La certification ISO 37001 n\u2019apporte pas de garantie de conformit\u00e9 r\u00e9glementaire. Seul un repr\u00e9sentant de la justice est en mesure d\u2019\u00e9valuer la pertinence d\u2019un programme anticorruption au regard de la loi. Cependant entrer dans la d\u00e9marche de certification ISO 37001 suppose d\u2019effectuer une veille r\u00e9glementaire et d\u2019identifier les exigences l\u00e9gales applicables \u00e0 l\u2019organisation. Cela permet encore de mettre en place un programme anticorruption en ligne avec les bonnes pratiques internationales telles que d\u00e9finies dans la norme ISO37001 et qui r\u00e9pondent aux diff\u00e9rentes exigences sp\u00e9cifi\u00e9es dans la loi Sapin 2\u00a0:
\n\u00ab\u00a01\u00b0 Un code de conduite d\u00e9finissant et illustrant les diff\u00e9rents types de comportements \u00e0 proscrire comme \u00e9tant susceptibles de caract\u00e9riser des faits de corruption ou de trafic d’influence. Ce code de conduite est int\u00e9gr\u00e9 au r\u00e8glement int\u00e9rieur de l’entreprise et fait l’objet, \u00e0 ce titre, de la proc\u00e9dure de consultation des repr\u00e9sentants du personnel pr\u00e9vue \u00e0 l\u2019article L 1321-4 du Code du travail\u00a0;
\n2\u00b0 Un dispositif d’alerte interne destin\u00e9 \u00e0 permettre le recueil des signalements \u00e9manant d’employ\u00e9s et relatifs \u00e0 l’existence de conduites ou de situations contraires au code de conduite de la soci\u00e9t\u00e9 ;
\n3\u00b0 Une cartographie des risques prenant la forme d’une documentation r\u00e9guli\u00e8rement actualis\u00e9e et destin\u00e9e \u00e0 identifier, analyser et hi\u00e9rarchiser les risques d’exposition de la soci\u00e9t\u00e9 \u00e0 des sollicitations externes aux fins de corruption, en fonction notamment des secteurs d’activit\u00e9s et des zones g\u00e9ographiques dans lesquels la soci\u00e9t\u00e9 exerce son activit\u00e9 ;
\n4\u00b0 Des proc\u00e9dures d’\u00e9valuation de la situation des clients, fournisseurs de premier rang et interm\u00e9diaires au regard de la cartographie des risques ;
\n5\u00b0 Des proc\u00e9dures de contr\u00f4les comptables, internes ou externes, destin\u00e9es \u00e0 s’assurer que les livres, registres et comptes ne sont pas utilis\u00e9s pour masquer des faits de corruption ou de trafic d’influence. Ces contr\u00f4les peuvent \u00eatre r\u00e9alis\u00e9s soit par les services de contr\u00f4le comptable et financier propres \u00e0 la soci\u00e9t\u00e9, soit en ayant recours \u00e0 un auditeur externe \u00e0 l’occasion de l’accomplissement des audits de certification de comptes pr\u00e9vus \u00e0 l’article L. 823-9 du Code de commerce ;
\n6\u00b0 Un dispositif de formation destin\u00e9 aux cadres et aux personnels les plus expos\u00e9s aux risques de corruption et de trafic d’influence ;
\n7\u00b0 Un r\u00e9gime disciplinaire permettant de sanctionner les salari\u00e9s de la soci\u00e9t\u00e9 en cas de violation du code de conduite de la soci\u00e9t\u00e9 ;
\n8\u00b0 Un dispositif de contr\u00f4le et d’\u00e9valuation interne des mesures mises en \u0153uvre.\u00a0\u00bb (Titre I, Chapitre 3, article 17).<\/p>\n
A la diff\u00e9rence de la loi Sapin II dont les exigences visent les entreprises de plus de 500 employ\u00e9s et 100M\u20ac de chiffre d\u2019affaires consolid\u00e9, la certification ISO37001 s\u2019applique \u00e0 des organisations de toutes tailles et de tout secteur d\u2019activit\u00e9. Un programme anticorruption n\u00e9cessitant de s\u2019assurer du respect de la politique anticorruption par les employ\u00e9s mais aussi par les tiers (partenaires, sous-traitants, fournisseurs etc.), l\u2019objectif est de favoriser le d\u00e9ploiement de programmes anticorruption tout au long de la cha\u00eene d\u2019approvisionnement. La certification ISO37001 peut m\u00eame \u00eatre un atout diff\u00e9renciant et un avantage comp\u00e9titif pour les petites organisations, afin de d\u00e9montrer leurs engagements et la maturit\u00e9 de leurs programmes aux grands donneurs d\u2019ordres.<\/p>\n
La norme ISO37001\u00a0:2016 stipule qu\u2019elle s\u2019applique \u00e0 tout type d\u2019organisation y compris publique\u00a0: \u00ab\u00a0Les exigences du pr\u00e9sent document [la norme ISO37001\u00a0:2016] sont g\u00e9n\u00e9riques et destin\u00e9es \u00e0 s\u2019appliquer \u00e0 tous les organismes (ou parties d\u2019organisme), ind\u00e9pendamment du type, de la taille et de la nature de l\u2019activit\u00e9, qu\u2019ils \u00e9voluent dans le secteur public, priv\u00e9 ou \u00e0 but non lucratif.\u00a0\u00bb (Section 1). De la m\u00eame fa\u00e7on, la loi Sapin II insiste sur l\u2019exigence de probit\u00e9 des collectivit\u00e9s publiques. L\u2019important est d\u2019identifier les enjeux et les risques auxquels l\u2019organisation est expos\u00e9e et de s\u2019assurer que des actions sont d\u00e9ploy\u00e9es pour minimiser ces risques \u00e0 leur minimum. L\u00e0 o\u00f9 une entreprise du secteur priv\u00e9 est plus expos\u00e9e au risque de corruption active, les organisations publiques sont plus expos\u00e9es au risque de corruption passive. Les principes fondateurs d\u2019un programme anticorruption\u00a0(cartographie des risques, d\u00e9finition des responsabilit\u00e9s, d\u00e9termination de moyens ad\u00e9quats, sensibilisation et formation, proc\u00e9dures, contr\u00f4les, audits internes, revues de direction\u2026) restent identiques.<\/p>\n
