Accueil🇫🇷Chercher

ISO 37001

L’ISO 37001 est une norme provenant de l'Organisation internationale de normalisation relative à la lutte contre la corruption[1]. Elle a été adoptée le sur la base d’un travail collaboratif conduit par des délégations de vingt pays[2]. Elle appartient aux corpus des normes dites de systèmes de management, comme l’ISO 9001 ou l’ISO 14001. À ce titre, elle est construite selon la structure HLS (High Level Structure)[3] : cette structure permet d’aborder la norme de façon autonome ou intégrée dans un système de management plus large.

Cette norme a été élaborée sous la responsabilité du Comité technique ISO/TC 309 qui supervise les normes relatives à la gouvernance et à la conformité au sein de l'ISO.

Objectifs

Face aux nombreuses menaces que constituent la corruption — telles que le maintien des inĂ©galitĂ©s et de la pauvretĂ©, les atteintes Ă  la libre concurrence ou les impacts sur la dĂ©mocratie —, les organismes (qu’ils soient privĂ©s ou publics, de grande ou de petite taille) « ont la responsabilitĂ© de contribuer de façon proactive Ă  la lutte contre la corruption Â». Pour ce faire, la norme « dĂ©finit des exigences et fournit des prĂ©conisations pour les systèmes de management conçus pour aider les organismes Ă  prĂ©venir, dĂ©tecter et lutter contre la corruption, et Ă  respecter les lois anti-corruption et leurs engagements volontaires applicables Ă  leurs activitĂ©s. Â»

L’objectif pour les organismes est de bien connaître leur environnement et leurs risques de façon à déployer des procédures efficaces dans le respect des réglementations applicables et dans une logique d’amélioration continue.

Origines

La norme ISO 37001 a été établie à partir du British Standards Institution (BSI) qui a développé le « BS 10500 Anti-Bribery Management System»[4] en lien avec la loi anglaise sur la corruption (UK Bribery Act ) dont la dernière section des lignes directrices admet que la certification d’un programme anti-corruption puisse être considérée comme une « affirmative defense » (défense opposable) au regard du délit de défaut de prévention de la corruption.

A l’initiative du BSI, un groupe de rédaction (Project Committee) comprenant 37 pays, 22 pays observateurs, et 8 organisations de liaison a été constitué sous la présidence Neill Stansbury, directeur du Global Infrastructure Anti-Corruption Center (GIACC)[5]. Il a abouti à la rédaction du standard « ISO 37001 - système de management anti-corruption (2016) » publié par l'ISO en 2016.

Exigences

La norme détaille les étapes auxquelles l’organisme doit répondre pour avoir un système de management anticorruption efficace et notamment :

  • la comprĂ©hension du contexte de l’organisme (contexte, rĂ©glementations applicables et attentes des parties intĂ©ressĂ©es) ;
  • l’élaboration d’un système (dĂ©finition du pĂ©rimètre, formalisation, dĂ©termination d’indicateurs) ;
  • la cartographie des risques de corruption ;
  • le leadership (organe de gouvernance et direction) ;
  • l’élaboration d’une politique anti-corruption et de procĂ©dures dĂ©diĂ©es (notamment sur les cadeaux, marques d’hospitalitĂ©, dons et avantages similaires) ;
  • la dĂ©finition des rĂ´les et responsabilitĂ©s, la dĂ©lĂ©gation de la prise de dĂ©cision ;
  • la nomination d'une fonction de conformitĂ© anti-corruption ;
  • la planification du système (dĂ©termination d’objectifs et des actions et ressources nĂ©cessaires pour les atteindre) ;
  • la sensibilisation et la formation ;
  • les procĂ©dures RH (engagement contractuel Ă  respecter la politique anticorruption, dĂ©clarations de conformité…) ;
  • la gestion des tiers et notamment le principe de diligences raisonnables sur les tiers Ă  risques ;
  • la communication interne et externe ;
  • la documentation du système ;
  • les moyens de contrĂ´les (financiers et non financiers) ;
  • la mise en place d'un dispositif de signalement (ou d'alerte professionnelle) et les garanties apportĂ©es aux auteurs de signalements ou lanceurs d'alerte ;
  • les audits internes ;
  • les revues pĂ©riodiques dans une perspective d’amĂ©lioration continue.

À noter que dans le cas de la France, les exigences définies dans la norme sont très cohérentes avec les huit exigences définies à l'article 17 de la loi Sapin 2 et détaillées dans les Recommandations de l'Agence française anticorruption[6] :

  • un code de conduite, intĂ©grĂ© au règlement intĂ©rieur, dĂ©finissant et illustrant les diffĂ©rents types de comportements Ă  proscrire comme Ă©tant susceptibles de caractĂ©riser des faits de corruption ou de trafic d'influence ;
  • un dispositif d'alerte interne destinĂ© Ă  permettre le recueil des signalements Ă©manant d'employĂ©s et relatifs Ă  l'existence de conduites ou de situations contraires au code de conduite de la sociĂ©tĂ© ;
  • une cartographie des risques prenant la forme d'une documentation rĂ©gulièrement actualisĂ©e et destinĂ©e Ă  identifier, analyser et hiĂ©rarchiser les risques d'exposition de la sociĂ©tĂ© Ă  des sollicitations externes aux fins de corruption, en fonction notamment des secteurs d'activitĂ©s et des zones gĂ©ographiques dans lesquels la sociĂ©tĂ© exerce son activitĂ© ;
  • des procĂ©dures d'Ă©valuation de la situation des clients, fournisseurs de premier rang et intermĂ©diaires au regard de la cartographie des risques ;
  • des procĂ©dures de contrĂ´les comptables, internes ou externes, destinĂ©es Ă  s'assurer que les livres, registres et comptes ne sont pas utilisĂ©s pour masquer des faits de corruption ou de trafic d'influence ;
  • un dispositif de formation destinĂ© aux cadres et aux personnels les plus exposĂ©s aux risques de corruption et de trafic d'influence ;
  • un rĂ©gime disciplinaire permettant de sanctionner les salariĂ©s de la sociĂ©tĂ© en cas de violation du code de conduite de la sociĂ©tĂ© ;
  • un dispositif de contrĂ´le et d'Ă©valuation interne des mesures mises en Ĺ“uvre[7].

