plus critique

Identifier des processus exposés ne suffit pas. Une cartographie des risques devient réellement utile lorsqu’elle décrit des scénarios de corruption précis.

Un scénario de corruption décrit une situation concrète dans laquelle un acte de corruption pourrait se produire : un acteur, un mécanisme et un contexte identifiable. Sans ce niveau de précision, la cartographie reste abstraite et ne permet ni de détecter les situations à risque ni de définir des mesures de prévention adaptées.

Les recommandations de l’Agence française anticorruption insistent sur ce point : la cartographie doit être construite à partir de situations plausibles, adaptées aux activités et à l’environnement de l’entreprise.

Ce qui distingue un bon scénario d’un mauvais

Un scénario mal défini se limite souvent à une formulation très générale : « risque de corruption dans les achats » ou « risque de corruption dans les relations commerciales ». Ce type de formulation n’apporte aucune information opérationnelle.

Un scénario utile décrit au contraire un mécanisme identifiable.

Par exemple :

• attribution d’un marché à un fournisseur en échange d’un avantage personnel pour l’acheteur ;
• versement d’une commission anormalement élevée à un agent commercial afin d’obtenir un contrat ;
• recours à une facture fictive pour dissimuler un paiement indu.

Dans ces exemples, le mécanisme de corruption est clairement identifié. Cela permet ensuite d’analyser les facteurs de risque, les signaux d’alerte possibles et les mesures de prévention à mettre en place.

Les éléments qui composent un scénario de corruption

Un scénario de corruption pertinent repose généralement sur plusieurs éléments :

• un processus concerné (achats, commercial, finance, etc.) ;
• un mécanisme de corruption identifiable (paiement occulte, avantage indu, conflit d’intérêts) ;
• des facteurs aggravants, liés par exemple au contexte géographique ou au recours à des intermédiaires ;
• des signaux d’alerte observables, tels qu’une commission anormalement élevée, une facture inhabituelle ou un intermédiaire sans activité identifiable.

Cette structuration permet de transformer la cartographie en un outil réellement exploitable. Les scénarios identifiés peuvent ensuite être utilisés pour orienter l’évaluation des tiers, définir les contrôles internes et prioriser les actions de prévention.

Méthodologie de cartographie en 8 étapes

La cartographie des risques de corruption repose sur une démarche structurée. Les recommandations de l’Agence française anticorruption décrivent un processus méthodologique qui permet d’identifier, d’analyser et de hiérarchiser les risques auxquels l’entreprise est exposée.

Dans la pratique, cette démarche peut être organisée en huit étapes successives :

• engagement de l’instance dirigeante
• identification des processus exposés et des parties prenantes
• construction des scénarios de corruption
• évaluation du risque brut
• identification des mesures de maîtrise existantes
• évaluation de l’efficacité de ces mesures
• détermination du risque résiduel
• mise en place de la gouvernance du plan d’action et de la mise à jour de la cartographie.

Cette méthodologie permet de transformer une cartographie en outil de pilotage du dispositif anticorruption.

1 – Engagement de l’instance dirigeante

La mise en place d’une cartographie des risques de corruption suppose un engagement clair de l’instance dirigeante. Les recommandations de l’Agence française anticorruption précisent que le dispositif anticorruption doit être porté au plus haut niveau de l’entreprise.

Concrètement, cela signifie que la direction générale doit valider la démarche, définir les objectifs et s’assurer que les moyens nécessaires sont mobilisés pour réaliser l’exercice.

Sans cet engagement, la cartographie risque de rester un exercice formel, conduit par la fonction conformité sans réelle appropriation par les directions opérationnelles. Or ce sont précisément ces directions, achats, commercial, finance ou ressources humaines, qui disposent de la connaissance concrète des processus et des situations à risque.

2 – Identifier les processus exposés et les parties prenantes

La première étape consiste à identifier les processus de l’entreprise susceptibles d’exposer l’organisation à un risque de corruption. Les recommandations de l’AFA invitent à analyser les activités réelles de l’entreprise et les situations dans lesquelles ses collaborateurs interagissent avec des tiers ou prennent des décisions économiques.

