ISO 37001:2016 – Auditeurs certifiés ou Auditeurs de certification ?

, , , ,

Il existe une certaine confusion concernant la classification d’auditeurs de systèmes de management élaborés en fonction de normes ISO, dont la norme 37001:2016 traitant de l’anti-corruption.

Cet article a pour but de clarifier le tout en fonction des principes de gouvernance de PECB, un organisme de certification reconnu mondialement.

Dans un premier temps, notons le fait que toute personne peut suivre une formation d’auditeur pour la norme ISO 37001:2016, laquelle établit les exigences des systèmes de management anti-corruption. Pour obtenir une certification, à la fin de la formation le candidat doit réussir un examen et ensuite soumettre sa candidature pour obtenir son certificat d’auditeur de systèmes de management anti-corruption ISO 37001:2016.

À la conclusion du processus d’évaluation des candidatures, quatre (4) statuts d’auditeurs sont offerts par PECB, selon l’expérience démontrée :

  1. Auditeur provisoire (0 à 200 heures d’expérience liée à l’audit de normes)
  2. Auditeur (200 à 300 heures d’expérience liée à l’audit de normes)
  3. Auditeur principal — Lead Auditor (300 à 1000 heures d’expérience liée à l’audit de normes)
  4. Auditeur principal senior — Senior Lead Auditor (Plus de 1000 heures d’expérience liée à l’audit de normes)

Les détenteurs des statuts d’auditeurs provisoires ou d’auditeurs peuvent participer ou diriger des audits internes dans des organismes ou agir comme consultants auprès de ceux-ci.

Seules les personnes détenant les statuts d’auditeur principal ou d’auditeur principal senior ayant plus de cinq (5) années d’expérience professionnelle dans les domaines tels : les enquêtes, la juricomptabilité, l’éthique ou des domaines connexes, peuvent devenir des auditeurs de certification en réussissant le cours de « Techniques avancées d’audit ».

La formation de « Techniques avancées d’audit » porte sur les exigences de la norme 19011:2018 qui établit les lignes directrices pour les audits de certification des systèmes de management conçus en fonction de normes précises telles ISO 9001 (Qualité), ISO 14000 (Environnement), OHSAS 18001 (Santé et sécurité au travail), ISO 27001 (Sécurité de l’information) ISO 37001 (anti-corruption), etc.

L’audit de systèmes de management anti-corruption (SMAC)

En plus de ce qui précède, la norme ISO 17021-9:2016 contient des exigences particulières de compétences pour les audits et la certification des SMAC. Cette norme précise que : « tout le personnel dans un audit de SMAC doit avoir un niveau de compétence incluant les compétences décrites dans ISO 17021, comprendre les exigences de la norme ISO 37001 et la relation entre ces exigences, et avoir les connaissances relatives au SMAC ».

La norme 17021-9 exige entre autres que l’auditeur de SMAC soit aussi familiarisé avec les scénarios de corruption (clause 5.2.3), notamment :

  • Le personnel, le recrutement, l’embauche et la rémunération
  • Les activités commerciales
  • Les déplacements, les cadeaux et les marques d’hospitalité
  • Les dons et le mécénat
  • Les achats et les contrats
  • Les ventes et le marketing
  • La fabrication et la chaîne d’approvisionnement
  • Les processus externalisés
  • Les fusions et les acquisitions

De plus, les auditeurs de certification doivent connaître les indicateurs de corruption (clause 5.2.4) et les moyens de contrôle utilisés pour prévenir, détecter et lutter contre la corruption ainsi que les conséquences de leur absence (clause 5.2.5).

Plusieurs autres exigences pour les auditeurs de certification de SMAC sont formulées dans la norme 17021-9 comme la connaissance des lois et règlements applicables à la corruption, les notions d’évaluation de risques, les diligences raisonnables et les risques associés aux partenariats commerciaux.

En résumé, la distinction entre les auditeurs certifiés ISO 37001 et les auditeurs de certification de systèmes de management est importante. Cette dernière catégorie d’auditeurs permet à ses membres de procéder à des audits et de faire des recommandations à un organisme de certification relativement à l’octroi ou non d’une certification ISO 37001:2016 à l’organisme audité.

Au-delà de l’obtention du statut d’auditeur en vertu de la norme ISO 37001:2016, les compétences, l’expertise et l’expérience de l’auditeur doivent être reconnues par un organisme de certification comme PECB en conformité avec les normes ISO 17021:2016 et 19011:2018.

En conclusion, il est important pour un organisme qui désire faire certifier son système de management anti-corruption de communiquer avec un organisme de certification comme PECB pour obtenir les services d’auditeurs de certification reconnus.

Comment mesure-t-on un programme de conformité ?

, , ,

L’un des objectifs clés d’un programme de conformité est de démontrer son efficacité. De plus en plus de rapport d’évaluation démontre que les entreprises qui investissent dans des programmes de conformité sont plus rentables.

Récemment, « Ethics and Compliance Initiative » (ECI) a ajouté à la masse croissante de recherches par la publication de leur rapport intitulé « Measuring the Impact of Ethics and Compliance Programs » (the ECI Report)[1].

