Anti-Corruption Certification

To get certified

Pour les spécialistes de la conformité de l’époque, la publication des lignes directrices du UK Bribery Act en 2011 a été une révolution.

Pour la première fois les autorités d’un pays considéraient que définissait un bon programme anti-corruption était son « caractère approprié ». La question des procédures proportionnées (Principe n°1) est en effet centrale dans l’architecture des lignes directrices britanniques. Pourquoi ce fut une révolution ? Parce qu’auparavant faute de directives claires le compliance officer ne savait pas jusqu’où il lui fallait développer son programme anti-corruption. Le risque était à la surenchère pour être certain qu’un juge ne viendrait pas remettre en cause le programme de conformité en le considérant comme insuffisant et donc traduisant le laxisme de la direction en matière de prévention de la corruption.

L’approche britannique a fait maintenant jurisprudence et tout le monde considère qu’un programme doit être approprié à l’entreprise et à son activité. Ce faisant les autorités attendent dorénavant de l’entreprise qu’elle démontre le caractère approprié de leur programme. La charge de la preuve, en quelque sorte, revient à l’entreprise. La mission du responsable conformité est donc non seulement de concevoir un programme anti-corruption approprié mais de pouvoir démontrer qu’il est effectivement approprié ! Et il doit pouvoir le démontrer aussi bien à la direction générale… qu’éventuellement aux autorités de poursuites.

En respectant les exigences de l’ISO 37001, le responsable conformité construira un programme spécifiquement approprié aux besoins de l’entreprise. Et s’il le fait ensuite certifier, alors il sera en mesure de démontrer aussi bien à sa direction générale qu’aux autorités que son programme est approprié.

En effet la force du standard ISO 37001 est de considère que « Le système de gestion anti-corruption doit être raisonnable et proportionné » (section 4.4). Pour ce faire le standard établit trois exigences préalables qui si elles sont remplies rigoureusement assureront le caractère approprié du programme. La première et la dernière exigence sont propres à tous les standards de management, la seconde est spécifique au standard anti-corruption.


1. Un standard approprié à la spécificité de l’entreprise.

Le standard ISO 37001 s’ouvre sur la section 4 « contexte de l’organisation » et tout particulièrement sur la sous-section 4.1 qui demande que l’entreprise « détermine les enjeux externes et internes pertinents (…) qui influent sur sa capacité à atteindre les objectifs de son système de management anti-corruption ». 

Autrement dit l’entreprise doit déterminer ce qui dans son organisation, son business model présente un enjeux pour son programme anti-corruption : son activité de vente, d’achat, ses relations avec les administrations, son recours à des tierces parties…. Elle doit également identifier les obligations légales qui s’imposent à elle en matière de prévention de la corruption : certain pays ne se contentent pas de pénaliser la corruption mais formulent également des recommandations – facultatives pour certains, obligatoires pour d’autres - à leur intention. Par exemple une entreprise américaine devra prendre en compte la section 8 des US Federal Sentencing Guidelines et si elle a une filiale en Italie et une autre au Brésil, la première devra de surcroit prendre en compte le décret loi 231 italien et la seconde la loi mexicaine sur la responsabilité administrative de juin 2017.
Autrement dit le préalable à un programme anti-corruption est l’analyse de tout ce qui – pour une entreprise donnée – présente un enjeu en lien avec la corruption et auquel le programme anti-corruption devra répondre de façon «appropriée».

2. Un standard basé sur le risque de corruption

Le standard ISO 37001 est un standard de la famille des systèmes de management et plusieurs de ces exigences sont communes aux autres standards comme par exemple l’ISO 9001 pour la qualité ou l’ISO 14001 pour l’environnement. En revanche c’est le seul standard à avoir une section portant sur l’évaluation du risque, en l’occurrence du risque de corruption.

La section 4.5 de l’ISO 37001, demande en effet que l’entreprise « procède à une évaluation régulière de son risque de corruption (…) qu’elle les identifie, (…) analyse, évalue et hiérarchise (…). » ; et cela dans le but “d’évaluer l’adéquation et l’efficacité des moyens de contrôle mis en place pour maitriser ces risques de corruption (…). »

La section 4.5 fait de l’évaluation du risque de corruption la colonne vertébrale d’un programme anti-corruption, ce qui correspond précisément à ce qu’attendent les autorités. En effet dans la suite du standard, on observe que cette évaluation du risque est ce qui permet de décider si une procédure anti-corruption est nécessaire ou non. A chaque fois que l’évaluation du risque de corruption met en évidence un risque supérieur à faible, l’entreprise doit y répondre par une mesure appropriée.

Par exemple, la section 8.2 demande que l’entreprise mette en œuvre des due diligences raisonnables dès lors que :
a) des catégories spécifiques de transactions, projets ou activités,
b) des relations actuelles ou planifiées avec des catégories spécifiques de partenaires commerciaux, ou
c) des catégories spécifiques de personnel occupant certains postes.
présentent un risque supérieur à faible.