Concrètement, il s’agit d’examiner les processus clés de l’entreprise, achats, commercial, finance, ressources humaines ou opérations de croissance externe, et d’identifier les situations dans lesquelles une décision peut être influencée par un avantage indu.

En pratique : 

Prenons l’exemple d’une entreprise industrielle qui travaille avec un nombre limité de fournisseurs pour certaines matières premières.

Le processus achats comprend plusieurs étapes : sélection des fournisseurs, négociation des conditions contractuelles et attribution des marchés. Dans ce contexte, un risque de corruption peut apparaître si un fournisseur propose un avantage personnel à l’acheteur afin d’obtenir l’attribution d’un contrat ou de conserver une relation commerciale.

L’identification du processus permet donc de repérer la situation concrète dans laquelle le risque peut se matérialiser : décision d’attribution d’un marché, interaction directe entre l’acheteur et le fournisseur, absence de mise en concurrence effective.

3 – Construire les scénarios de corruption (approche top-down / bottom-up)

Une fois les processus sensibles identifiés, l’étape suivante consiste à construire les scénarios de corruption, généralement lors d’ateliers de cartographie réunissant les équipes opérationnelles et la fonction conformité.

Cette étape combine deux approches complémentaires : une approche top-down et une approche bottom-up.

L’approche top-down part de la vision de la direction et de la fonction conformité : analyse des risques sectoriels, retour d’expérience, jurisprudence ou incidents connus dans l’entreprise.
L’approche bottom-up repose au contraire sur les échanges avec les opérationnels, qui connaissent les situations concrètes dans lesquelles les décisions sont prises.

Ces ateliers s’appuient sur un questionnaire de cartographie des risques de corruption structuré par processus et par interactions avec les tiers.

La cartographie devient pertinente lorsque ces deux approches sont croisées.

En pratique :

Prenons l’exemple d’une entreprise qui se développe à l’international et utilise des agents commerciaux locaux pour accéder à certains marchés.

Lors d’un atelier avec les équipes commerciales, un scénario apparaît : un agent local propose de « faciliter » l’obtention d’un contrat public en échange d’une commission élevée. Sur le plan contractuel, cette commission est justifiée comme une prestation commerciale classique.

La direction conformité identifie alors plusieurs signaux d’alerte :
commission anormalement élevée, rôle réel de l’intermédiaire difficile à démontrer et interaction indirecte avec des décideurs publics.

Le scénario de corruption peut alors être formulé clairement : recours à un agent commercial pour verser une commission destinée à influencer l’attribution d’un marché public.

Ce niveau de précision permet ensuite de définir les mesures de prévention adaptées, notamment en matière d’évaluation des tiers et de contrôle des commissions commerciales.

4 – Coter le risque brut (probabilité × impact)

Une fois les scénarios de corruption identifiés, l’étape suivante consiste à évaluer leur niveau de risque. Cette évaluation repose généralement sur deux critères : la probabilité de survenance du scénario et l’impact potentiel pour l’entreprise.

Le risque brut correspond au niveau de risque avant toute mesure de prévention. Il permet de mesurer l’exposition réelle de l’entreprise si aucun dispositif de contrôle n’était en place.

Dans la pratique, de nombreuses entreprises utilisent une échelle simple (par exemple de 1 à 4) pour la probabilité et l’impact, puis croisent ces deux dimensions dans une matrice de risques.

5 – Identifier les mesures de maîtrise existantes (les 8 piliers Sapin 2)

Après avoir évalué le risque brut, l’étape suivante consiste à identifier les mesures de maîtrise déjà en place dans l’entreprise, c’est-à-dire les dispositifs destinés à prévenir ou détecter les situations de corruption.

Dans le cadre de Sapin 2, ces mesures de maîtrise s’appuient principalement sur les huit piliers du dispositif anticorruption : cartographie des risques de corruption, code de conduite, dispositif d’alerte interne, évaluation des tiers, contrôles comptables, formation, régime disciplinaire et contrôle interne.

Pour chaque scénario de corruption, la cartographie doit donc préciser quelles mesures couvrent le risque et dans quelle mesure elles permettent de le maîtriser.

