ISO 37001, pourquoi nous n’en avons pas besoin

This post is also available in: it es

Les lecteurs de ce blog le savent, je n’ai pas une haute opinion des certifications, qu’il s’agisse de vérification de la conformité, de mesures anti-blanchiment, de confidentialité, de lutte anticorruption, peu importe. (ici un de mes articles en anglais  Compliance Certifications, a Good Investment? )

Malheureusement, l’industrie de la certification est en pleine effervescence; Règlementation en matière de protection des données personnelles et ISO 37001 en premier lieu. C’est sur ce dernier que je vais me pencher dans cet article.

En 1991, déjà, les Federal Sentencing Guidelines américaines envisageaient la possibilité de limiter les responsabilités pénales ainsi que la condamnation avec un programme sérieux de conformité qui, du point de vue du domaine de l’anticorruption, aurait du être en mesure de prévenir et d’identifier d’éventuelles pathologies. Ce faisant, au fil des années, les organisations n’ont pas été livrées à elles-mêmes et ont pu bénéficier de différentes lignes directrices internationales dont le ISO 37001 s’inspire:

  • Federal Sentencing Guidelines,
  • The Bribery Act Adequate Procedures (Ministère de la Justice Britannique)
  • Good Practices Guidelines on Internal Controls (OECD)

Il convient de rappeler que lignes directrices susmentionnées sont disponibles gratuitement et ont été délivrées par des organismes publics et qu’elles sont, depuis plusieurs années, considérées comme les plus influentes parmi celles à disposition.

Voyons donc pourquoi la norme ISO 37001 n’est pas une avancée dans la lutte contre la corruption.

Les bénéficiaires de #iso37001 sont ceux qui vendent cette norme
Et comment aurait-il pu en être autrement? La norme n’a pas été adoptée par la Loi, et, par conséquent, est inapte à innover quoi que ce soit, donc pourquoi payer pour des lignes directrices déjà disponibles?

Auditeurs.

Depuis sa parution, en Octobre 2016, vous êtes certainement tombés sur un des nombreux articles, publications et débats qui en exaltaient la valeur, faits surtout par ceux qui sont à l’origine dudit service…

Cependant, la corruption internationale est un problème très sérieux qui nécessite un travail d’équipe effectué par divers professionnels;

  • Des avocats, pour comprendre le contexte dans lequel l’entreprise œuvre, à l’étranger également, pour vérifier aussi si l’on se trouve dans un cas d’extorsion possible,
  • Des comptables. Je n’ai jamais vu de pot-de-vin enregistré de façon légale; il faut des experts pour déceler (et enquêter sur) des paiements suspects ou non exigibles.
  • Des informaticiens. Notre vie circule désormais à l’intérieur de nos ordinateurs, smartphones et tablettes, et dans le cas d’une enquête interne il est plutôt fréquent de devoir analyser ces supports. C’est pour cette raison qu’il est indiqué d’avoir recours à des spécialistes du domaine de la confidentialité et de la protection des données.
  • Des experts en matière de sécurité sur les lieux de travail. Il est important que ceux qui travaillent pour nous le fassent en respectant les règles et sans exploiter les travailleurs (pratique malheureusement encore commune un peu partout dans le monde).

Sans pour autant remettre en discussion les compétences des auditeurs ISO 37001, il est bon de rappeler que les activités susmentionnées, bien que non exhaustives, devraient être menées avec constance et à intervalles réguliers, si possible par un groupe de professionnels appropriés.

Pour d’ultérieures informations Pourquoi NE PAS faire ‘certifier’ son programme anticorruption

Cela n’exclut/ne limite pas les profils de responsabilité.

Comme déjà mentionné, seul un programme sérieux et efficace de vérification de conformité le pourrait. En outre, autant le Département de la Justice des Etats-Unis que l’Agence  française anticorruption , dans leurs lignes directrices, ont complètement omis la norme.

De plus, et c’est un point très important, la certification ISO 37001 n’exclut pas les obligations de la due diligence envers les tiers. (la due diligence est un investissement, croyez-moi)

Confidentialité.

Tout audit requiert la connaissance d’informations détaillées et confidentielles telles que la participation et la préparation d’appels d’offres, de bilans, de noms et d’activités menées par des consultants externes. Ce n’est qu’une partie des informations qui devraient être formulées à des tiers. Nous avons déjà vu que la norme, à elle seule, n’exclut pas la responsabilité, pourquoi donc risquer?

Certaines entreprises certifiées font l’objet d’une enquête.

Il faut préciser que les responsabilités sont définies lors du jugement et non avant, par conséquent comment est-il possible de certifier la conformité aux standards les plus reconnus de l’anticorruption pour des entreprises dont les responsabilités sont encore en phase de définition?

Pas besoin d’être Montesquieu pour le comprendre, il faut s’incliner et respecter les actes du tribunal. Ainsi, la certification, dans de telles circonstances, me semble plutôt insolite.

Responsabilités de l’auditeur.

Si un ingénieur certifiait la conformité d’un pont qui n’a pas été fait dans les règles de l’art, il devrait rendre des comptes, mais qu’en serait-il de la personne qui a délivré la certification ISO 37001 et si l’entreprise était reconnue responsable de corruption?

Bien qu’une forme de responsabilité contractuelle puisse être constatée (naturellement à vérifier), il est clair que la responsabilité de la présumée corruption demeurerait celle de l’entreprise. Pourquoi, donc, recourir à la certification?

Pour conclure, les arguments évoqués ci-dessus illustrent pourquoi la norme ISO 37001 ne peut guère être considérée comme un atout pour combattre la corruption et, a fortiori, un atout pour les organismes qui souhaitent obtenir la certification.

Le meilleur moyen pour atteindre cet objectif reste celui de travailler sur la culture interne de l’entreprise, où la corruption n’est pas tolérée et où personne ne risque son poste de travail pour avoir signalé un comportement (potentiellement) incorrect.

 

Published by

Michele La Neve

White Collar Crime Attorney at Whitecotton Law Dedicated to Helping Clients Overcome Unforeseen Business Risks.

Laisser un commentaire