Anti-Corruption Certification

To get certified

De nombreux responsables de conformité m’ont interrogé sur le fait de savoir si la certification ISO 37001 de leurs partenaires d’affaires (business associates) pourrait les dispenser de conduire des due diligence à leur égard.

La question est pertinente mais appelle une réponse circonstanciée.

La due diligence, un élément essentiel de la norme ISO 37001

Le système de management ISO 37001 possède une spécificité qui la distingue de tous les autres standards de la famille des systèmes de management ISO : il exige des organisations - entreprises ou entités publiques - qu’elles conduisent une analyse de risque, en l’occurrence du risque de corruption. C’est sur la base de cette analyse de risque qu’elles doivent concevoir, mettre en œuvre et évaluer leur système de management anti-corruption.
Plus précisément, il est demandé que l’organisation prennent des dispositions particulières pour toutes les situations où le risque est supérieur à faible. Or quelles sont les situations qui, pour une organisation donnée, présentent des risques de corruption ? Ce sont toutes les situations où elle est en contact avec des partenaires d’affaires : que ce soit des clients, des fournisseurs, des sous-traitants, des agents commerciaux, des partenaires au sein d’un consortium, etc…..

Les partenaires d’affaires présentent différents types de risques de corruption en fonction de plusieurs paramètres, et notamment :

  • de leur rôle, les agents commerciaux qui engagent l’entreprise présentent un risque supérieur à un fournisseur de produits d’entretien
  • de l’importance de la transaction : un fournisseur majeur approvisionnant plusieurs sites dans le monde présente un risque plus important qu’un fournisseur occasionnel pour une transaction de quelques milliers d’euros ou de dollars
  • de leur nature : un client public (administration) présente un risque supérieur à une client privé, dont l’entreprise dispose d’un département d’audit et de contrôle interne.
  • enfin bien sûr le pays joue également un rôle important dans la mesure où la corruption y est plus ou moins fréquente.


La due diligence va permettre d’affiner la mesure du risque que présente le partenaire d’affaires pour permettre de décider quelles mesures l’organisation doit prendre pour maîtriser ce risque. Au vu des résultats des due diligence, elle peut ainsi décider de ne pas engager de relations avec ce partenaire d’affaires ou de renforcer son dispositif de vigilance à son égard, ou encore de lui demander de démontrer ses engagements d’intégrité.

Au-delà de la due diligence, les engagements d’intégrité des partenaires d’affaires.

Démontrer ses engagements d’intégrité est justement l’une des exigences (cf section 8.5) qu’une organisation certifiée ISO 37001 doit demander à ses partenaires d’affaires qu’elle considère présenter un risque de corruption supérieur à faible.

Mais si un partenaire d’affaire est lui-même certifié ISO 37001, c’est-à-dire qu’il a mis en place un système de management anti-corruption, système qu’il fait évaluer tous les ans à l’occasion de l’audit de surveillance inhérent à toute certification, alors le risque qu’il présente peut dès lors être considéré dans comme faible.

Autrement dit, lorsqu’une organisation envisage de développer une relation d’affaire avec un partenaire : comme fournisseur, comme membre d’un consortium, comme sous -traitant ou autre, et que ce dernier détient une certification ISO 37001, la plupart des raisons qui justifiaient une due diligence préalable disparaissent.

Le partenaire d’affaire certifié ISO 37001 est en effet doté d’un système de management anti-corruption qu’il s’applique à lui-même en même temps qu’il exige de ses propres partenaires d’affaires des engagements d’intégrité conformes aux exigences de la section 8.2 du standard ISO 37001. Le risque de corruption avec ce partenaire d’affaires est donc faible et les due diligence sont donc inutiles. Ou presque…

La certification ISO 37001 conduit à une nouvelle approche des due-diligences

Si le risque de corruption avec un partenaire d’affaire certifié ISO 37001 est faible, il n’en reste pas moins que certains individus de ce partenaire – managers ou actionnaires – ne puissent néanmoins présenter un conflit d’intérêt avec l’organisation, conflit d’intérêt qui dans certain cas pourrait être assimilé à un risque de corruption.

Je m’explique. Imaginons qu’une entreprise domiciliée dans un pays A réponde à un appel d’offre public dans un pays B et se fasse assister par une société de conseil dans un pays C et qui est certifiée ISO 37001. Imaginons que l’un des actionnaires de cette société soit une société appartenant à un parent d’un décideur public du pays B impliqué dans le cadre de cet appel d’offre. En cas de réponse positive à l’appel d’offre, l’entreprise pourrait faire l’objet d’une enquête pour corruption en raison du lien familial existant entre l’actionnaire de la société de conseil et le décideur public.