6 – Évaluer l’efficacité des mesures

L’existence d’une mesure de prévention ne suffit pas à démontrer que le risque est maîtrisé. L’AFA insiste sur un point : une mesure doit être effective, c’est-à-dire appliquée, contrôlée et traçable.

L’évaluation consiste donc à vérifier si les dispositifs identifiés à l’étape précédente fonctionnent réellement dans la pratique : sont-ils documentés ? appliqués de manière systématique ? font-ils l’objet de contrôles réguliers ?

Cette analyse permet de distinguer une mesure formelle d’un dispositif réellement opérationnel.

7 – Coter le risque résiduel

Une fois les mesures de maîtrise identifiées et leur efficacité évaluée, il est possible de déterminer le risque résiduel, également appelé risque net.

Le risque résiduel correspond au niveau de risque qui subsiste après prise en compte des dispositifs de prévention et de contrôle. Cette étape est essentielle, car elle permet de distinguer les risques effectivement maîtrisés de ceux qui nécessitent des actions supplémentaires.

Dans la pratique, la cotation du risque résiduel repose sur la même logique que le risque brut : probabilité et impact sont réévalués à la lumière des mesures existantes.

8 – Gouvernance, plan d’action et mise à jour

La cartographie des risques de corruption n’est pas un document figé. Elle doit être pilotée dans la durée, mise à jour régulièrement et intégrée dans la gouvernance du dispositif anticorruption.

Une fois les risques résiduels identifiés, l’entreprise doit définir un plan d’action pour traiter les situations les plus sensibles : renforcement des contrôles, évolution des procédures internes ou déploiement de formations ciblées.

Les recommandations de l’AFA indiquent également que la cartographie doit être actualisée périodiquement, mais aussi lors de certains événements susceptibles de modifier l’exposition au risque : acquisition d’une société, entrée sur un nouveau marché, évolution de l’organisation ou incident de conformité.

Modèle de cartographie des risques Sapin 2 (Excel)

Pour obtenir le modèle : modèle de cartographie corruption excel.

Dans de nombreuses entreprises, la cartographie des risques de corruption est construite à l’aide d’un tableur. Ce format présente un avantage simple : il permet de structurer l’analyse des risques et de conserver une trace des hypothèses retenues lors de l’exercice de cartographie.

Un modèle de cartographie des risques Sapin 2 comprend généralement plusieurs colonnes permettant de décrire et d’évaluer chaque scénario de corruption identifié.

On retrouve notamment les éléments suivants :

• le processus concerné (achats, commercial, finance, ressources humaines, etc.) ;
• la description du scénario de corruption, décrivant le mécanisme et les acteurs impliqués ;
• les facteurs de risque susceptibles d’augmenter la probabilité du scénario (recours à des intermédiaires, interaction avec des agents publics, contexte géographique, etc.) ;
• la cotation du risque brut, généralement évaluée selon deux critères : probabilité et impact ;
• les mesures de maîtrise existantes, telles que l’évaluation des tiers, les contrôles comptables ou les procédures internes ;
• l’évaluation de l’efficacité de ces mesures ;
• la cotation du risque résiduel, permettant d’identifier les situations qui nécessitent un plan d’action.

Cette structuration permet de relier les scénarios de corruption aux dispositifs de prévention mis en place dans l’entreprise et de documenter la méthodologie utilisée pour construire la cartographie.

Utilisé correctement, un modèle Excel permet ainsi de conserver la traçabilité de l’analyse des risques, de suivre l’évolution des scénarios dans le temps et de justifier les choix méthodologiques en cas de contrôle.

Solution anticorruption : rendre votre cartographie opérationnelle

Construire une cartographie des risques est une étape essentielle, mais elle ne suffit pas. Dans beaucoup d’entreprises, la cartographie reste un document statique, élaboré lors de la mise en place du dispositif anticorruption puis rarement utilisé dans la gestion quotidienne des risques.

Or l’objectif d’une cartographie est précisément l’inverse : elle doit permettre d’orienter les contrôles, d’identifier les situations sensibles et d’adapter les mesures de prévention en fonction du niveau de risque.

