La norme ISO 37001 « Systèmes de management anticorruption », publiée le 15 octobre 2016, offre aux entreprises un cadre pour mettre en place un système de management anti-corruption. Cette norme prévoit diverses mesures permettant aux entreprises de prévenir et détecter les actes de corruption ainsi que d’y répondre. 

Cette norme internationale devrait rapidement devenir incontournable pour les entreprises et les investisseurs. 

Quel est le champ d’application de la norme ISO 37001 ?

Cette norme est conçue pour tous types d’entreprise quelle que soit leur taille et permet de prévenir les risques de corruption d’agents publics comme de personnes privées. 

Elle vise les actes de corruption active commis par l’entreprise, son personnel ou ses partenaires commerciaux intervenant pour son compte, comme les actes de corruption passive, dont l’entreprise est la cible.

La norme définit les bonnes pratiques, procédures et contrôles pouvant être mis en place pour faire face au risque de corruption. Elle inclut des lignes directrices pour la mise en œuvre de ces mesures. 

Quelles sont les exigences de la norme ISO 37001 ?

Leadership et engagement de la direction 

​La direction doit notamment : 

  • mettre en œuvre un système de management anticorruption correspondant à la stratégie, la taille et les ressources de l’entreprise ;
  • superviser son intégration au sein de l’entreprise ;
  • transmettre un message fort de tolérance zéro et définir les responsabilités à tous les niveaux.

Département Compliance

Ce département doit notamment : 

  • être conduit par une ou plusieurs personnes compétentes et indépendantes de la direction ;
  • être doté en ressources suffisantes ;
  • superviser la définition et la mise en œuvre du système de management anti-corruption ;
  • superviser la définition et la mise en œuvre du système de management anti-corruption ;
  • rendre compte à la direction de l’efficacité du système de management anti-corruption.

Evaluation des risques anti-corruption 

Afin d’établir une cartographie des risques et avant de mettre en place des diligences raisonnables et adaptées, l’entreprise doit les identifier et en apprécier la nature et l’étendue, au vu notamment de ses projets, activités, transactions, et partenaires commerciaux.

Adoption d’une politique anti-corruption

Cette politique doit notamment :  

  • imposer le respect des réglementations anti-corruption applicables ;
  • être adaptée à l’entreprise et communiquée dans une langue accessible aux employés et partenaires commerciaux ;
  • prévoir la mise en œuvre de procédures propres à prévenir les actes de corruption ;
  • encourager le signalement de situations illicites ou à risque et garantir la protection des lanceurs d’alerte ;
  • indiquer les conséquences en cas de non-respect de la politique anti-corruption

Personnel – information, sanctions et absence de pénalités en cas de dénonciation

L’entreprise doit : 

  • remettre à chaque nouveau salarié un exemplaire de la politique anti-corruption ;
  • mettre en place des procédures permettant de prendre les mesures disciplinaires appropriées en cas de non-respect de la politique anti-corruption ;
  • prévoir l’absence de représailles en cas de dénonciation ;
  • mettre en place des procédures prévoyant que les primes d’objectifs n’encouragent pas la corruption.

Sensibilisation et formation 

L’entreprise doit mettre en place des formations sur :  

  • la réglementation anti-corruption ;
  • les risques de corruption ;
  • la politique et les procédures permettant de prévenir ces risques ;
  • l’importance de la contribution du personnel à l’efficacité du système de management anti-corruption ;
  • les conséquences du non-respect des exigences ;
  • la procédure de signalement.

Signalements

Les procédures de signalement doivent permettre de : 

  • rapporter au Département Compliance les cas de corruption avérés ou suspectés, les violations ou lacunes du système de management anti-corruption ;
  • traiter ces rapports de manière confidentielle et autoriser les signalements anonymes.

Enquêtes 

Les procédures d’enquêtes doivent :  

  • prévoir qu’elles sont conduites par du personnel distinct de celui qui en est l’objet ou par un organisme tiers ;
  • mettre en place des mesures appropriées en cas de corruption avérée ;
  • imposer la coopération du personnel concerné.

Audits internes & externes

L’entreprise doit mettre en œuvre des procédures d’audit permettant de vérifier que son système de management anticorruption est :

  • conforme aux exigences de la norme ISO 37001 ;
  • mis en œuvre de manière effective et continue

L’entreprise doit retenir des procédures permettant de s’assurer que : 

  • toute entité qu’elle contrôle met en œuvre son système de management anti-corruption ;
  • ses partenaires commerciaux (agents, consultants, fournisseurs) ont mis en place une politique anti-corruption.

Ces audits doivent être régulièrement conduits par le Département Compliance, ou un organisme tiers, selon des critères stricts et prédéfinis.

Amélioration et actualisation

En cas de non-conformité, l’entreprise doit mettre en œuvre les actions correctives nécessaires et modifier son système de management anti-corruption.

L’amélioration du système et des procédures doit être continue, régulière et adaptée à tout changement de la règlementation applicable ou de l’entreprise.

Conservation des documents 

Les documents relatifs à la mise en œuvre du système de management anti-corruption (programmes et justificatifs de formations, évaluation des risques, notes et résultats des audits, des enquêtes, des actions correctives et améliorations, etc.) doivent être conservés.