Depuis le 1er juin 2017, les entreprises de plus de 500 salariés qui réalisent un chiffre d’affaires de plus de 100 millions d’euros doivent se conformer aux exigences de la loi Sapin 2 (loi 2016-1691 du 9-12-2016) en matière de lutte contre la corruption. Instaurer un système de management anti-corruption au sein de sa structure exige, d’une part, que l’entité s’organise efficacement et dans la durée pour prévenir la corruption et, d’autre part, que cette organisation soit à la fois préventive et corrective. En effet, l’entreprise doit savoir gérer les risques : mettre tout en œuvre pour éviter d’être victime de la corruption active et passive ; prendre les mesures pour la détecter et la traiter ainsi que toutes les précautions sérieuses et efficaces dans le temps pour qu’un incident, s’il intervient, ne se renouvelle pas. Outre la mise en place de dispositifs techniques, le succès nécessite l’implication, la sensibilisation et la formation de toutes les parties prenantes de l’entreprise : la direction, les services juridiques, le compliance officer, etc. sans oublier les services opérationnels, commerciaux et de production. Certes tous les acteurs ne sont pas exposés au même niveau de risque et c’est pourquoi les mécanismes de prévention retenus devront être d’autant plus forts que le risque est grand en matière de corruption.
La mise en place de cette organisation structurante et performante de l’entreprise peut faire l’objet d’une certification. Depuis 2016, la norme internationale ISO 37001 : 2016 – Systèmes de management anti-corruption – offre aux entreprises cette faculté. Si la certification ISO 37001 n’a pas vocation à attester du bon respect par l’entreprise de la loi Sapin 2, un tableau de correspondance entre les principaux dispositifs exigés par la législation et ceux prévus par la norme peut être établi. Il en est ainsi, par exemple, des dispositifs d’alerte interne (point 8.9 de la norme : « le signalement des inquiétudes »), de la cartographie des risques (point 4.5 « évaluation des risques de corruption »), des procédures de contrôles comptables (point 8.3 « moyens de contrôle financier »), de la formation du personnel (point 7.3 « sensibilisation à la formation du personnel »).
Concrètement, comment obtenir le label ?
« Généralement la certification vient s’inscrire dans le cadre d’une politique globale, dans l’un des volets de l’entreprise éthique » précise Thierry Geoffroy, responsable Affaires publiques d’AFNOR Certification. La certification ne s’improvise pas. Elle est impliquante pour l’entreprise et demande du temps. Elle peut porter sur l’entreprise, le groupe (filiales comprises), avec des activités exclusivement en France-EU-Chine, par exemple… C’est l’entité qui définit son périmètre, périmètre qui doit, toutefois, être représentatif et non anecdotique.
La certification repose sur le principe d’audits menés une fois par an, sur trois années, réalisés par un tiers indépendant, impartial qui certifie que le dispositif mis en place est conforme aux exigences de la norme 37001. Après un premier audit initial qui peut donner lieu à l’attribution du certificat de conformité, des audits de suivi sont assurés tous les ans selon un plan construit, à une date arrêtée. « Un audit tous les ans a minima », souligne Thierry Geoffroy. « En cas de faisceau d’indices convergents qui laisse à penser que le dispositif mis en place n’est plus conforme à la norme, l’organisme certificateur peut s’autoriser à diligenter un audit immédiatement. De même, il s’attache à obtenir la vision la plus exhaustive de l’organisation mise en place pour lutter contre la corruption ». Les audits de certification intègrent trois volets incontournables : la conformité aux exigences posées par la norme (par exemple, la présence de la cartographie des risques prévue par la loi Sapin, correspondant au point 4.5 de la norme « évaluation des risques de corruption ») ; l’efficacité des mesures mises appréciée au travers d’indicateurs de suivis et l’amélioration continue du système anti-corruption dès la certification acquise. « Certes, on ne peut demander une amélioration au premier audit. Des indices peuvent néanmoins laisser supposer que l’entreprise progresse d’une façon continue. Par exemple, si une entreprise intègre un poste de compliance officer depuis un an : cela constitue une amélioration par rapport à son positionnement, il y a deux ans, dans sa lutte anti-corruption ». En cas d’incident relevé par l’auditeur pendant la période triennale, l’entreprise doit répondre au point soulevé. « La plupart du temps, le réajustement se fait dans les 8 jours, voire sous 24 ou 48h ». A défaut, elle risque soit la suspension de la certification (le temps pour l’entreprise qui souhaite poursuivre la certification de corriger les éléments critiques), soit le retrait du certificat.
La certification est exigeante et demande de la rigueur au quotidien. Elle nécessite des moyens humains et techniques sur le long terme afin d’assurer le suivi et de maintenir l’objectif. Ceci explique peut-être le fait, qu’à ce jour, seules trois entreprises ont fait l’objet d’une certification (Alstom, Oberthur Fiduciaire SAS, IDEM EMI SAS). « D’autres sont en cours et l’intérêt est grandissant chez les entreprises françaises », précise Thierry Geoffroy. Il est vrai que le jeu en vaut la chandelle : d’une part, la certification ISO 37001 se positionne comme un facilitateur du contrôle opéré par l’Agence française anticorruption (AFA) sur le plan de corruption puisque l’entité va retrouver les indicateurs certifiant la mise en place d’une organisation structurée et efficace pour lutter contre la corruption ; d’autre part, elle constitue un outil de communication interne (à destination des salariés) et externe (à destination des clients, partenaires, fournisseurs…), elle démontre l’intérêt de la société de s’inscrire durablement dans la lutte anti-corruption. Et comme le souligne Thierry Geoffroy « il n’y a rien de pire que de perdre sa certification. On est condamné au succès lorsque l’on communique sur la certification. »
Audrey TABUTEAU
