Anti-Corruption Certification

To get certified

Depuis sa publication le 14 octobre 2016, le standard ISO 37001 – Système de Management Anti-corruption – a fait l’objet de nombreux commentaires et notamment de critiques qui ne sont pas fondées. Ce post entend répondre à trois critiques fréquemment relevées.

Le standard ISO 37001 ne fait pas référence au FCPA.

Le standard ISO 37001 est un standard universel qui a été élaboré par un groupe de travail, le Comité Technique 309, regroupant des délégations représentant 20 pays (1). Comme standard universel, il ne peut pas privilégier une loi plutôt qu’une autre. S’il ne fait pas référence à la Loi américaine sur les actes de de corruption à l’étranger, le FCPA, il ne fait pas non plus référence au Décret-loi italien 231 ou encore au UK Bribery Act, ni à aucune autre loi.

La section 2 du standard « Références normatives » est très claire sur ce point. Elle est composée d’une seule ligne indiquant « il n’y a pas de référence normative », autrement dit, il n’y a pas UNE référence normative qui s’appliquerait de façon universelle dans tous les pays et à tous les organismes quels qu’ils soient : privé, public ou sans but lucratif.

En revanche, la section 4 (Contexte) de la norme demande explicitement que l’organisme prenne en compte le contexte dans lequel il opère. Plus précisément la section 4.1.h exige que l’organisme identifie et se conforme aux « obligations et devoirs statutaires, réglementaires, contractuels et professionnels applicables ». Autrement dit, une entreprise pour les opérations de laquelle s’appliquerait le FCPA doit impérativement prendre en compte les dispositions de cette loi américaine. De même, une entreprise italienne devra examiner si les obligations du Décret-loi 231 lui sont applicables. Ou encore toute entreprise est invitée à examiner si elle exerce des activités au Royaume Uni afin d’évaluer si le délit de défaut de prévention de la corruption prévu dans le UK Bribery Act peut lui être applicable et auquel cas, elle devra intégrer cette loi anglaise dans son corpus légal de référence.

Allons plus loin, c’est parce qu’il ne fait pas référence au seul FCPA que le standard oblige chaque organisme à examiner toutes les lois anti-corruption qui pourraient lui être applicables selon ses pays d’opérations. A titre d’exemple, une entreprise Mexicaine ayant des Certificats américains de dépôt (ADR), opérant avec une filiale en Espagne qui exporte en Angleterre devra prendre compte respectivement la loi mexicaine sur la responsabilité administrative de juin 2017, le FCPA de 1977, la loi espagnole de juillet 2015 et le UK Bribery Act de 2010.

Ayant participé à l’élaboration de la norme ISO 37001, je peux signaler que le fait que celle-ci ne fasse pas référence explicitement au FCPA n’a posé aucun problème à la délégation américaine, tant il était clair que le point 4.1h, mentionné ci-dessus, y fait référence implicitement pour les organismes qui y seraient assujettis.

Le standard ISO 37001 exige donc explicitement des entreprises auquel le FCPA s’applique de prendre en compte cette loi américaine dans le corpus de référence de leur système anti-corruption.

Le standard ISO 37001 ne fait pas référence aux bonnes pratiques internationales

Le propre des bonnes pratiques internationales en matière de prévention de la corruption est d’être évolutives. Autrement dit, un standard qui ferait référence à telles ou telles bonnes pratiques en vigueur au moment de sa publication serait rapidement dépassé.

Si le standard ISO ne fait pas référence à telles ou telles bonnes pratiques, sa section 4.2 exige que l’organisme identifie i) ses « parties intéressées » et 2) « les exigences de ses parties intéressées ».
Dans son corpus de définition (section 3 de la norme), la définition suivante de partie intéressée, ou partie prenante (3.3) est donnée : « (…) organisme qui peut (…) influer sur une décision ou une activité (…) ». Autrement dit, selon l’exigence 4.2.i des organismes comme l’OCDE, Transparency International ou encore FIDIC (International Federation of Consulting Engineers) sont des parties prenantes qu’une entreprise développant un programme anticorruption doit identifier. Et selon l’exigence 4.2.ii, cette entreprise doit prendre en compte leur lignes directrices si celles-ci-les concernent.

Pour continuer l’exemple précédent, les lignes directrices de l’OCDE, doivent être prise en compte par toutes les entreprises dont le siège est dans un pays signataire de la Convention, les entreprises du secteur de la défense doivent prendre en compte la requête de Transparency International UK de publier des informations sur leur programme anti-corruption et les entreprises du secteur du consulting en ingénierie doivent prendre en compte les lignes directrices du FIDIC pour la sélection des consultants.

