Foire aux questions (FAQ) ISO 37001

Qu’est-ce qu’ISO

ISO est l’Organisation internationale de normalisation, un organisme non gouvernemental (ONG) composé d’organismes nationaux de normalisation de 163 pays.
ISO était formée en 1946 sur la suggestion de l’Organisation des Nations Unies pour aider à concilier des normes et pratiques différentes dans les pays membres de l’ISO afin de faciliter le commerce.
À ce jour, l’ISO a publié plus de 21 000 normes internationales, y compris plus de 70 normes constituant des systèmes de management.

Qu’est-ce qu’ISO 37001

ISO 37001 —Systèmes de management anti-corruption est la première norme internationale anti-corruption certifiable.
La norme a été publiée le 15 octobre 2016 a été rédigée sur une période de trois ans avec la participation d’experts anti-corruption de 56 pays et un certain nombre de groupes de liaison de diverses régions du monde.
La norme décrit les exigences et fournit des conseils pour établir, mettre en œuvre, maintenir, revoir et améliorer le programme anti-corruption d’une organisation — qu’ISO appelle « Système de management ».
Ces exigences sont constituées de bonnes pratiques reconnues et, prises ensemble, créent un système de management qui fournit aux organisations un programme complet de lutte contre la corruption.

La norme ISO 37001 lutte contre quel type de corruption ?

ISO 37001 est conçue pour lutter contre de nombreux types de corruption, y compris les pots-de-vin en vertu de la Foreign Corrupt Practice Act (FCPA) et de la UK Bribery Act (BS 10500).
La norme s’applique à la corruption dans un large contexte, y compris la corruption commerciale, la corruption de fonctionnaires publics et les entités gouvernementales, les pots-de-vin passifs (entrants) et les pots-de-vin de partenaires d’affaires agissant au nom d’une organisation.
En outre, en vertu de la norme, une organisation doit prendre en compte toutes les lois applicables à la corruption, y compris les lois locales.

Est-ce que la norme s’applique à certains types particuliers d’organisations ?

Non — la norme ISO 37001 a été conçue comme une norme générale applicable aux secteurs publics, privés, organismes à but non lucratif ainsi qu’aux entités et agences gouvernementales.

La norme exige qu’une organisation mène une évaluation des risques de corruption basée sur divers facteurs, y compris le modèle d’affaires, la taille et la structure de l’organisation, et les opérations, afin de déterminer ses risques de corruption uniques et la gravité de ces risques.

Basé sur cette évaluation globale des risques de corruption, une organisation doit mettre en œuvre des politiques, procédures, et des contrôles raisonnables et proportionnés aux risques de corruption de l’organisation.

Une grande organisation opérant dans les pays à haut risque dans un secteur à haut risque devra mettre en œuvre des contrôles plus stricts et consacrer plus de ressources à son programme anti-corruption qu’un une plus petite organisation opérant dans une industrie avec des risques de corruption relativement faibles.

C’est cette démarche raisonnable et proportionnée, fondée sur l’évaluation des risques, qui permet à la norme ISO 37001 d’être appliquée à différents types d’organisations, dans n’importe quelle industrie.

Qu’est-ce que la certification ISO 37001 ?

La certification ISO 37001 est une désignation décernée aux organisations qui répondent aux exigences de la norme et choisissent de se soumettre à un audit de certification.
Les audits de certification sont effectués par des organismes de certification indépendants, dûment accrédités, qui utilisent des vérificateurs avec une expérience dans la lutte contre la corruption, les systèmes de management anti-corruption et une connaissance approfondie des exigences de la norme ISO 37001.
À la suite de l’audit de certification, à condition qu’il n’y ait pas de non-conformité majeure, l’organisme de certification attribue alors à l’organisation la certification ISO 37001. Une marque de cette certification peut être utilisée sur les systèmes internes et externes d’une organisation.

Est-ce qu’il est requis que mon organisation soit certifiée ISO 37001 par des lois ou règlements ?

À l’heure actuelle, aucun pays ou autorité de réglementation n’exige qu’une organisation obtienne une certification ISO 37001.
Cependant, certains gouvernements, y compris le Mexique, Singapour et certains pays d’Afrique et du Moyen-Orient envisagent sérieusement d’exiger que les organisations qui souhaitent soumissionner pour des contrats gouvernementaux soient d’abord certifiées ISO 37001.

Quels sont les bénéfices d’ISO 37001 ?

