Anti-Corruption Certification

To get certified

Dès l’introduction du standard, ISO 37001 « anti-bribery Management System » il est précisé que « This document specifies the implementation by the organization of policies and procedures and controls which are reasonable and proportionate “. Deux lignes plus loin, il est souligné que “this document can help the organization implement reasonable and proportionate measures designed to prevent, detect and respond to bribery”.

L’usage récurrent des mots proportionnel, approprié, raisonnable et adéquat(e) est paradoxal étant donné qu’il s’agit ... Pourtant, leur usage permet une certaine flexibilité.

Pourquoi cette flexibilité ? quels en sont les avantages ? et quel type difficulté cela peut-il poser ?

Pourquoi une norme aussi flexible ?

Pour avoir participé pendant près de quatre ans aux réunions du Pilot Committee (PC 278) depuis l’origine, je peux confirmer que l’une des préoccupations constantes des délégués a été de concevoir un standard qui puisse être accessible à tout type d’organisation et de toute taille.

Il fallait concevoir un standard unique qui puisse satisfaire des attentes différentes.

Il fallait permettre à une très grande entreprise, hautement exposée au risque de corruption, engagée dans un grand nombre de pays et dans des opérations commerciales complexes de pouvoir s’assurer que son Anti-Bribery Management System lui permettait effectivement « to avoid or mitigate the costs, risks and damages of involvement in Bribery ».

Mais il fallait aussi permettre à une petite entreprise ayant le même souci de maitriser son risque de corruption de pouvoir concevoir et faire certifier un Bribery Management System proportionnel à sa taille et à son mode d’organisation.
En cela le standard ISO 37001 s’inscrit parfaitement dans la philosophie de l’UK Bribery Act et de sa Guidance qui depuis 2011 demande aux entreprises de se doter de « procédures adéquates ». Le fait que notre Groupe de travail ait été présidé par un Britannique, Neill Stansbury et que le secrétariat ait été assuré par le British Standard Institutions n’est bien sûr pas étranger à cet état de fait.


Quels sont les avantages d’un Anti-Bribery Management System qui est « Raisonnable et approprié » ?

Tout d’abord ce caractère « Raisonnable et approprié » c’est la reconnaissance que “No one size fits all”. Mais c’est surtout la reconnaissance que l’efficacité d’un Anti-Bribery Management System est en grande partie liée à son caractère adéquat au regard du risque spécifique de l’entreprise et de son business model. Dit autrement, c’est la reconnaissance qu’un système disproportionné, c’est-à-dire trop lourd ou trop léger n’est pas adéquat.

  • Le premier avantage est que toute organisation peut se doter d’un anti-bribery Management System qui soit certifiable. Ni la petite taille de l’entreprise, ni des ressources souvent plus limitées qu’elle peut consacrer à la gestion tel système ne peuvent être des obstacles. Il suffit que son système de management soit « raisonnable et approprié »
  • Le deuxième avantage est que cela conduit l’entreprise à faire un travail en profondeur en amont de toute mise en place ou certification d’un Anti-Bribery Management System sur ce qui est « raisonnable et approprié » pour elle. Pour cela, elle doit identifier et mesurer son risque de corruption pour définir elle-même le système de prévention et de contrôle qui lui soit le plus approprié. Elle doit en quelque sorte s’approprier le système de management requis. La compliance n’est pas un ensemble de règle que l’on applique, mais un mode de management intégré dans le business.

 En cela, le standard ISO 37001 est vraiment un standard de la famille des normes de management : il demande que l’entreprise définisse pour un contexte et un risque donné (section 4) les actions à mettre en œuvre (sections 6, 7 et 8) pour en évaluer l’efficacité (section 9) et en tirer les conséquence pour une amélioration progressive du système (section 10).

Comme tous les standards de management, l’ISO 37001 invite l’entreprise à entrer dans un cercle vertueux d’amélioration de son Anti-Bribery Management System


Quelles sont les difficultés que pose un Anti Bribery Management System qui est « Raisonnable et approprié » ?

La première difficulté vient justement de l’appréciation de ce qui est raisonnable et approprié. Le risque de corruption peut être apprécié différemment selon les individus, ou les pays. Comme toute appréciation il peut y avoir une dimension subjective. Une prise en compte trop faible du risque de corruption conduira à un Anti-Bribery Management System objectivement non approprié. De plus une méconnaissance des bonnes pratiques en matière de prévention de la corruption se traduira par des outils de prévention objectivement non appropriés.

Même si la conformité anti-corruption n’existe que depuis quelques dizaines d’années, il existe aujourd’hui un corpus d’expertise solide portant autant sur l’identification et l’évaluation des risques que sur la conception des outils de prévention ou de détection. Il revient à l’entreprise d’aller chercher cette expertise. Pour les petites organisations, il existe beaucoup de littérature accessible aisément que ce soit sur le net ou par le biais de conférence et de formation spécialisées. Pour les organisations plus grandes, et donc souvent plus complexes, et engageant des opérations plus risquées, nombreux sont les cabinets de conseils et d’avocats qui disposent maintenant d’une expertise solide et qui - passant d’une entreprise à l’autre - sont de réels vecteurs de bonnes pratiques.

La deuxième difficulté vient précisément du fait qu’il s’agit d’une norme certifiable. Il revient à l’auditeur d’apprécier à son tour si ce que l’entreprise a jugé être raisonnable et approprié est bel et bien raisonnable et approprié. En étant caricatural, une entreprise qui a mal apprécié son risque de corruption – et donc qui a développé un système de management non approprié, pourra être certifiée par un auditeur manquant de compétence en matière d’anti-corruption. Cet auditeur n’ayant pas l’expertise suffisante pour évaluer soit le risque de corruption, soit le caractère approprié du système de management attribuera à tort une certification, là ou un auditeur expérimenté l’aurait refusé.
Pour pallier ce risque notre Comité de Pilotage PC 278 a chargé un sous-comité de compléter le standard ISO 17021, par une section 9, qui s’applique aux organismes certificateurs afin que ceux exige de leurs auditeurs une expertise en matière de prévention et de détection de la corruption.

Il reviendra donc aux entreprises souhaitant se faire certifier, et plus encore pour celles souhaitant que leurs tierces parties se fassent certifier selon l’ISO 37001, de vérifier les compétences en matière d’anti-corruption de leurs auditeurs.

Comme pour les normes de management la qualité de la certification est liée à l’expertise et à la rigueur de l’organisme certification. A ceci près que la norme ISO 37001 porte sur un système de prévention de la corruption dont la défaillance est lourdement sanctionnée pénalement… Opter pour un organisme de certification qui n’offre pas les meilleures garanties, c’est prendre le risque d’avoir une fausse assurance sur la qualité de son système anti-corruption et d’en payer plus tard le prix !

About Philippe Montigny

badge philippe bio

Philippe Montigny is the founder of ETHIC Intelligence, a leading anti-corruption certification agency that has been certifying companies since 2006. He is currently the Chairman of the Technical and Impartiality committees and has over 20 years of experience in anti-corruption compliance, beginning at the Office of the OECD Secretary-General, for which he was involved in the ministerial negotiations that led to the OECD Anti-Bribery Convention in 1997. Philippe Montigny was also a co-drafter of the compliance management system standard (ISO 19600) published in 2014 and of the anti-bribery management system standard (ISO 37001) published in 2016 and served as ISO liaison officer between the two.

Read more ...

Search

Follow Experts

Give us your email to be notified of the latest posts.