Ce lien n’est pas en soi un obstacle à la certification de la société de conseil mais il fait courir un risque de corruption à l’entreprise que seule une due diligence approfondie aurait pu découvrir.

En conséquence la certification ISO 37001 ne dispense pas de mettre en œuvre des due diligence mais va permettre de conduire des due diligence plus ciblée en particulier sur les individus, les bénéficiaires ultimes et les Personalités Politiques Exposées (PPE). Il est probable cependant qu’une société certifiée ISO 37001 se prêtera d’autant plus facilement à des due diligence qu’elle en comprendra le bien fondé.

Ainsi le développement de la certification ISO 37001 sur les partenaires d’affaires va conduire les responsables conformité à redéfinir leur politique de due diligence. Pour tout un ensemble de partenaire d’affaires la certification ISO 37001 va rendre inutile la mise en œuvre d’une due diligence, ce qui ne sera pas sans impact sur les budgets importants qui sont consacrés à ce sujet. En revanche, il est vraisemblable que les responsables conformité vont dès lors pouvoir cibler leur due diligence de façon plus précises et plus approfondies sur les entités ou individus présentant le plus de risques.

La certification ISO 37001 des partenaires sera-t-elle prise en compte par les autorités de poursuites ?

Cette question - légitime – renvoie à une question plus générale à laquelle j’ai eu l’occasion de répondre. Quelle défense légale la certification ISO 37001 apporte-t-elle ?

Ma conviction est que la certification ISO 37001 ne fera jamais l’objet d’un droit opposable (affirmative defense). En cas de corruption un juge voudra toujours enquêter pour comprendre le délit. Cependant il est certain qu’une certification ISO 37001 conduite de façon sérieuse sera un élément de défense important pour mettre en évidence la volonté réelle et sincère de l’entreprise de prévenir et détecter le risque de corruption.

Si un acte de corruption est commis par un partenaire d’affaire, certifié ISO 37001 mais sur lequel il n’y a pas eu de due diligence, mon point de vue est qu’un juge appliquera un raisonnement similaire. Il voudra comprendre pourquoi il n’y a pas eu de due diligence. Est-ce que la certification ISO 37001 du partenaire d’affaire était suffisante pour considérer qu’il ne présentait pas de risque, notamment au regard de conflits d’intérêt pouvant caractériser un acte de corruption ? Et deuxièmement est ce que la certification a été obtenue de façon professionnelle par le biais d’un organisme certificateur présentant tous les critères de professionnalisme et d’indépendance, et non par un organisme de complaisance ?

Certification ISO 37001 versus Due Diligence : un nouvel enjeu pour les compliance officers

Les budgets alloués la conformité ne sont pas extensibles et le compliance officer doit sans cesse établir des priorités et procéder à des arbitrages.

Demander aux partenaires d’affaires de démontrer leurs engagements d’intégrité en se faisant certifier ISO 37001 est un moyen évident d’économiser sur leur budget consacré aux due diligence. Et c’est d’ailleurs un des points qu’ils évoquent régulièrement avec moi.

Cependant mon conseil est de ne pas considérer que la certification ISO 37001 est la panacée universelle et qu’elle évitera toute diligence. En revanche il faut à l’évidence intégrer la certification comme l’un des outils qui – comme les due diligence, mais aussi la clause anti-corruption de la Chambre de Commerce Internationale (ICC) – permettent de s’assurer de l’intégrité des tierces parties.

La cartographie des risques des tierces parties est essentielle pour déterminer quelle politique une organisation doit appliquer à l’égard de celles-ci et à quelles conditions on demandera une certification et/ou on conduira une due diligence et/ou on appliquera la clause de l’ICC.

Il reste néanmoins une condition dont l’entreprise ne fera pas l’économie : il est essentiel que celle-ci-soit elle-même certifiée ISO 37001, ne serait-ce que pour comprendre en profondeur ce que la certification apporte et n’apporte pas en matière de sécurité … et qu’elle ait toute la légitimité pour l’exiger de ses partenaires !

About Philippe Montigny

badge philippe bio

Philippe Montigny is the founder and CEO of ETHIC Intelligence, a leading anti-corruption certification agency that has been certifying companies since 2006. He has over 20 years of experience in anti-corruption compliance, beginning at the Office of the OECD Secretary-General, for which he was involved in the ministerial negotiations that led to the OECD Anti-Bribery Convention in 1997. Philippe Montigny was also a co-drafter of the compliance management system standard (ISO 19600) published in 2014 and of the anti-bribery management system standard (ISO 37001) published in 2016 and served as ISO liaison officer between the two.

Read more ...

Search

Follow Experts

Give us your email to be notified of the latest posts.