Votre organisation mettra en œuvre un programme certifié, reconnu mondialement de lutte contre la corruption, composé de politiques, procédures, pratiques exemplaires et contrôles efficaces contre la corruption.
Cela réduira considérablement les risques potentiels de corruption de votre organisation. De plus, avoir un programme certifié en place démontre aux parties prenantes de votre organisation, y compris les actionnaires, les investisseurs, le personnel, les associés, les clients, les autorités et le public en général, que votre organisation s’engage à adopter des pratiques commerciales éthiques, contre la corruption.
Cet engagement peut, à son tour, fournir un avantage concurrentiel significatif sur le marché mondial.
Dans le cas où la corruption se produit au sein de votre organisation et qu’une enquête en résulte, la certification ISO 37001 peut servir de preuve que votre organisation fait son maximum pour empêcher un tel événement de se produire.
Les exigences de la norme font que votre programme anti-corruption est bien documenté, ce qui est essentiel lorsque vous essayez de prouver aux autorités gouvernementales que votre organisation s’était engagée à conduire ses des affaires de manière éthique.
La certification ISO 37001 réduit considérablement le risque de subir les coûts élevés, les pénalités, les occasions d’affaires perdues et les dommages à la réputation associés à la corruption.
En outre, la certification ISO 37001 incarne la transparence et la conduite éthique dans les procédures et les politiques de votre organisation et devient partie intégrante de la façon dont votre organisation fait des affaires.
Avec ces procédures en place, votre organisation devrait connaître une augmentation de son efficacité, l’assurance de meilleures relations d’affaires et le développement d’une culture plus éthique.

Dois-je créer un programme anti-corruption séparé des autres programmes de conformité de mon organisation ?

Votre programme anti-corruption peut faire partie du programme de conformité de votre organisation ou peut être un programme autonome.
La norme permet également d’externaliser certaines exigences, telles que les lignes directes de dénonciation et la diligence raisonnable.

Quelles sont les exigences de la norme ISO 37001 ?

La norme ISO 37001 énonce un certain nombre d’exigences relatives aux catégories suivantes : contexte, leadership, planification, soutien, opérations, évaluations du rendement et amélioration.

Voici les principales exigences qui doivent être mises en œuvre avant d’obtenir la certification ISO 37001 :

Évaluation du risque de corruption en fonction du contexte de l’organisation, de ses besoins et des exigences de ses parties prenantes ;
Objectifs anti-corruption ;
Politique anti-corruption ;
Supervision par l’organe de gouvernance et la direction, examen des programmes et engagement à combattre la corruption ;
Fonction de conformité anti-corruption et autres rôles et responsabilités désignés ;
Bonne planification ;
Ressources adéquates ;
Sensibilisation et formation ;
Communications ;
Procédures opérationnelles et contrôles, y compris :
- Diligence raisonnable sur le personnel, les projets, les transactions et les associés posant plus qu’un faible risque de corruption ;
- Contrôles financiers et non financiers ;
- Politiques concernant les cadeaux, l’hospitalité, les dons et les avantages similaires ;
- Procédures de dénonciation, y compris une politique de non-représailles ;
- Procédures d’enquête et mesures disciplinaires ;
Surveillance continue et audits périodiques ;
Actions correctives et efforts continus pour améliorer le programme.

Votre organisation a probablement déjà mis en œuvre un grand nombre de ces exigences clés. Cependant, la norme exige également des processus et des contrôles plus détaillés liés à ces exigences, ainsi que la documentation appropriée faisant la preuve que les exigences sont en place et sont appliquées comme prévu.

Par exemple, l’organe de gouvernance et la haute direction sont tenus de revoir régulièrement le système de management anti-corruption et de fournir des commentaires sur les changements apportés à celui-ci.

Est-ce que la certification ISO 37001 signifie que mon organisation est entièrement protégée contre les pots-de-vin, les enquêtes gouvernementales ou les poursuites ?

Il n’y a pas de solution miracle pour éradiquer le risque de corruption. Dans l’éventualité qu’elle se produise, l’implantation d’un système de management anti-corruption ne peut assurer qu’il n’y ait aucune enquête ou poursuite de la part des autorités gouvernementales. Cependant, la norme ISO 37001 consiste en de bonnes pratiques bien établies et constitue la meilleure défense contre les incidents de corruption survenant dans votre organisation.

Avoir un programme de conformité et d’éthique efficace est un facteur d’atténuation important face aux pénalités ou poursuites par les gouvernements, les autorités des marchés publics, ainsi que d’autres organes de poursuite.

La norme répond aux exigences d’une lutte anti-corruption efficace telles qu’énoncées dans les lignes directrices fédérales sur la détermination des peines pénales et la certification peut aider les efforts d’une organisation à démontrer son engagement à lutter contre la corruption.

Combien de temps est-il nécessaire pour être prêt pour l’audit de certification ?

Le temps nécessaire à une organisation pour préparer et compléter l’audit de certification ISO 37 001 dépend de la taille, la portée d’une organisation, la nature de ses risques de corruption et son programme anti-corruption actuel, ses processus et contrôles déjà en place.

Certaines organisations peuvent être prêtes à planifier leur audit de certification ISO 37001 après moins d’un mois de préparation, tandis que d’autres organisations peuvent passer une année à rendre leur programme anti-corruption conforme aux exigences de la norme.

La meilleure façon de déterminer combien de temps sera nécessaire pour que votre organisation soit certifiée ISO 37001 est de réaliser une analyse des écarts entre les exigences de la norme et les caractéristiques de votre programme anti-corruption, par un consultant expérimenté, dûment accrédité.

