Défauts de la Certification ISO 37001

En Afrique, surtout dans les pays dont la langue officielle est le Français, je note avec beaucoup de surprises et stupefactions que les politiques et cadre d'entreprises publiques et institutions chargées de lutte contre la corruption "vénèrent la norme ISO 37001. Cependant, je trouve toujours qu'il est déplacé comme quelque chose de proche de la norme internationale pour les programmes de lutte contre la corruption. Il conduit à la fois les bénéficiaires de la certification et ceux qui commettent l'erreur de s'y fier dans la même position, à s'inquiéter davantage de la partie papier de la conformité que de faire réellement la conformité en l'opérationnalisant dans l'ADN de votre organisation. À ce stade, je vois trois défauts majeurs dans le processus de certification ISO 37001.

Défauts structurels

Bien qu'il n'y ait certainement rien de mal à établir ce qui devrait entrer dans un programme de conformité, ISO 37001 a des caractéristiques qui le rendent moins qu'idéal comme base pour le faire. La première est l'approche presque évangélique adoptée par ses défenseurs qui semblent prétendre qu'elle est aussi bonne que la loi. Malheureusement pour tous ceux qui l'adoptent, la norme n'est pas la loi. Comme Mike Volkov l'a noté dans son excellent examen en cinq parties : « La pertinence de la norme ISO 37001, cependant, ne peut s'appliquer que dans des circonstances où les entreprises cherchent à remédier à leurs programmes de conformité existants après qu'une violation se soit produite. Le ministère de la Justice des USA (US DOJ) et la SEC (le gendarme de la bourse de New York), l'Agence Française Anti Corruption (AFA), le Serious Fraud Office (GB) l'OCDE ou encore les Nations Unies (ONUDC) n'ont pas accordé de crédit aux entreprises pour la mise en œuvre d'un programme de conformité existant efficace avant que la violation ne se produise. » (Partie I . Volkov).

Ensuite, l'accent est mis sur "l'avoir un programme papier". ENI, la première entreprise à recevoir une certification ISO 37001, a déclaré dans son communiqué de presse, après avoir reçu sa certification ISO, que son programme avait une "qualité du système de règles et de contrôles visant à prévenir la corruption". Plus d'informations sur la certification ENI plus tard, mais il suffit de dire que la norme ne fonctionne pas vers une entreprise qui opérationnalise la conformité parce qu'elle ne fait que définir la colonne vertébrale sans exiger qu'une entreprise fasse la conformité. Le ministère de la Justice (DOJ) et la Securities and Exchange Commission (SEC) ont publié conjointement des lignes directrices de la FCPA (Norme la plus appliquée et la plus repressive au monde) en 2012 ont clairement indiqué qu'un programme de conformité efficace est basé sur une entreprise évaluant ses propres risques, puis sur la mise en place un programme pour gérer ces risques à l'avenir grâce à la formation, aux incitations, à la discipline et Les dix caractéristiques ont été conçues pour être flexibles afin de permettre à chaque entreprise d'évaluer puis de gérer ses risques. Ce type d'approche fait extrêmement défaut dans la norme ISO.

La norme ISO manque également le bateau sur les contrôles internes. Volkov, partie II, a déclaré : « Du côté négatif, ISO 37001 a manqué une occasion importante de définir la relation entre les systèmes de gestion des risques anti-corruption et les contrôles financiers. La norme ISO 37001 ne comprend qu'une exigence générale et d'une seule ligne selon laquelle une entreprise doit mettre en œuvre des contrôles financiers pour atténuer les risques de corruption. Cette exigence est si générale qu'elle n'a en réalité aucun sens. » [accent fourni] Comme les contrôles internes sont en réalité des contrôles financiers ; plus vos contrôles internes de conformité sont robustes, mieux votre organisation sera gérée du point de vue des contrôles financiers. Mais si vous ne mettez pas pleinement en œuvre les contrôles internes, non seulement vous ne disposerez pas d'un programme de conformité efficace, mais vous ne répondrez pas aux exigences de la Foreign Corrupt Practices Act (FCPA) ou de la UKBA ou de la Loi Sapin II.

Hui Chen adopte une approche encore plus fondamentale dans sa critique. Dans un article, elle a noté : « La faille la plus fondamentale est qu'il n'existe aucune preuve statistique prouvant que la mise en œuvre d'un tel « système de gestion » serait efficace pour réduire réellement les cas de corruption. » Elle poursuit en demandant « Où sont les statistiques et les études pilotes pour ISO 37001 ? » Chen a largement plaidé, tant dans son ancien rôle d'Avocate en matière de conformité du ministère de la Justice des USA que dans son rôle actuel de pratique privée, de sauvegarder vos réclamations avec des données. Elle va un peu plus loin en demandant, si vous avez des données, comment les avez-vous utilisées pour informer votre programme ? ISO 37001 n'est pas basée sur l'un ou l'autre. Enfin, et peut-être le plus critique, Chen s'insoue sur l'absence de la norme ISO 37001 pour mesurer l'efficacité d'un programme de conformité, déclarant " nulle part ailleurs le document ne mandate ou ne suggère même que les organisations devraient réellement mesurer l'efficacité de leurs programmes et actions".

