Anti-Corruption Certification

To get certified

Au sein du Groupe de travail ISO/PC 278 qui a élaboré le « Système de gestion de la conformité Anti-corruption », nous avions à cœur de rédiger un standard qui répondrait à trois objectifs :

  1. Offrir à un Compliance Officer un manuel lui permettant de concevoir un système de prévention de la corruption. C’est ainsi, par exemple, que nous avons souhaité que le standard contienne une annexe détaillant des bonnes pratiques.
  2. Permettre à un Compliance Officer disposant d’un programme anti-corruption, de comparer ce qu’il a mis en œuvre avec un standard international. C’est notamment la raison pour laquelle le standard est aussi détaillé.
  3. Enfin, donner à la communauté internationale une norme permettant de certifier des programmes anti-corruption. L’ISO 37001 est ainsi une norme certifiable sous accréditation.

La difficulté que nous avons rencontrée tient au fait qu’il nous fallait rédiger un standard unique qui puisse être utilisé par des organismes de toute taille, de tout secteur et aussi bien public, associatif que privé. Cette difficulté transparait à la lecture du standard qui est parfois complexe et qui peut sembler répétitive.

Pour utiliser au mieux le standard, il est fondamental de se concentrer d’abord sur la Section 4 - Contexte de l’organisme. Une fois cette section bien comprise et bien documentée la norme devient très simple à comprendre et facile à mettre en œuvre.


4.1 – Comprendre l’organisation et son contexte

Il est banal de dire que chaque organisme est unique, mais ce qui est moins banal c’est de reconnaitre que cela implique que chaque système de gestion de la conformité anti-corruption soit également unique. Certes, les grands principes d’un programme anti-corruption sont invariants : le « Tone at the top », la formation, etc… mais ce qui va différer profondément ce sont les modalités de mise en œuvre de ce programme. On voit bien que ces modalités vont varier selon l’activité de l’organisme, sa taille, son modèle de fonctionnement, ses pays d’opérations….

Nous savons tous qu’un programme anti-corruption doit – pour être efficace – être parfaitement adapté à l’organisation. Le préalable est donc de comprendre la spécificité – l’unicité – de l’organisme et c’est ce à quoi nous invite la section 4.1, qui demande que l’organisme identifie tous les facteurs qui vont influer sur son programme anti-corruption et en particulier :

a) la taille, la structure et l’autorité déléguée de prise de décision;
b) les lieux et les secteurs d’opération ;
c) la nature, l’échelle et la complexité des activités et des opérations;
d) le modèle économique;
e) les entités sur lesquelles l’organisme exerce un contrôle (les filiales) et les entités exerçant un contrôle sur l’organisme (la société mère) ;
f) les partenaires commerciaux;
g) la nature et l’étendue des interactions avec les représentants publics ;
h) les obligations légales, réglementaires, contractuelles et professionnelles applicables.

Prendre le temps de rédiger un document décrivant ces différents est un exercice qui peut paraître fastidieux mais qui est essentiel pour définir un programme anti-corruption adapté. Pour les organismes qui visent la certification la présentation d’un tel document est d’ailleurs obligatoire.


4.2 - Comprendre les besoins et les attentes des parties intéressées

Un organisme se caractérise également par les interactions qu’il entretient avec tout un ensemble de parties extérieures : les clients, les fournisseurs, les agences de notations mais aussi les associations, les médias…. Parmi ces tierces parties, certaines ont des attentes particulières en ce qui concerne le programme anti-corruption de l’organisme. Ainsi par exemple, Transparency International UK attend des industries de la défense qu’elles décrivent leur programme anti-corruption. Les agences de notation veulent savoir si une entreprise cotée a un programme anti-corruption approprié pour limiter le risque d’impact d’un acte de corruption sur les bénéfices. Ou encore un partenaire dans une Joint-Venture va vouloir savoir quel programme anti-corruption l’organisme va mettre en œuvre.
C’est pour cela que la norme demande que l’organisme détermine :

a) les parties intéressées qui sont pertinentes dans le cadre du système de management anti-corruption
b) les exigences de ces parties intéressées.

