FAQ

La certification ISO 37001 n’apporte pas de garantie de conformité réglementaire. Seul un représentant de la justice est en mesure d’évaluer la pertinence d’un programme anticorruption au regard de la loi. Cependant entrer dans la démarche de certification ISO 37001 suppose d’identifier les exigences réglementaires applicables à l’organisation (par exemple les articles 8, 17 et 25 de la loi Sapin 2, le UK Bribery Act, le FCPA mais aussi toute règle nationale et/ou sectorielle) et de déterminer les attentes des parties prenantes (AFA, autorités de tutelles, Global Compact, ONG, organisations professionnelles, agences de notations etc.).

De plus, la norme ISO37001 propose une méthodologie éprouvée pour déployer un programme anticorruption en ligne avec les bonnes pratiques internationales. En cohérence avec l’article 17 de la loi Sapin 2, l’ISO37001 prévoit l’implication de la direction, une cartographie des risques, la sensibilisation et la formation des collaborateurs, des règles et procédures pour les transactions à risques, la due diligence des tiers, un dispositif d’alerte, le déploiement de contrôles et d’audits internes. La certification apporte une aide particulière en matière d’organisation (gouvernance); de documentation et d’évaluation de l’effectivité des mesures déployées via la revue de direction. Elle permet également de s’inscrire dans une logique d’amélioration continue fondée sur l’écoute des parties prenantes et l’évaluation de la maîtrise du système (en interne et via les audits externes nécessaires à la démarche de certification).

Une organisation peut avoir un programme anticorruption de qualité, construit dans une logique d’amélioration continue, sans le faire certifier. Toutefois la certification ISO 37001 apporte de nombreux bénéfices. Parmi eux, le premier est d’avoir une revue critique extérieure sur les dispositifs mis en œuvre par un tiers indépendant et impartial. Le deuxième est de pouvoir attester, auprès des différentes parties prenantes (clients, assureurs, organismes financiers, institutions internationales, agences de notations…), de la maturité du programme anticorruption déployé. Enfin la publicité de la démarche de certification contribue à afficher la détermination de l’entreprise et l’engagement au plus haut niveau de la hiérarchie ou ‘tone from the top’, eux-mêmes constitutifs d’un programme anticorruption solide.

A la différence de la loi Sapin 2 dont les exigences visent les entreprises de plus de 500 employés et 100M€ de chiffre d’affaires consolidé, la certification ISO 37001 s’applique à des organisations de toutes tailles et de tout secteur d’activité. Un programme anticorruption nécessitant de s’assurer du respect de la politique anticorruption par les employés mais aussi par les tiers (partenaires, sous-traitants, fournisseurs etc.), l’objectif est de favoriser le déploiement de programmes anticorruption tout au long de la chaîne d’approvisionnement. La certification ISO 37001 peut même être un atout différenciant et un avantage compétitif pour les petites organisations, afin de démontrer leurs engagements et la maturité de leurs programmes aux grands donneurs d’ordres.

La norme ISO 37001 stipule qu’elle s’applique à tout type d’organisation y compris publique : « Les exigences du présent document [la norme ISO 37001] sont génériques et destinées à s’appliquer à tous les organismes (ou parties d’organisme), indépendamment du type, de la taille et de la nature de l’activité, qu’ils évoluent dans le secteur public, privé ou à but non lucratif. » (Section 1). De la même façon, la loi Sapin 2 insiste sur l’exigence de probité des collectivités publiques. L’important est d’identifier les enjeux et les risques auxquels l’organisation est exposée et de s’assurer que des actions sont déployées pour minimiser ces risques à leur minimum. Là où une entreprise du secteur privé est plus exposée au risque de corruption active, les organisations publiques sont plus exposées au risque de corruption passive. Les principes fondateurs d’un programme anticorruption (cartographie des risques, définition des responsabilités, détermination de moyens adéquats, sensibilisation et formation, procédures, contrôles, audits internes, revues de direction…) restent identiques.

Les organismes certifiés ISO 37001 s’engagent à traiter les plaintes et alertes qui leur sont adressées quant au respect de leur politique anticorruption. A ce titre, nous recommandons, en cas de doute sérieux et de bonne foi, à l’encontre d’un organisme certifié, de s’adresser directement à ce dernier afin qu’il traite l’information selon son dispositif interne de suivi des plaintes et alertes.

Toutefois, si pour des raisons particulières (confidentialité etc.), vous ne souhaitez pas vous adresser directement à l’organisme, EuroCompliance peut traiter les plaintes à l’égard des organismes qu’elle certifie. Dans une telle situation, EuroCompliance interpelle son client afin qu’il puisse traiter l’alerte selon son propre dispositif interne. EuroCompliance sollicite également l’organisme pour s’assurer que la plainte a été traitée de façon satisfaisante. Ceci peut conduire à des échanges ou audits complémentaires. En revanche EuroCompliance n’a ni l’autorité ni la volonté de mener une enquête relative à des faits de corruption. L’objectif est d’évaluer l’efficacité du système à traiter des dysfonctionnements et non de traiter les dysfonctionnements eux-mêmes.

L’audit de certification n’a pas de lien avec l’audit financier. Là où l’audit financier vise à examiner les états financiers pour vérifier leur sincérité et leur exactitude afin de certifier les comptes de l’entreprise, l’audit de certification anticorruption est entièrement ciblé sur le système de management anticorruption de l’entreprise. L’audit de système de management vise à vérifier l’adéquation du programme anticorruption de l’organisation avec les exigences décrites dans la norme ISO 37001. Cependant dans le cadre d’un système de management anticorruption, il efficace, l’organisation doit se doter de contrôles financiers et d’audits financiers adéquats, en lien avec le niveau de risque des transactions et flux financiers.

L’investigation porte sur des soupçons sérieux de fraudes financières et comptables. Elle vise à établir des faits pour confirmer ou infirmer lesdits soupçons, reconstituer le cas échéant le schéma frauduleux et collecter des preuves (généralement dans une perspective d’action judiciaire). Un audit de système de management ne vise en aucune façon à identifier des fraudes. L’objet est de vérifier que la politique anticorruption est cohérente avec les risques de l’organisme et correctement déployée dans une logique d’amélioration continue.

Toutefois il est nécessaire dans le cadre d’un programme anticorruption de déployer une investigation, interne ou externe, en cas de soupçon sérieux de fraude et d’engager les actions nécessaires sur la base des conclusions de l’investigation.

Selon la norme ISO37001 : « Le système de management anticorruption doit contenir des indicateurs conçus pour identifier et évaluer le risque de corruption, ainsi que pour prévenir et détecter les actes de corruption et y remédier. Note.  Il n’est pas possible d’éliminer complètement le risque de corruption et aucun système de management anticorruption ne sera capable de prévenir et de détecter toutes les formes de corruption. » (4.4). Un système de management vise à réduire les risques mais ne peut les éliminer totalement. Un acte de corruption ou une violation de la politique anticorruption n’impliquent pas la perte de la certification de façon automatique. Toutefois l’organisme doit démontrer sa capacité à conduire une analyse des causes, à sanctionner et à mettre en œuvre des actions préventives à la hauteur du problème identifié. En l’absence de réponse adéquate, la certification peut être suspendue ou retirée.