Les limites d’une cartographie manuelle

Lorsqu’elle est gérée uniquement sous forme de tableur, la cartographie présente plusieurs limites. L’exercice peut devenir lourd à maintenir, en particulier lorsque les processus évoluent, que l’entreprise développe de nouvelles activités ou que de nouveaux partenaires commerciaux apparaissent.

Il devient également difficile de maintenir un lien direct entre la cartographie et les opérations réelles de l’entreprise. Les scénarios identifiés restent alors théoriques et ne sont pas systématiquement pris en compte dans l’évaluation des tiers ou dans les contrôles internes.

Les apports des solutions technologiques

Les outils technologiques permettent de relier la cartographie des risques aux opérations réelles de l’entreprise. L’objectif n’est pas de remplacer l’analyse des risques, mais de rendre la cartographie exploitable dans la gestion quotidienne des relations avec les tiers.

Ces solutions permettent notamment d’automatiser certaines vérifications : identification des entreprises, analyse des bénéficiaires effectifs, détection de sanctions internationales ou identification de personnes politiquement exposées.

En intégrant ces données dans les processus de conformité, l’entreprise peut appliquer plus facilement les scénarios de risque définis dans sa cartographie.

Ces outils permettent également de mettre en œuvre un scoring dynamique des tiers, aligné sur les scénarios de corruption identifiés dans la cartographie.

La valeur ajoutée de BeCLM dans l’identification des risques de corruption

La cartographie des risques de corruption doit pouvoir se traduire concrètement dans l’analyse des partenaires de l’entreprise.

Cela suppose de disposer d’informations fiables et à jour sur les entreprises et les personnes impliquées dans les relations d’affaires : dirigeants, bénéficiaires effectifs, historique juridique ou éléments de réputation.

Leur exploitation n’a toutefois de valeur que si elles sont analysées au regard des scénarios de corruption identifiés dans la cartographie.

C’est ce que permet une solution comme BeCLM, qui automatise l’exploitation des données publiques et les met en relation avec ces scénarios afin d’identifier les situations présentant un risque accru.

Le scoring des personnes et des tiers

Les données publiques disponibles sur les entreprises et les personnes permettent d’identifier différents signaux de risque : fonctions exercées, historique judiciaire, exposition médiatique ou environnement relationnel.

Croisées selon les indicateurs définis dans la cartographie, ces informations peuvent être traduites en scoring dynamique des personnes et des tiers. Ce scoring attribue un niveau de risque aux partenaires commerciaux et oriente les mesures de vigilance appliquées à la relation d’affaires.

En pratique, le scoring permet de transformer les scénarios définis dans la cartographie en critères opérationnels d’analyse des partenaires de l’entreprise.

Lorsqu’un nouveau partenaire commercial est identifié, l’analyse de sa structure juridique, de ses dirigeants ou de ses bénéficiaires effectifs peut révéler plusieurs facteurs de risque.

La présence d’un dirigeant exerçant des fonctions publiques sensibles, l’existence d’antécédents judiciaires liés à des faits de corruption ou certains signaux issus de médias négatifs peuvent être intégrés dans le scoring du tiers.

Ce score ne constitue pas une décision automatique. Il permet d’identifier les situations nécessitant une analyse renforcée ou un niveau de vigilance plus élevé avant l’entrée en relation.

Les données entreprises pour documenter les situations à risque

L’analyse des risques de corruption repose également sur la compréhension de la structure et de l’environnement des entreprises avec lesquelles une organisation entre en relation.

Les données issues des registres publics permettent notamment d’identifier les dirigeants, les bénéficiaires effectifs, l’organisation capitalistique ou l’historique juridique d’une entreprise.

Ces informations contribuent à documenter le contexte dans lequel s’inscrit une relation d’affaires et à identifier certaines situations susceptibles d’augmenter le niveau de risque.

Les médias négatifs comme signal complémentaire

Les informations issues des médias constituent également une source utile pour l’analyse des risques de corruption.

