L'enquête de DNV a révélé que les entreprises sont surtout préoccupées par les risques liés à la conformité, à la réputation et à l'éthique. Le respect des exigences légales arrive en tête (78%) des raisons d'appliquer des mesures de lutte contre la corruption. Il ne fait aucun doute que l'application des bonnes pratiques reconnues, telles que les normes ISO, peut faciliter le respect de la réglementation et améliorer la capacité à gérer d'autres risques. Cependant, l'adoption de la norme relative au système de management anti-corruption a été lente au départ, mais elle semble s'accélérer. En 2018, seules 389 organisations étaient certifiées ISO 37001 et, bien que ce nombre atteigne 2 896 en 2021, il reste infime par rapport au million d'organisations certifiées ISO 9001, la norme relative aux systèmes de management de la qualité, par exemple.
Les avantages d'une approche proactive
De nombreuses entreprises entament un parcours structuré et peut-être une certification ISO 37001 après un incident - qui se traduit souvent par de lourdes pertes financières et des amendes - au sein de leur organisation. Cela semble indiquer que la plupart des entreprises auraient tiré des bénéfices d'une approche proactive plutôt que réactive.
La norme ISO 37001 fournit des exigences et des lignes directrices permettant à toute organisation d'établir, de mettre en œuvre, de réviser et d'améliorer un système de management anti-corruption. Les exigences sont conçues pour aider à prévenir, détecter et répondre à la corruption, ainsi qu'à se conformer aux lois anti-corruption et aux engagements volontaires. La certification ISO 37001 garantit aux parties prenantes, en interne comme en externe, que des mesures de lutte contre la corruption efficaces sont en place, maintenues et continuellement améliorées.
Si la norme ISO 37001 couvre principalement la corruption, d'autres aspects tels que la fraude ou le blanchiment d'argent peuvent être inclus dans le champ d'application du système de management, conformément à la législation et aux bonnes pratiques en vigueur.
La mise en place d'un système de management des plaintes ISO 37001 contribuera très certainement à une meilleure compréhension des risques, tant en interne que tout au long de la chaîne d'approvisionnement. Plus important encore, il permet d'adopter une approche proactive plutôt que réactive de la question. Le plus souvent, les auteur·ice·s d'infractions montrent des signes précurseurs de possible fraude.
Un système de management couvrant la formation à la prise de conscience et les mécanismes de dénonciation est susceptible d'améliorer la capacité de toute organisation à prévenir ou à découvrir les problèmes à gérer.
Que découvrent les entreprises certifiées ISO 37001 ?
En plongeant dans les données de tous les audits de systèmes de management anti-corruption réalisés par DNV en 2022, on obtient une vue d'ensemble des domaines dans lesquels les entreprises certifiées ISO 37001 rencontrent le plus de difficultés. Cependant, le fait de savoir où se situent leurs risques permet de mettre en place des mesures d'amélioration efficaces.
Les domaines de la norme qui posent le plus de problèmes aux entreprises sont les chapitres 7 Support et 8 Opération, pour lesquels respectivement 83% et 88% des entreprises ont reçu des constatations. Pour environ respectivement 50 % et 62 % des entreprises, il s'agit de non-conformités, ce qui signifie que des actions correctives doivent être mises en œuvre afin de se conformer pleinement aux exigences de la norme ISO 37001.
Les chapitres 4 Contexte de l'organisme 5 Leadership semblent également poser des problèmes, avec respectivement des résultats de 76 % (32 % de non-conformités) et 71 % (34 % de non-conformités).
Il est à noter que ces quatre chapitres, ainsi que le chapitre 9 sur l'évaluation des performances, contiennent un niveau d'exigences obligatoires bien plus élevé que les autres chapitres de la norme. Toutefois, le nombre élevé de non-conformités dans ces chapitres est presque certainement imputable au niveau de maturité. Cette situation devrait s'améliorer au fur et à mesure que les organisations améliorent leurs systèmes de management et leur mise en œuvre.
Si l'on approfondit les sous-clauses de la norme et que l'on analyse les constatations et les non-conformités les plus courantes, il apparaît clairement que la vérification diligente, l'évaluation des risques et les contrôles doivent faire l'objet d'une attention plus soutenue dans la plupart des entreprises.
La plus forte concentration de constatations dans le chapitre 8 Opérations s'explique par le fait que ce chapitre s'applique à tous les processus de l'organisation. À titre d'exemple, il inclut la conduite de la vérification diligente qui s'applique aux personnes, aux partenaires commerciaux, aux activités, aux projets, aux transactions et aux transactions extraordinaires telles que les fusions et les acquisitions. Il est fréquent que la vérification diligente en matière de lutte contre la corruption soit confondue avec d'autres vérifications diligentes déjà utilisées dans l'organisation, bien que les processus soient différents et distincts.
Le nombre élevé de problèmes relevés au chapitre 4 Contexte de l'organisme témoigne d'un manque de documentation dans le système et au chapitre 5 Leadership d'un engagement insuffisant de la part de l'équipe de direction ou d'une gestion incorrecte des conflits d'intérêts. Le chapitre 7 Support contient des exigences applicables aux ressources humaines en termes de gestion du processus de sélection, de recrutement du personnel, de communication interne, de gestion des politiques de rémunération et d'incitation, et de formation à la lutte contre la corruption. Les constatations relatives au chapitre 9 Évaluation des performances concernent un suivi insuffisant du système de management anti-corruption, qu'il est essentiel de mettre en place pour s'améliorer.
Bien qu'il existe des domaines primordiaux dans lesquels les entreprises certifiées peuvent et doivent s'améliorer, l'avantage de ces entreprises est qu'elles sont conscientes de leurs risques et des domaines dans lesquels elles doivent concentrer leurs efforts d'amélioration. Cependant, les entreprises qui se contentent de mettre en œuvre une politique de lutte contre la corruption, comme l'a montré l'enquête de DNV, ont peu de contrôle sur leurs risques ou de moyens pour découvrir et gérer un incident s'il se produisait.