ECI a mené une « étude transversale du milieu de travail du point de vue des employés ». Le rapport se concentre sur l’impact des programmes d’éthique et de conformité sur le milieu de travail et plus particulièrement sur le rendement sur les investissements (ROI).

Le rapport définit cinq qualités essentielles des programmes d’éthique et de conformité :

  • Une stratégie de conformité qui est alignée à la stratégie d’affaires d’un organisme ;
  • Un solide programme de gestion des risques où les risques sont identifiés, assumés, gérés et atténués ;
  • Une forte culture d’intégrité dans l’ensemble de l’organisation ;
  • L’organisation encourage la transparence, le dialogue et valorise le signalement des inquiétudes ;
  • Quand un acte répréhensible se produit, les responsabilités sont clairement établies et assumées.

Tout en notant qu’à toutes les étapes du développement du programme de conformité l’organisme bénéficie d’un impact positif, ils augmentent littéralement de façon exponentielle lorsqu’un programme est présent et lorsque les employés perçoivent qu’il est présent. Les résultats sont impressionnants.

Premièrement, lorsque les employés sont encouragés à fonder leurs décisions d’affaires sur un ensemble de valeurs éthiques, les résultats favorables sont multipliés par 11.

Lorsque les employés estiment qu’il y a des conséquences pour les actes répréhensibles, les résultats éthiques favorables sont multipliés par 12.

Enfin, quand un engagement clair envers une culture de transparence était présent, les résultats éthiques favorables sont multipliés par 14.

En fin de compte, les programmes d’éthique et de conformité ont fait une grande différence.

Le rapport de l’ECI a noté que l’élément clé est que les employés « voient, entendent et ressentent » l’existence du programme d’éthique et de conformité.

Le rapport de l’ECI indique que lorsque les rétroactions pour des comportements conformes au programme d’éthique et de conformité étaient positives, les comportements éthiques favorables augmentaient par 10 fois.

Lorsqu’une entreprise répondait en temps opportun à un rapport d’acte répréhensible, les résultats éthiques favorables augmentaient par 16 fois.

Objectifs des programmes d’éthique et de conformité pour les organismes.

En se basant sur les résultats de recherche d’ECI, voici un ensemble de mesures par rapport auxquelles vous pouvez évaluer le programme de votre organisme, tel qu’il se présente actuellement et pour l’avenir :

  • Les dirigeants sont incités à agir avec intégrité.
  • Les valeurs et les normes sont clairement communiquées.
  • Les dirigeants sont chargés d’identifier et d’atténuer les risques en matière d’éthique et de conformité.
  • Les leaders créent un environnement où les employés sont habilités à soulever des préoccupations.
  • Le programme de conformité s’aligne avec les objectifs plus larges de l’entreprise.
  • Tous les employés doivent agir conformément aux valeurs de l’entreprise et sont tenus responsables s’ils ne le font pas.
  • Les employés reçoivent des conseils et du soutien pour la gestion des principales activités à risque.
  • Des ressources sont fournies pour aider les employés à prendre des décisions éthiques.
  • Des mesures disciplinaires sont systématiquement prises contre les contrevenants.
  • Les enquêtes sont objectives, cohérentes et équitables pour toutes les parties.
  • L’organisation fournit des voies de communication efficaces et variées.
  • Des processus proactifs sont mis en place pour empêcher les représailles.
  • L’organisation divulgue correctement les actes répréhensibles aux autorités.
  • Les principaux domaines de risque sont identifiés grâce à un processus d’évaluation robuste.

Le rapport de l’ECI a ensuite porté sur la question de savoir pourquoi les programmes d’éthique et de conformité ont de l’importance et a conclu que « la relation entre un programme d’éthique et de conformité et la culture d’une organisation est essentielle. »

La différence entre un programme réel d’éthique et de conformité et un programme papier est la différence entre le jour et la nuit. Dans les programmes d’éthique et de conformité, l’accent est mis sur la prise de décision éthique dans l’ensemble de l’entreprise et pas seulement dans la fonction de conformité de l’entreprise.

Bien que cela soit motivé par un engagement de la part de la direction de l’organisme, c’est le fait de prioriser la conformité dans le tissu de l’entreprise qui a le plus d’impact.

Le rapport ECI conclut que si une entreprise dépasse le stade du programme papier, elle démontrera de réels avantages à « bâtir une culture éthique forte, réduire les comportements répréhensibles et augmenter les signalements d’inquiétudes des employés lorsque des actes répréhensibles surviennent ».

De plus, lorsque les cadres supérieurs et les membres de la gouvernance de l’organisme reconnaissent leur rôle dans l’élaboration de la conduite d’un programme d’éthique et de conformité, celui-ci devient partie de la culture d’une organisation.