Articles de presse, enquêtes journalistiques ou décisions judiciaires relayées par les médias peuvent faire apparaître des éléments de contexte concernant certaines entreprises ou certains dirigeants.

Ces informations ne constituent pas en elles-mêmes une preuve d’infraction, mais peuvent constituer un indicateur complémentaire dans l’analyse du risque. Elles doivent être analysées avec prudence et replacées dans leur contexte.

Ce que l’AFA contrôle réellement (constats 2021-2024)

Lors des contrôles réalisés au titre de l’article 17 de la loi Sapin 2, l’Agence française anticorruption ne se limite pas à vérifier l’existence formelle d’une cartographie des risques. Elle examine surtout la qualité de la méthodologie utilisée et l’exploitation réelle de la cartographie dans le dispositif anticorruption.

Les rapports d’activité de l’AFA montrent que certaines insuffisances reviennent régulièrement dans les dispositifs analysés. Dans de nombreux cas, la cartographie existe bien sur le plan documentaire, mais elle reste trop générale ou insuffisamment reliée aux processus opérationnels de l’entreprise.

Des cartographies insuffisamment documentées

L’une des difficultés fréquemment relevées concerne la documentation de la méthodologie utilisée pour construire la cartographie.

L’AFA attend que l’entreprise puisse expliquer comment les risques ont été identifiés, comment les scénarios ont été construits et sur quels critères les cotations ont été attribuées. Lorsque ces éléments ne sont pas formalisés, la cartographie perd une grande partie de sa valeur.

Des scénarios trop génériques

Une autre insuffisance fréquemment relevée concerne la formulation des scénarios de risque. Dans de nombreuses cartographies, les risques sont décrits de manière trop générale : « risque de corruption dans les achats », « risque de corruption dans les relations commerciales ».

Pour l’AFA, ce type de formulation ne permet pas d’identifier les situations concrètes dans lesquelles un acte de corruption pourrait survenir. Une cartographie utile doit décrire des mécanismes précis, liés aux activités et aux processus de l’entreprise.

Sans ce niveau de précision, il devient difficile de définir des mesures de prévention adaptées ou d’orienter les contrôles internes.

En pratique :

Imaginons qu’une cartographie mentionne simplement un « risque de corruption dans les achats ».

Cette formulation ne permet pas de savoir dans quelle situation le risque peut apparaître : attribution d’un marché, sélection d’un fournisseur, validation d’une facture ou négociation contractuelle.

À l’inverse, un scénario formulé de manière précise, par exemple attribution d’un marché à un fournisseur en échange d’un avantage personnel pour l’acheteur, permet d’identifier les étapes du processus à contrôler et les mesures de prévention à mettre en place.

Une cartographie déconnectée des mesures de prévention

L’AFA observe également que certaines cartographies restent déconnectées des autres composantes du dispositif anticorruption. Les risques sont identifiés et cotés, mais ils ne sont pas réellement reliés aux mesures de prévention mises en place dans l’entreprise.

Or la logique de l’article 17 repose précisément sur cette articulation : la cartographie doit orienter la mise en œuvre des autres piliers du dispositif, notamment l’évaluation des tiers, les contrôles comptables ou les actions de formation.

Lorsque ce lien n’est pas établi, la cartographie perd sa fonction de pilotage et devient un exercice documentaire isolé.

En pratique :

Une entreprise peut avoir identifié dans sa cartographie un risque élevé lié au recours à des intermédiaires commerciaux.

Mais si ce risque n’est pas pris en compte dans la procédure d’évaluation des tiers, par exemple en prévoyant une analyse renforcée des agents commerciaux, la cartographie reste sans effet sur les pratiques opérationnelles.

L’AFA vérifie précisément ce point lors de ses contrôles : les scénarios identifiés doivent se traduire par des mesures de prévention concrètes dans les processus de l’entreprise.

Des cartographies qui ne sont pas mises à jour

Une autre faiblesse régulièrement relevée par l’AFA concerne l’actualisation de la cartographie. Dans certaines entreprises, l’exercice est réalisé lors de la mise en place du dispositif anticorruption puis reste inchangé pendant plusieurs années.