Les résultats de l’analyse des écarts indiqueront quelles exigences votre l’organisation rencontrent, celles qui sont partiellement satisfaites et celles qui doivent être implantées. Cette démarche permettra de donner une meilleure indication de l’échelle de temps nécessaire à l’implantation et la certification.

Lorsque mon organisation est prête pour la certification, comment le processus fonctionne-t-il ?

Une fois qu’un organisme a satisfait à toutes les exigences de la norme ISO 37001, un organisme de certification dûment accrédité effectuera un audit de certification. Une organisation ne devrait travailler qu’avec un organisme de certification qui a de l’expérience dans la lutte contre la corruption et les systèmes de management.

Le processus de certification des organismes doit suivre les normes établies par ISO (ISO/CEI 17021-1 et l’ISO/CEI 17021-9) veiller à ce que les audits soient équitables et impartiaux et à ce que les auditeurs disposent d’un expérience professionnelle anticorruption suffisante pour effectuer un examen approfondi et équitable.

La première étape de l’audit consiste en un examen de la documentation d’une organisation sur son programme anti-corruption. La deuxième étape consiste en un audit sur site au siège social d’une organisation.

En fonction de la structure et des opérations d’une entreprise, des audits peuvent être effectués sur une sélection des autres bureaux et/ou filiales de l’organisation.
Lors des audits sur site, l’auditeur discute de la conformité de l’organisation, avec le personnel de la haute direction et des membres du personnel de soutien et des opérations pour déterminer si les exigences de la norme sont rencontrées.

Quel est le coût du processus de certification ?

Le coût d’un audit de certification ISO 37001 varie en fonction de la taille de l’organisation et le nombre de ses filiales.

GJB peut obtenir une estimation précise pour votre organisation d’un organisme de certification indépendant.

Mon organisation a déjà un excellent programme anti-corruption — pouvons-nous planifier l’audit de certification tout de suite ?

GJB recommande à chaque organisation de procéder à un diagnostic organisationnel pour déterminer si des lacunes qui existent dans votre système de management anti-corruption actuel par rapport aux exigences de la norme ISO 37001.

La plupart des organisations trouveront qu’il y a certaines lacunes qui doivent être comblées avant la planification de l’audit de certification.

GJB peut aider votre organisation à mener ce diagnostic pour déterminer si des lacunes existent et dans l’affirmative, quelles sont les meilleures solutions.

Comment Gestion Jean Bourdeau inc. peut-il aider mon organisation à obtenir la certification ISO 37001 ?

GJB fournit aux organisations une expertise en matière de système de management anti-corruption ISO 37001, un programme de soutien sur mesure et la préparation au processus de certification.

Voici un aperçu des services fournis par GJB aux organisations envisageant ou recherchant la certification ISO 37001 :

Diagnostic organisationnel. Une étape essentielle avant de poursuivre la certification ISO 37001, GJB effectuera un diagnostic organisationnel de vos politiques, procédures, contrôles financiers et non financiers actuels en fonction des exigences de la norme ISO 37001 pour déterminer les écarts et les modifications ou les ajouts à apporter.
Plan d’implantation. Sur la base des résultats du diagnostic, GJB préparera un plan détaillé d’implantation et d’optimisation qui établira la nature des tâches nécessaires pour combler les lacunes observées dans les politiques et procédures et les aligner avec les exigences de la norme ISO 37001.
Accompagnement. GJB peut vous aider à identifier les risques de corruption dans vos processus d’affaires, l’examen et l’élaboration de politiques et de procédures ainsi que l’évaluation des contrôles financiers et non financiers pour prévenir, détecter et traiter les incidents ou les allégations de corruption.
Formation certifiée ISO 37001. GJB peut former les dirigeants et le personnel de l’organisme concernant les principes et les exigences de la norme anti-corruption (ISO 37001). Ces formations offrent divers niveaux de certification et sont dispensées en tant que partenaire accrédité de l’organisme de certification PECB. Par conséquent, les participants à nos formations peuvent obtenir une certification reconnue mondialement s’ils réussissent l’examen à la fin de la formation et s’ils comblent les autres prérequis exigés par PECB. Nous offrons également des formations sur mesure, selon les besoins de l’organisme.
Préparation de l’audit. En préparation de l’audit ISO 37001, GJB s’assure que tous les processus et les documents répondent aux exigences de la norme. Nous préparons également le personnel de direction, et les autres membres du personnel concernés, pour leurs entrevues avec les auditeurs. Le cas échéant, GJB aidera à corriger les non-conformités dans le délai prescrit suite à l’audit de certification.
Amélioration continue. Suite à votre certification ISO 37001, GJB peut vous accompagner pour assurer que votre organisme respecte les exigences de la norme, y compris le plan d’amélioration continue, et s’assurer que vous êtes prêt pour l’audit annuel de surveillance.