L\u2019audit de certification n\u2019a pas de lien avec l\u2019audit financier. L\u00e0 o\u00f9 l\u2019audit financier vise \u00e0 examiner les \u00e9tats financiers pour v\u00e9rifier leur sinc\u00e9rit\u00e9 et leur exactitude afin de certifier les comptes de l\u2019entreprise, l\u2019audit de certification anticorruption est enti\u00e8rement cibl\u00e9 sur le syst\u00e8me de management anticorruption de l\u2019entreprise. L\u2019audit de syst\u00e8me de management vise \u00e0 v\u00e9rifier l\u2019ad\u00e9quation du programme anticorruption de l\u2019organisation avec les exigences d\u00e9crites dans la norme ISO37001\u00a0:2016. Cependant dans le cadre de l\u2019audit du syst\u00e8me de management anticorruption, il est pertinent de v\u00e9rifier si l\u2019organisation dispose des contr\u00f4les financiers et des audits financiers ad\u00e9quats.<\/p>\n
L\u2019investigation porte sur des soup\u00e7ons s\u00e9rieux de fraudes financi\u00e8res et comptables. Elle vise \u00e0 \u00e9tablir des faits pour confirmer ou infirmer lesdits soup\u00e7ons, reconstituer le cas \u00e9ch\u00e9ant le sch\u00e9ma frauduleux et collecter des preuves (g\u00e9n\u00e9ralement dans une perspective d\u2019action judiciaire). Un audit de syst\u00e8me de management ne vise en aucune fa\u00e7on \u00e0 identifier des fraudes ou m\u00eame des entorses au syst\u00e8me de management anticorruption. L\u2019objet est de v\u00e9rifier que la politique anticorruption est correctement d\u00e9ploy\u00e9e dans une logique d\u2019am\u00e9lioration continue, bas\u00e9e en particulier sur des audits internes et des revues de direction. Cependant il est n\u00e9cessaire dans le cadre d\u2019un programme anticorruption de d\u00e9ployer une investigation, interne ou externe, en cas de soup\u00e7on s\u00e9rieux de fraude et d\u2019engager les actions n\u00e9cessaires sur la base des conclusions de l\u2019investigation.<\/p>\n
Selon la norme ISO37001\u00a0:2016\u00a0:\u00a0\u00ab\u00a0Le syst\u00e8me de management anticorruption doit contenir des indicateurs con\u00e7us pour identifier et \u00e9valuer le risque de corruption, ainsi que pour pr\u00e9venir et d\u00e9tecter les actes de corruption et y rem\u00e9dier. Note. Il n\u2019est pas possible d\u2019\u00e9liminer compl\u00e8tement le risque de corruption et aucun syst\u00e8me de management anticorruption ne sera capable de pr\u00e9venir et de d\u00e9tecter toutes les formes de corruption.\u00a0\u00bb (4.4). Un syst\u00e8me de management vise \u00e0 r\u00e9duire les risques mais ne peut les \u00e9liminer totalement. Un acte de corruption ou une violation de la politique anticorruption n\u2019impliquent pas la perte de la certification de fa\u00e7on syst\u00e9matique. Toutefois l\u2019organisme doit d\u00e9montrer sa capacit\u00e9 \u00e0 conduire une analyse des causes, \u00e0 sanctionner et \u00e0 mettre en \u0153uvre des actions pr\u00e9ventives \u00e0 la hauteur du probl\u00e8me identifi\u00e9. En l\u2019absence de r\u00e9ponse ad\u00e9quate de l\u2019organisme, la certification peut \u00eatre suspendue ou retir\u00e9e.<\/p>\n
Une organisation peut avoir un programme anticorruption de qualit\u00e9, construit dans une logique d\u2019am\u00e9lioration continue, sans le faire certifier. Toutefois la certification ISO37001 apporte de nombreux b\u00e9n\u00e9fices. Parmi eux, le premier est d\u2019avoir une revue critique ext\u00e9rieure sur les dispositifs mis en \u0153uvre, dans une logique d\u2019\u00e9valuation par un tiers ind\u00e9pendant et impartial. Le deuxi\u00e8me est de pouvoir attester, aupr\u00e8s des diff\u00e9rentes parties prenantes\u00a0(clients, assureurs, organismes financiers, institutions internationales, agences de notations\u2026), de la maturit\u00e9 du programme anticorruption d\u00e9ploy\u00e9. Enfin la publicit\u00e9 de la d\u00e9marche de certification contribue \u00e0 afficher la d\u00e9termination de l\u2019entreprise et de l\u2019engagement au plus haut niveau de la hi\u00e9rarchie ou \u2018tone from the top\u2019, eux-m\u00eames constitutifs d\u2019un programme anticorruption solide.<\/p>\n","protected":false},"excerpt":{"rendered":"