Or l’exposition au risque évolue avec l’activité de l’entreprise : développement sur de nouveaux marchés, acquisition d’une société, recours à de nouveaux intermédiaires ou modification de l’organisation interne.

Lorsque la cartographie n’est pas révisée régulièrement, elle ne reflète plus la réalité des risques auxquels l’entreprise est confrontée.

En pratique :

Une entreprise peut avoir établi sa cartographie à un moment où son activité était essentiellement nationale. Si elle développe ensuite des opérations dans plusieurs pays ou commence à travailler avec des agents commerciaux locaux, son exposition au risque de corruption évolue.

Sans mise à jour de la cartographie, ces nouvelles situations de risque ne sont pas identifiées et les mesures de prévention restent inadaptées. L’AFA attend donc que les entreprises prévoient une revue périodique de leur cartographie, ainsi qu’une actualisation en cas d’évolution significative de leur activité.

L’absence de cotation du risque résiduel

Les recommandations de l’AFA rappellent que la cartographie doit conduire à l’évaluation du risque résiduel, c’est-à-dire du niveau de risque qui subsiste après prise en compte des mesures de prévention.

Sans cette étape, il devient difficile d’identifier les situations qui nécessitent un renforcement des mesures de prévention.

La cotation du risque résiduel permet au contraire de distinguer les risques déjà maîtrisés de ceux qui doivent faire l’objet d’un plan d’action.

Erreurs fréquentes à éviter

La mise en place d’une cartographie des risques de corruption est un exercice exigeant. Certaines erreurs reviennent régulièrement et peuvent affaiblir l’efficacité du dispositif anticorruption.
Les identifier permet d’éviter que la cartographie ne se transforme en un exercice purement documentaire, sans véritable impact sur la prévention de la corruption.

La cartographie générique

L’une des erreurs les plus fréquentes consiste à reprendre un référentiel standard sans l’adapter aux activités de l’entreprise.

Une cartographie efficace doit refléter les processus réels, les relations avec les tiers et les situations concrètes dans lesquelles les décisions sont prises. Une cartographie trop générique ne permet pas d’identifier les scénarios spécifiques à l’organisation.

Confondre cartographie des risques et registre des risques

Une autre confusion fréquente consiste à assimiler la cartographie des risques à un simple registre recensant les risques de l’entreprise.

Un registre des risques se limite généralement à une liste de risques identifiés. La cartographie, au sens des recommandations de l’AFA, va plus loin : elle repose sur l’analyse des processus de l’entreprise, la construction de scénarios de corruption et l’évaluation du niveau de risque associé.

Autrement dit, la cartographie ne consiste pas seulement à identifier des risques. Elle vise à comprendre comment ces risques peuvent se matérialiser dans les activités de l’entreprise.

En pratique :

Un registre peut mentionner un « risque de corruption dans les achats ».
Une cartographie des risques analysera au contraire le processus achats et décrira les situations dans lesquelles ce risque peut apparaître : sélection d’un fournisseur, négociation contractuelle ou validation d’une facture.

Cette analyse permet ensuite d’identifier les contrôles à mettre en place et les mesures de prévention adaptées à chaque situation.

Se limiter au risque brut

Certaines cartographies se limitent à évaluer le risque brut, sans analyser l’effet des mesures de prévention déjà en place dans l’entreprise.

Or la logique de la cartographie consiste précisément à mesurer le risque résiduel, c’est-à-dire le niveau de risque qui subsiste après la mise en œuvre des dispositifs de contrôle.

Sans cette analyse, il devient difficile d’identifier les situations qui nécessitent un renforcement des mesures de prévention.

En pratique :

Prenons un scénario de corruption lié au recours à un agent commercial.

Le risque brut peut être considéré comme élevé en raison du recours à un intermédiaire et de l’interaction indirecte avec des décideurs publics. Mais si l’entreprise met en place une évaluation approfondie des agents commerciaux, un encadrement des commissions et un contrôle des prestations facturées, la probabilité du scénario peut être réduite.

La cotation du risque résiduel permet alors de déterminer si ces mesures sont suffisantes ou si un plan d’action complémentaire est nécessaire.