Le rapport ECI énumère plusieurs aspects par lesquels il faut commencer :

  • Les cadres supérieurs et la gouvernance de l’organisme doivent créer un environnement où les employés sont plus que simplement encouragés à soulever des préoccupations, ils sont habilités à le faire.
  • Les cadres supérieurs et la gouvernance doivent harmoniser le programme d’éthique et de conformité et ses fonctions avec les objectifs d’affaires globaux de l’entreprise.
  • Les membres de la haute direction et la gouvernance de l’organisme doivent indiquer clairement qu’il y a des conséquences réelles à faire des affaires conformément aux valeurs de l’entreprise.
  • Les employés doivent recevoir les outils et le soutien nécessaires pour faire des affaires de façon éthique et conforme.
  • Cela signifie que la fonction de conformité est présente et active dans la « fourniture de conseils et de soutien pour la gestion des activités et des transactions à risques ».
  • Enfin, il doit y avoir une justice institutionnelle.

[1] https://anticorruptiondigest.com/anti-corruption-news/2018/07/30/measuring-the-impact-of-ethics-and-compliance-programs-compliance-report/?ct=t(RSS_EMAIL_CAMPAIGN)&mc_cid=4625c26eb4&mc_eid=622c8bb3d9#axzz5MkB0SKwc

Comment obtenir une certification pour la norme ISO 37001

, , , ,

L’une des caractéristiques de la norme ISO 37001 est qu’elle est une norme certifiable. Cela nécessite cependant quelques explications, car l’ISO 37001 peut être utilisée de différentes manières, à savoir :

  • Pour une auto-évaluation, souvent considérée comme un audit de première partie (First party audit) ;
  • Pour un audit ou une évaluation par une seconde partie (Second party audit), par exemple un fournisseur ou un membre d’une association professionnelle ou par un partenaire commercial ;
  • Pour un audit par un tiers indépendant (Third party audit).

Il est important de souligner que seul un audit de tiers par une partie indépendante peut conduire à une certification.

Toutes les normes, y compris ISO 37001, peuvent être utilisées de différentes manières.

Toutefois, même si une auto-évaluation peut servir à préparer un audit de deuxième partie ou une certification, sa valeur est limitée à celle d’une déclaration de l’organisation évaluée par elle-même.

Un audit de deuxième partie a plus de poids, mais sa valeur dépend de la crédibilité de la seconde partie et a généralement un but spécifique et limité, comme la vérification par une association commerciale que ses membres se conforment aux normes de l’association.

Certification accrédité ou non accrédité

Les audits par des tiers peuvent être effectués par des organismes d’audit accrédités ou non.

Cependant, dans le cas de certifications par un organisme non agréé, connu sous le nom de certifications privées, l’indépendance et les qualifications de l’auditeur reposent entièrement sur la réputation et la crédibilité de l’organe d’audit.

Par conséquent, les candidats à la certification par un organisme non accrédité devraient eux-mêmes vérifier que les auditeurs de cet organisme satisfont aux exigences de compétence pour l’audit et la certification des systèmes de gestion anti-corruption tels que décrits plus bas.

Exigences de compétence pour les organismes accrédités

Seuls les organismes de certification accrédités garantissent l’indépendance et les qualifications des auditeurs par une autorité neutre, car leur accréditation les oblige à se conformer à un certain nombre de normes liées au processus de certification publié par le Comité de l’ISO pour l’évaluation de la conformité.

Les éléments suivants sont particulièrement pertinents pour la certification des systèmes de gestion anti-corruption :

  • ISO/CEI 17021-1 : 2015 —Évaluation de la conformité —Exigences pour les organismes procédant à l’audit et à la certification des systèmes de management —Partie 1 : Exigences ; et
  • ISO/CEI TS 17021-9 : 2016 ISO/IEC TS 17021-9 : 2016 —Évaluation de la conformité —Exigences pour les organismes procédant à l’audit et à la certification des systèmes de management —Partie 9 : Exigences de compétence pour l’audit et la certification des systèmes de gestion anticorruption.

Il convient de noter que des exigences spécifiques n’ont été émises que pour quelques normes ; dans le cas spécifique de la lutte contre la corruption, cela a été jugé nécessaire puisque la vérification des systèmes de gestion anti-corruption nécessite des connaissances et des compétences spécifiques que l’auditeur d’autres systèmes de gestion ne possède pas nécessairement.

Les autorités d’accréditation doivent vérifier que ces exigences sont respectées et continuent d’être satisfaites par des organismes de certification accrédités.

L’accréditation est accordée non par l’ISO ou ses membres, mais par des organismes nationaux d’accréditation qui fournissent des informations sur les certificateurs accrédités.

Une liste des organismes nationaux d’accréditation peut être consultée sur le site Web du Forum international d’accréditation.

Se soumettre au processus de certification apporte les avantages directs de la certification.

De plus, l’expérience a démontrée qu’un audit d’un auditeur compétent expérimenté dans la gestion anti-corruption et connaissant les pratiques d’autres sociétés (notamment dans des industries ou des lieux similaires) peut permettre un échange précieux et profitable avec le personnel de la fonction de conformité et de la direction de l’entreprise.

Article traduit du blogue de Jean-Pierre Méant