Dois-je mettre en œuvre un système de management anticorruption ou un système de management de la conformité ? Quelles sont les différences entre les deux normes et comment déterminer quelle norme convient le mieux à l'entreprise ? Hans-Jürgen Fengler répond à ces questions et à bien d'autres encore. Il est auditeur pour les normes ISO 37001 et ISO 37301 et est donc l'interlocuteur idéal.
Hans-Jürgen Fengler, merci beaucoup d'avoir pris le temps de nous accorder cet entretien ! J'aimerais vous parler des différences entre les normes ISO 37001 et ISO 37301. Pourriez-vous m'expliquer brièvement à quoi se réfère chacune de ces normes ?
Hans-Jürgen Fengler : Avec plaisir. Les deux normes traitent de la mise en œuvre de systèmes de gestion visant à garantir la conformité aux lois et règlements. La norme ISO 37001 se concentre spécifiquement sur la lutte contre la corruption. Elle fournit un cadre pour l'identification, l'évaluation et l'élimination des risques de corruption, tandis que la norme ISO 37301 adopte une approche plus globale et couvre toutes les obligations de conformité d'une organisation. Cela comprend les lois, les règlements, mais aussi les engagements volontaires tels que le Pacte mondial ou le Code B.A.U.M.
Et comment fonctionne l'introduction d'un tel système de gestion tel que décrit dans la norme ISO 37301 ?
Hans-Jürgen Fengler : Selon la norme ISO 37301, une organisation doit définir un processus permettant d'identifier les risques les plus importants en matière de conformité. Une évaluation des risques est ensuite réalisée afin de déterminer les mesures, politiques, etc. nécessaires. Il en va de même pour la norme ISO 37001, mais uniquement pour le thème de la corruption. Le système est régulièrement revu et continuellement amélioré pour garantir son efficacité. En fin de compte, la certification par un organisme accrédité peut être demandée. Ensuite, un auditeur comme moi vient analyser le système de gestion et vérifier le potentiel d'optimisation. L'essentiel est de développer un système de gestion de la conformité sur mesure, qui réponde aux exigences et aux risques spécifiques de l'organisation et qui soit amélioré en permanence.
En d'autres termes, si la gestion de la conformité montre que la corruption est un problème majeur, alors je dois me tourner vers ISO 37001 ?
Hans-Jürgen Fengler : Oui, c'est possible. La norme ISO 37001 traite de la corruption. Cela signifie que si la corruption est le risque de conformité le plus important, vous pouvez vous concentrer sur l'ISO 37001. Toutefois, si la corruption n'est pas le sujet le plus pertinent, il est plus logique d'introduire le système de gestion de la conformité. Il est également possible d'utiliser le contenu de la norme ISO 37001 pour optimiser le système de gestion de la conformité en ce qui concerne la lutte contre la corruption et ainsi améliorer et concrétiser le système de gestion dans son ensemble. Lorsqu'il s'agit de choisir entre ISO 37301 et ISO 37001, la question se pose toujours : Qu'est-ce que je veux démontrer à mes parties intéressées, quelles sont leurs exigences ? Et qu'est-ce qui a du sens pour moi en tant qu'organisation ? En outre, dans certains pays, un système de gestion anticorruption conforme à la norme ISO 37001 est également exigé par la loi dans certains secteurs, par exemple dans le secteur de la construction en Italie ou pour les sociétés anonymes de la Bourse française. Dans ces cas, la question ne se pose pas et la certification ISO 37001 est obligatoire.
Le numéro 37301 vient après 37001. En quoi consiste cette désignation ?
Hans-Jürgen Fengler : La norme ISO 37001 a déjà été publiée en 2016, alors que la norme ISO 37301 n'entrera en vigueur qu'en 2021. La norme qui a précédé l'ISO 37301, l'ISO 19600, n'était conçue que comme une ligne directrice et ne contenait pas d'exigences spécifiques, pas plus qu'elle ne permettait de délivrer un certificat accrédité. Comme la norme ISO 37001 portait déjà le numéro 37001, le numéro 37301 a été choisi pour la nouvelle norme, plus complète. Tout ce qui a été publié par l'ISO dans le domaine des systèmes de gestion de la conformité se trouve dans la série 37000. C'est pourquoi la norme ISO 37301 y a également été classée.
Dans quelle mesure les normes ISO 37001 et ISO 37301 sont-elles adaptées à des organisations de tailles, de secteurs et de lieux géographiques différents ?
Hans-Jürgen Fengler : Fondamentalement, toutes les normes ISO relatives aux systèmes de management conviennent à toutes les organisations, quelles que soient leur taille, leur secteur d'activité et leur situation géographique. Les normes ISO 37001 et ISO 37301 ne font pas exception. Le chapitre 4 "Contexte de l'organisation" précise les exigences spécifiques à l'entreprise qui sont associées au système de management en détail et ce qui doit être pris en compte. Dans une grande organisation, les exigences sont plus nombreuses que dans une petite organisation. Bien entendu, tout cela a une forte influence sur les exigences de conformité qui doivent être prises en compte de manière spécifique.
Un facteur important en termes de localisation géographique est que le risque de corruption est plus élevé dans certains pays que dans d'autres. Transparency International fournit l'indice de perception de la corruption (IPC). Il se compose de 13 indices individuels, de 12 institutions indépendantes et d'entretiens avec des experts et indique le risque de corruption dans les différentes régions du monde.
Si je travaille dans un pays ou en coopération avec un pays où les risques de corruption sont considérés comme élevés, des mécanismes de contrôle plus détaillés doivent être mis en place que dans un pays où les risques de corruption sont moindres et où j'ai tendance à moins contrôler. En d'autres termes, la situation géographique a une influence sur la conception spécifique du système de gestion.
Est-il obligatoire de faire certifier les normes ou suffit-il de mettre en œuvre un système de gestion approprié ?
Hans-Jürgen Fengler : La certification est bien sûr facultative. Toutefois, elle peut aider les entreprises à documenter leurs obligations de conformité et à les prouver aux parties prenantes.
Dans quelle mesure les normes ISO 37001 et ISO 37301 peuvent-elles être intégrées à d'autres normes de systèmes de management comme ISO 9001 ?
Hans-Jürgen Fengler : Les deux normes sont basées sur la structure de haut niveau (HLS), ou structure harmonisée (HS), qui est également utilisée par d'autres normes de systèmes de management de l'ISO. L'intégration est donc possible en principe.
Toutefois, la question de savoir si l'intégration est judicieuse dépend de l'organisation concernée et de ses exigences spécifiques.
Est-il également possible de ne certifier que certaines parties ou activités entrant dans le champ d'application des normes ?
Hans-Jürgen Fengler : En principe, une certification partielle est possible. Toutefois, cela pose un problème dans le cas des questions de conformité, car les exigences concernent généralement l'ensemble de l'organisation. La certification de domaines individuels nécessiterait donc des démarcations artificielles qui sont pratiquement impossibles à mettre en œuvre dans la pratique.
Merci beaucoup pour vos commentaires intéressants !
L'entretien a été mené par Constanze Illner.
Bulletin d'information DQS
Restez informé et inscrivez-vous à notre newsletter !