Un exercice mené en silo

La cartographie des risques est parfois réalisée exclusivement par la fonction conformité ou juridique, sans réelle implication des équipes opérationnelles.

Cette approche limite fortement la qualité de l’analyse. Les personnes qui connaissent le mieux les situations concrètes dans lesquelles des risques peuvent apparaître sont souvent celles qui travaillent au quotidien dans les processus concernés : achats, commercial, finance ou ressources humaines.

Sans leur contribution, la cartographie risque de rester théorique et de ne pas refléter les pratiques réelles de l’entreprise.

L’absence de gouvernance

Une cartographie des risques est utile si elle est pilotée dans la durée. Sans gouvernance claire, elle risque de rester un document formel, élaboré une fois puis rarement utilisé.

La gouvernance consiste à définir qui est responsable de la cartographie, comment elle est validée et à quelle fréquence elle est mise à jour. Elle doit également prévoir un suivi des actions décidées à la suite de l’analyse des risques.

Les recommandations de l’AFA attendent notamment une validation par l’instance dirigeante et l’existence d’un dispositif permettant de suivre l’évolution des risques dans le temps.

En pratique :

Si aucun responsable n’est clairement désigné pour piloter la cartographie, il devient difficile d’organiser sa mise à jour ou de suivre les actions décidées à la suite de l’analyse.

Par exemple, une entreprise peut identifier un risque élevé lié au recours à certains intermédiaires, mais ne pas définir qui est chargé de renforcer les contrôles ou de revoir la procédure d’évaluation des tiers.

Sans gouvernance claire, ces actions risquent de rester théoriques et la cartographie de perdre son rôle d’outil de pilotage du dispositif anticorruption.

De la cartographie des risques à l’analyse des tiers

Une cartographie des risques n’a de valeur que si elle permet d’analyser concrètement les relations d’affaires de l’entreprise.

Identifier des scénarios de corruption constitue une première étape. Mais ces scénarios doivent ensuite être appliqués aux partenaires avec lesquels l’entreprise travaille : fournisseurs, intermédiaires commerciaux, partenaires locaux ou consultants. Cette analyse constitue le prolongement naturel de la cartographie dans la procédure d’évaluation des tiers prévue par l’article 17 de la loi Sapin 2.

La cartographie des risques de corruption constitue ainsi le point de départ du dispositif anticorruption. Elle permet d’identifier les situations dans lesquelles l’entreprise peut être exposée à des faits d’atteinte à la probité.

Mais seule, elle ne prévient rien. Sa valeur tient dans l’utilisation qui en est faite : dans l’évaluation des tiers, dans l’analyse des relations d’affaires, dans les contrôles et dans les décisions opérationnelles.

Dans la pratique, cette articulation devient rapidement difficile à maintenir sans outils adaptés. La multiplication des partenaires, l’évolution permanente des structures d’entreprises et la dispersion des sources d’information rendent l’analyse de plus en plus complexe.

Les solutions spécialisées de gestion des risques permettent de relier ces différentes dimensions, cartographie, analyse des entreprises, signaux publics et évaluation des tiers, et de transformer la cartographie en un élément réellement opérationnel du dispositif de prévention de la corruption.

La question n’est donc pas seulement de disposer d’une cartographie des risques. Elle est de savoir si l’entreprise se donne les moyens de l’exploiter au quotidien dans la gestion de ses relations d’affaires.

FAQ sur la cartographie des risques Sapin 2 de lutte contre la corruption

Si la cartographie doit reposer sur des scénarios précis, comment éviter de produire un document inexploitable à force d’exhaustivité ?

La précision demandée par l’AFA ne signifie pas couvrir tous les cas imaginables. L’enjeu est de se concentrer sur les scénarios plausibles au regard de l’activité réelle : processus opérationnels, zones géographiques, nature des tiers, montants en jeu. Un scénario utile décrit un mécanisme identifiable (« attribution d’un marché en échange d’un avantage personnel à un acheteur »), pas une formulation générique (« risque de corruption dans les achats »). C’est cette granularité qui permet de relier chaque scénario à des signaux d’alerte, des mesures existantes et un plan d’action. Si la cartographie dépasse 30 à 40 scénarios sans priorisation claire, c’est le signe qu’il faut recentrer l’analyse.