Là aussi il peut paraitre fastidieux d’identifier ces parties intéressées ainsi que leur besoin, mais c’est un exercice essentiel pour répondre à leurs attentes. Là encore, pour les organismes qui visent la certification la présentation d’un tel document est obligatoire.


4.5 – Evaluer les risques de corruption

Une fois le contexte de l’organisme déterminé et les attentes des parties intéressées identifiées, le Groupe de rédaction a considéré que l’organisme pouvait procéder à l’évaluation des risques.
Cette sous-section 4.5 consacrée au risque était prévue pour être la troisième sous-section, numérotée 4.3. Or comme la structure de la norme 37001 obéit à la structure générale des normes de management qui ne prévoit pas d’évaluation des risques, le Groupe de travail a dû l’insérer à la fin de la section 4 et la numéroter 4.5. Cela met en tout cas en évidence que la question de l’évaluation des risques de corruption est tout à fait spécifique à la norme 37001.

Ce n’est donc pas parce que l’évaluation du risque de corruption est située en dernière position (4.5) qu’il faut l’aborder à la fin de la section 4 ! D’ailleurs la détermination du périmètre d’application du système de management anti-corruption (4.3) fait appel au résultat des sous-sections 4.1 (le contexte), 4.2 (les parties intéressées) et 4.5 (l’évaluation des risques). L’organisme doit donc :

a) identifier les risques de corruption que l’organisme pourrait raisonnablement anticiper, eu égard aux facteurs énumérés en 4.1 ;
b) analyser, apprécier et établir la priorité des risques de corruption identifiés ;
c) évaluer l’adéquation et l’efficacité des moyens de contrôle mis en place par l’organisme pour atténuer les risques de corruption évalués.

On voit bien que la compréhension de l’organisme (section 4.1) est fondamentale pour procéder à l’évaluation des risques de corruption et que c’est sur cette base que va se construire le programme anti-corruption.


4.3 – Déterminer le périmètre d’application du système de management anti-corruption

Pour déterminer le périmètre d’application du système anti-corruption, la norme demande que l’organisme prenne en compte :

a) les enjeux externes et internes auxquels il est fait référence en 4.1 ;
b) les exigences auxquelles il est fait référence en 4.2 ;
c) les résultats de l’évaluation des risques de corruption mentionnée en 4.5.

En déterminant de la sorte le périmètre d’application du programme anti-corruption, l’organisme se donne les moyens d’identifier les activités ou les entités où la corruption n’est pas un enjeu. Il faut rappeler que la norme requiert la mise en œuvre d’un système de management anti-corruption gradué selon les risques (risk based), c’est-à-dire un système dans lequel l’entreprise doit prendre en compte tout risque qui est supérieur à faible.


4.4 – Système de management anti-corruption

Les travaux menés en 4.1, 4.2, 4.5 et 4.3 permettent donc de définir un système de management anti-corruption qui est approprié pour l’entreprise : ni trop léger ni inutilement lourd.
Le système qui est visé par la norme ISO 37001 est « un système de management qui doit être raisonnable et proportionné, et doit tenir compte des facteurs auxquels il est fait référence en 4.3 ».
Une fois que l’on a répondu aux exigences de la section 4, il devient facile d’évaluer ce qu’il faut mettre en œuvre dans les autres sections : 5 - Leadership ; 6 - Planification, 7 - Ressources, 8 - Outils, 9 - Contrôle et 10 - Amélioration continue.

A terme, la certification selon la norme ISO 37001 permet de démontrer que l’organisme a mis en œuvre un système approprié, un système qui est à la fois sur mesure mais qui répond pleinement aux obligations légales et aux attentes des parties prenantes.

You want to share an idea:

Search

Follow Experts

Give us your email to be notified of the latest posts.