En identifiant tous les risques supérieurs à faible, le responsable conformité sait qu’il doit, pour chacun d’eux, mettre en place un système de prévention approprié.


3. Un standard qui fait du contrôle un moteur constant d’amélioration

Comme tous les standards ISO de la famille des systèmes de management, l’ISO 37001 accorde une part importante à l’évaluation et au contrôle.

Cette préoccupation est visible dès la section 6 consacrée à la planification des actions à mener pour conduire le programme anti-corruption. L’entreprise est en effet invitée à programmer ses actions sous forme d’objectifs quantifiables. Dès lors que ces objectifs sont mesurables, il est possible de vérifier s’ils ont été atteints. Par exemple l’entreprise pourra prévoir que la première année toutes les tierces parties présentant un risque très élevé fassent l’objet de due diligence, toutes celles qui présentent significativement élevé la seconde année et enfin toutes les tierces parties qui présentent un risque élevé la dernière.

L’évaluation annuelle permettra de vérifier que ces objectifs ont été atteints. Et s’ils ne l’ont pas été atteints l’évaluation permettra d’en identifier les causes pour y remédier. Si par exemple, l’objectif de due diligence n’a pas été atteint en année 1 parce que l’entreprise vient de lancer de nouvelles opérations nécessitant l’engagement de nombreuses tierces parties, on regardera quelles sont les ressources additionnelles prévues en année 2 par la direction générale pour atteindre cet objectif afin que le système de management anti-corruption reste approprié au regard des opérations de l’entreprise.

La section 9 « évaluation des performance » précède la dixième et dernière section « amélioration ». Autrement dit le standard prévoit structurellement un système d’amélioration continue afin que celui reste constamment approprié aux besoins de l’entreprises quelque soit les changements qui pourraient affecter celle-ci en termes d’organisation, d’activité ou de business model.


4. La certification : une assurance que le système anti-corruption est approprié

En procédant à la certification de son système de gestion anti-corruption, la direction générale s’assure que les moyens mis en œuvre pour prévenir la corruption sont appropriés. Appropriés à l’évolution du cadre légal de ses juridictions d’opérations, appropriés à son organisation spécifique et appropriés à son risque de corruption y compris si celui-ci vient à se modifier au fur et à mesure des changement affectant l’activité de l’entreprise.

La certification d’un système anti-corruption permet de vérifier que les moyens alloués à la conformité anti-corruption sont appropriés : ni insuffisants… ni inutilement lourds. En d’autres termes, la certification permet d’assurer une utilisation optimale des ressources de l’entreprise.

Le standard consacre dans ses lignes directrices toute une section à la notion de programme « raisonnable et approprié » (section A 3) et l’introduction est à ce sujet très claire :
« Les organismes ne peuvent pas mettre en place des mesures trop coûteuses, trop fastidieuses et trop bureaucratiques qu’ils ne pourraient pas financièrement se permettre ou qui entraîneraient l’interruption de leurs activités, tandis que des mesures trop simples et inefficaces seraient synonymes de porte ouverte à la corruption. Les mesures doivent être appropriées au risque de corruption et il convient qu’elles soient raisonnablement efficaces pour atteindre leur objectif de prévention et de détection de la corruption, et de lutte contre celle-ci »

Le caractère « raisonnable et approprié » crée en revanche une difficulté particulière pour les organismes de certification. L’analyse que fait l’entreprise du contexte ses opérations et de son cadre légal, l’évaluation qu’elle fait de son risque de corruption et des moyens de prévention, requiert de l’auditeur une expertise particulière en matière de prévention de la corruption. C’est la raison pour laquelle j’ai fait partie de ceux qui, au sein du Comité de rédaction du standard 37001, ont considéré que la certification de la norme ISO 37001 devait être réalisée uniquement par des auditeurs ayant une expérience attestée dans ce domaine. Dans cette perspective, un sous-groupe de travail a rédigé la norme ISO 17021.9 à l’intention des organismes certificateurs qui précise les compétences requises par les auditeurs procédant à la certification de l’ISO 37001.

Ce dernier élément peut paraitre anecdotique mais il est fondamental pour que la certification fournisse l’assurance que le système anti-corruption de l’entreprise est véritablement approprié aux besoins de l’organisation.
Plus encore que pour les autres certifications ISO, c’est la réputation de l’organisme certificateur qui fait la valeur du certificat ISO 37001. En l’occurrence c’est l’expertise des auditeurs en matière de programme anti-corruption qui permet d’offrir au responsable conformité et à sa direction générale la garantie que dispositif anti-corruption est approprié aux besoins de l’entreprise. Nul doute que si un dossier de certification devait être examiné par un juge, la qualification de l’organisme certificateur et l’expérience de ces auditeurs serait pris en compte pour apprécier la sincérité de l’entreprise dans sa démarche de certification.

You want to share an idea:

Search

Follow Experts

Give us your email to be notified of the latest posts.