Au-delà de la France, l'ISO 37001 est convergente avec les autres législations prévoyant le déploiement de programme anticorruption et notamment le UK Bribery Act[8] et le Foreign Corrupt Practices Act[9] américain[10].

Utilisation

Les normes ISO servent en premier lieu à guider les entreprises dans le déploiement de leurs systèmes de management afin d’obtenir un programme cohérent en ligne avec les bonnes pratiques internationales[11]. À ce titre, l’ISO 37001 propose une méthodologie et un contenu détaillé pour déployer un programme anticorruption exigeant et basé sur les méthodologies éprouvées de l'approche dite de système de management. L'ISO 37001 n'a pas encore été incorporée en tant que norme européenne EN.

Certaines normes ISO, dont l'ISO 37001, permettent en outre une certification par une tierce partie qui apporte une Ă©valuation externe et une lĂ©gitimitĂ© au système mis en Ĺ“uvre. La dĂ©marche de certification permet d’impliquer les personnels, en montrant l’importance apportĂ©e au sujet et en fĂ©dĂ©rant les collaborateurs pour obtenir puis conserver la certification.

Certification

La certification consiste gĂ©nĂ©ralement en un cycle de trois ans, constituĂ© d’une visite initiale suivie d'une surveillance, gĂ©nĂ©ralement annuelle, par un organisme certificateur. Ces audits permettent de vĂ©rifier que le système de management de l’organisme est conforme aux exigences de l’ISO 37001 et qu'il est correctement dĂ©ployĂ© dans la durĂ©e. Ils donnent lieu Ă  l'Ă©mission d'un certificat utilisable par les entreprises certifiĂ©es. Les certificats peuvent alors ĂŞtre valorisĂ©s auprès de diffĂ©rentes parties prenantes : actionnaires, clients, institutions financières, assureurs, agences de notation, investisseurs, etc.

Il n'existe pas de liste des entreprises certifiées ISO 37001 mais plusieurs communiquent publiquement sur leur certification. Par exemple en France : Alstom Transport[12], le groupe Crédit Agricole[13], ou encore le groupe GTT[14]. D'autres entreprises sont certifiées à travers le monde, par exemple en Italie : ENI[15] ou Pirelli, ou au Royaume-Uni : Maybey Bridge[16]. D'autres multinationales telles que Microsoft ont eu des prises de position publiques en faveur de l'ISO 37001[17].

À ce jour, un organisme de certification est accrédité par le COFRAC en France pour réaliser des audits de certifications ISO 37001, EuroCompliance[18].

Histoire

Année Description
2016ISO 37001 (1re Ă©dition)

Notes et références

  1. « ISO 37001 »
  2. Australie, Autriche, Allemagne, Brésil, Canada, Chine, Danemark, Égypte, Équateur, Espagne, États-Unis, France, Guatemala, Malaisie, Mexique, Royaume-Uni, Singapour, Suisse, Suède et Tunisie.
  3. 1. Domaine d’application ; 2. RĂ©fĂ©rences normatives ; 3. Termes et dĂ©finitions ; 4. Contexte de l’organisme ; 5. Leadership ; 6. Planification ; 7. Support ; 8. RĂ©alisation des activitĂ©s opĂ©rationnelles ; 9. Évaluation des performances et 10. AmĂ©lioration.
  4. (en) GIACC, « British Standard BS 10500 Anti-bribery Management System Standard », sur giaccenter.org, (consulté le )
  5. (en) GIACC, « International Standard ISO 37001 Anti-Bribery Management Systems Standard », sur giaccentre.org, 10th april 2020 (consulté le )
  6. AFA, https://www.economie.gouv.fr/files/files/directions_services/afa/2017_-_Recommandations_AFA.pdf, (lire en ligne)
  7. Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, (lire en ligne)
  8. (en) « UK Bribery Act guidance document », (consulté le )
  9. (en) « The FCPA Guide », DOJ,‎ (lire en ligne, consulté le )
  10. Lire en ligne, sur justice.gov.
  11. À noter que l’ISO 37001 n’est pas le premier outil à donner des indications sur ce que doit être un programme anti-corruption. De façon non exhaustive, on peut également citer :
  12. « ISO 37001, la parade d’Alstom contre les risques de corruption », Le Mag Certification,‎ (lire en ligne, consulté le )
  13. « Certification ISO 37001 Crédit agricole », sur credit-agricole.com
  14. « Actualités Q3 2018 »
  15. « Eni becomes the first Italian company to obtain the ISO 37001:2016 Antibribery Management Systems certificate of conformity for its Anti-Corruption Compliance Program », sur eni.com (consulté le )
  16. (en) « Mabey certified to ISO 37001 », sur mabey.com (consulté le )
  17. « Microsoft fait barrage à la corruption »
  18. « Accréditation EuroCompliance », sur cofrac.fr
Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.