Au niveau national, certaines autorités ont émis des recommandations à l’intention des entreprises. Ainsi, une entreprise américaine devra prendre en compte les recommandations émises par le DoJ et la SEC dans le FCPA Resources Guide de 2012, une entreprise anglaise les lignes directrices du UK Bribery Act de 2011 tandis qu’une entreprise française devra prendre en compte les recommandations de l’Agence Française Anti-corruption de 2017/2018.

Le standard ISO 37001 exige donc explicitement que les entreprises identifient et se conforment à toutes les lignes directrices qui leur sont applicables.

ISO 37001 n’est qu’une énumération dont il suffit de cocher les cases

Le nombre d’exigences que contient la norme ISO 37001 est significatif et une première lecture peut donner l’impression qu’il s’agit d’une « liste de course ». Cette lecture rapide omet le fait que les sections 5 à 10 de la norme sont organisées selon les fameuses catégories du « Plan, Do, Check, Act (PDCA) », c’est-à-dire « Planifier, Exécuter, Evaluer, Corriger » caractéristique de tout système de management.

N’oublions pas que la norme ISO 37001 est essentiellement un système de management défini comme un ensemble de processus qui interagissent les uns avec les autres pour permettre à un organisme d’atteindre l’objectif qu’il s’est fixé.

L’impression de « liste de course » de la norme ISO 37001 est caractéristique de tout système de management. Prenons un exemple. Parmi les outils à mettre en œuvre pour prévenir et détecter le risque de corruption, il y a notamment la question de la formation qui est un élément que la norme aborde dans différentes sections mais sous des angles différents.

La question de la formation va être abordée successivement dans les 5 sections suivantes :
- 5-Leadership : décision du management de former les personnels qui peuvent présenter un risque ou qui ont un rôle à jouer en matière de prévention ou de détection de la corruption
- 6-Planification : organisation de la formation. Quand ? Qui ? Comment ? Dans quels délais ?
- 7-Support : quelles ressources sont nécessaires ? Budgétaires ? Humaines ?
- 8-Operations : mise en œuvre des actions de formation selon prévisions du point 6-Planification et avec les ressources détaillées au point 7-Support
- 9-Evaluation : les objectifs fixés par le Management (5-Leadership) ont-il été atteints selon le plan général (6-Planification), les modalités prévues (7-Support) dans le cadre des opérations mises en œuvre (8-Opérations) ?
- 10-Amélioration : prise en compte des résultats du contrôle (9-évaluation) pour améliorer le système de management

Le caractère systématique du standard ISO 37001 permet donc d’éviter que le Système de Management Anti-corruption ne soit lacunaire afin de garantir l’efficacité de son fonctionnement

En conclusion:

Il faut reconnaitre que le standard n’est pas un texte facile lire et que beaucoup de critiques qui sont formulées à son endroit proviennent de cette difficulté de lecture.

Qu’il soit difficile à lire n’est pas une surprise compte tenu des conditions de rédactions, même si le Président et le Secrétaire du Comité Technique 309, respectivement Neil Stansbury et Mike Henigan ont fait un travail d’éditing considérable au fil des réunions. Il ne faut pas oublier en effet que les délégations n’étaient pas toutes anglophones, loin s’en faut. Il ne faut pas sous-estimer non-plus que le Comité était composé de membres venant d’environnement culturel et juridique très divers : Etats-Unis, Chine, Nigéria, Tunisie, France, Guatemala, etc… ce qui a rendu les discussions parfois longues et difficiles. Il faut également se rappeler que le standard a été conçu en des termes qui lui permettent de s’appliquer à tout type d’organisme quel que soit la taille : public, privé ou sans but lucratif

Toujours est-il que la norme ISO 37001, malgré cet abord difficile, est un outil remarquable pour construire, évaluer et faire certifier un système anti-corruption.
Comme toute les normes ISO, l’ISO 37001 fera l’objet d’une évaluation. Il est vraisemblable que cela se traduira par une rédaction plus simple. Comme tous les systèmes de management, les normes ISO sont prévues pouvoir être améliorées au fur et à mesure…

(1) Australie, Autriche, Allemagne, Brésil, Canada, Chine, Danemark, Egypte, Equateur, Espagne, États-Unis, France, Guatemala, Malaisie, Mexique, Royaume-Uni, Singapour, Suisse, Suède et Tunisie.

You want to share an idea:

Search

Follow Experts

Give us your email to be notified of the latest posts.