L’article distingue risque brut et risque résiduel. Que se passe-t-il si notre cartographie ne cote que le risque brut ?

Le risque brut mesure l’exposition en l’absence de tout contrôle. Utile, mais insuffisant pour piloter la conformité. L’AFA attend la mesure du risque résiduel : le niveau de risque qui subsiste après prise en compte des mesures de prévention et de leur efficacité réelle. Sans cette étape, impossible de distinguer les scénarios maîtrisés de ceux qui nécessitent une action corrective. La cotation résiduelle intègre un examen critique : les mesures sont-elles formalisées, appliquées, contrôlées ? C’est ce qui transforme la cartographie en outil de décision. L’AFA vérifie précisément ce point lors de ses contrôles.

Comment l’AFA évalue-t-elle concrètement la qualité d’une cartographie lors de ses contrôles ?

L’AFA ne vérifie pas seulement l’existence d’un document. Ses constats récurrents (2021-2024) portent sur quatre points : la documentation de la méthodologie (comment les scénarios ont été construits, sur quels critères), la précision des scénarios (les formulations génériques sont systématiquement relevées), l’articulation avec les autres piliers Sapin 2 (évaluation des tiers, contrôles comptables, formation) et la mise à jour régulière. Une cartographie figée depuis plusieurs années, alors que l’entreprise a évolué, constitue une faiblesse manifeste.

Notre cartographie est gérée dans un fichier Excel. À partir de quand ce format atteint-il ses limites ?

Excel convient pour structurer une première itération. Les limites apparaissent lorsque la cartographie doit vivre : évolution des processus, nouveaux marchés, nouveaux partenaires. Il devient alors difficile de maintenir le lien avec les données des tiers (bénéficiaires effectifs, exposition PPE, médias négatifs), de tracer l’historique des révisions ou de produire un reporting consolidé pour la direction. Le signal d’alerte : la cartographie n’est plus consultée ni mise à jour entre deux exercices de conformité. Elle a alors perdu sa fonction de pilotage.

Les risques liés aux agents publics concernent-ils aussi les entreprises qui n’opèrent pas à l’international ?

Toute entreprise qui sollicite des autorisations administratives, répond à des marchés publics ou interagit avec des autorités de régulation est exposée. Les scénarios concernés incluent le lobbying non encadré, l’octroi d’avantages à des décideurs publics ou le recours à des intermédiaires pour faciliter une décision administrative. L’AFA souligne une vigilance renforcée dans les secteurs fortement réglementés. La cartographie doit identifier la nature des interactions, les processus et personnes impliqués, puis prévoir des mesures adaptées : politique cadeaux, encadrement des relations institutionnelles, registre de lobbying.

Comment la cartographie s’articule-t-elle concrètement avec l’évaluation des tiers prévue par l’article 17 ?

La cartographie constitue le socle de l’évaluation des tiers. Les scénarios identifiés définissent les situations où les relations avec les tiers exposent l’entreprise. Sans cartographie, la due diligence manque de critères directeurs : quels tiers prioriser, quels signaux rechercher, quel niveau de vigilance appliquer. L’AFA vérifie cette cohérence. Une entreprise qui identifie un risque élevé lié aux intermédiaires commerciaux mais ne prévoit aucune analyse renforcée de ces intermédiaires présente une incohérence qui sera relevée. Cartographie et évaluation des tiers doivent fonctionner comme un système intégré.

Qui doit porter la gouvernance de la cartographie, et quel risque si aucun responsable n’est désigné ?

L’AFA est explicite : le dispositif anticorruption doit être porté au plus haut niveau. Sans gouvernance claire, la cartographie n’est plus mise à jour, reste cloisonnée dans la fonction conformité sans contribution des opérationnels (achats, commercial, finance), et perd son rôle de pilotage. L’AFA attend une validation par l’instance dirigeante et un dispositif de suivi avec des échéances et des responsables identifiés pour chaque action corrective.