Défauts de certification

Au-delà des défauts structurels mentionnés ci-dessus, il y a un nombre égal de problèmes autour du processus de certification sur lesquels de nombreux défenseurs de la norme ISO 37001 se posent. Ils affirment qu'en faisant des affaires avec des contreparties certifiées, ils seront protégés d'une manière ou d'une autre. Rien ne pourrait être plus éloigné de la vérité. Il suffit de considérer qu'Unaoil avait une certification TRACE pour comprendre comment cette certification protégeait l'entreprise qui a embauché Unaoil. Peu importe le nombre de certifications qu'un tiers pourrait avoir ; la question est de savoir s'il fait la conformité. C'est pourquoi l'étape la plus cruciale du cycle de vie de la gestion des tiers est la cinquième et dernière étape : la gestion de la relation après la signature du contrat. En d'autres termes, la question clé pour toute entreprise est de savoir si ses tiers font des affaires en conformité, selon les termes et conditions du contrat et en vertu des déclarations, promesses et obligations énoncées dans le processus de gestion des tiers en cinq étapes.

Tout aussi important pour comprendre que c'est qui fait la certification ? S'agit-il d'une personne ou d'une entreprise formée par l'ISO ? Comment les certificateurs savent-ils que leurs interprétations de la norme ISO 37001 sont correctes ou même cohérentes avec celles d'autres certificateurs ? En fin de compte, comment savez-vous qu'un certificateur a de l'expérience en matière de conformité ou peut même évaluer valablement votre programme de conformité ? La réponse courte est que vous ne pouvez pas.

Il y a évidemment des certificateurs qui peuvent évaluer votre programme de conformité. ISO est extraordinairement chanceux d'en avoir un qui est un fervent défenseur, Kristy Grant-Hart. Je connais Kristy et je lui ferais confiance pour évaluer le programme de conformité de toute entreprise en vertu de n'importe quelle norme internationale, en commençant par les lignes directrices sur la détermination de la peine aux États-Unis, aux 13 bonnes pratiques de l'OCDE, aux dix caractéristiques d'un programme de conformité efficace, des lignes directrices de la FCPA de 2012, aux six principes de procédures Hélas, une telle technologie n'existe pas.

Défauts culturels

La même semaine où ENI a fièrement annoncé sa certification ISO 37001, les autorités italiennes ont annoncé que les directeurs généraux (PDG) actuels et les plus récents de l'entreprise seraient jugés pour avoir approuvé les pots-de-vin versés par l'entreprise. Dans un article du Financial Times (FT) de 2017, intitulé "Le chef d'Eni, Claudio Descalzi, accusé de corruption internationale", James Politi a déclaré : "Claudio Descalzi, directeur général d'Eni, a subi un revers après que les procureurs italiens l'ont accusé de corruption internationale à la suite d'une longue enquête sur l'achat On a demandé à M. Descalzi de se présenter au procès avec Paolo Scaroni, l'ancien directeur général d'Eni, ainsi que neuf autres personnes qui ont été impliquées dans la transaction de 1,3 milliard de dollars, selon Fabio De Pasquale, le procureur principal de l'affaire. »

On pourrait raisonnablement se demander comment une entreprise pourrait recevoir une certification pour ses "systèmes de gestion anti-corruption" alors que son PDG actuel et ancien étaient accusés de "corruption internationale" ? Le communiqué de presse de l'ENI ISO a poursuivi en disant que depuis 2009, Eni a consacré le principe de la "tolérance zéro" tel qu'il est "exprimé dans son code d'éthique". Je me demande si l'actuel ou l'ancien PDG de l'ENI sous mise en accusation a lu ou même était au courant de ce solide code d'éthique de l'ENI. Il est intéressant de noter que le communiqué de presse a également déclaré que l'étape 2 du processus de certification ISO 37001 impliquait des "entretiens avec des personnes sur le terrain" pour assurer la conformité au programme. Il est prudent de supposer que ces entretiens n'incluaient pas le PDG actuel ou ancien.

Que concluriez-vous à propos de la culture de la conformité dans une entreprise où le PDG en exercice est inculpé pour corruption ? Cela vous rassurerait-il qu'ils aient mis en place un programme papier très robuste qui prétendait qu'il y avait une « tolérance zéro » à la corruption et qu'ils avaient une certification ISO 37001 pour le sauvegarder ? Quelle est la contrepartie de l'ENI pour conclure sur la robustesse de son programme de conformité anti-corruption ? Qu'en est-il de toute autre entreprise qui a une certification ISO 37001 ?

C'est là que je trouve que la nouvelle certification ISO 37001 est pire qu'inutile. Les gens pourraient en fait penser que cette certification confirme que l'entreprise qui la détient s'est engagée à faire de la conformité et continuera à le faire à l'avenir. La contrepartie qui fait affaire avec un tel titulaire de certificat peut bien supposer que cette certification constitue une certaine base de protection contre une FCPA, une loi Britannique sur la corruption ou UKBA enquête pour corruption et corruption. Rien ne pourrait être plus éloigné de la vérité.

Le ministère de la Justice des USA, la SEC et le Serious Fraud Office (SFO) du Royaume-Uni, l'AFA en France, précisent continuellement qu'une entreprise est responsable du fait que ses contreparties ne violent pas les lois anti-corruption applicables. En d'autres termes, un tiers, avec une certification ISO 37001 qui enfreint la FCPA, la loi britannique sur la corruption ou toute autre loi similaire, expose votre entreprise à autant de risques qu'un tiers sans certification ISO 37001. Pour le dire aussi simplement que possible, une certification ISO 37001 d'une contre-partie a une valeur inférieure à zéro pour votre entreprise, votre programme de conformité ou même toute défense contre une mesure d'application de la FCPA.

Pour conclure, j'implore les politiques, les cadres et dirigeants d'entreprises publiques et presidents d'institutions en Afrique de se referrer au FCPA, UKBA, OCDE, à l'AFA et aux Nations Unies qui ont des guides gratuits posant des normes universelles qui sont similaires les unes des autres et si elles sont suivies et appliquées à la lettre elles sont très efficaces et pas besoin de conformité en papier.