Comment fonctionne un audit ISO 37001, comment s'y préparer et quelle valeur ajoutée un audit ISO 37001 apporte-t-il – au-delà du certificat ? Nous souhaitons aborder ces questions ci-dessous sous forme d'étude de cas. Nous avons parlé de cela avec Chong-Lai Kim, représentant des achats centraux chez Veolia, qui a joué un rôle clé dans l'audit. Lors d'une interview, Kim nous raconte comment il a vécu l'audit ISO 37001 effectué par DQS chez Veolia. Nous avons également échangé avec l'auditeur DQS Hubert Spahn, qui a mené l'audit. À la suite de cet audit, trois filiales de Veolia en Allemagne ont obtenu la certification selon la norme ISO 37001:2016 pour les systèmes de management anti-corruption.
Mais nous ne voulons pas nous avancer trop rapidement. Alors, d'abord, une question pour Chong-Lai Kim : Pouvez-vous nous dire comment s'est déroulé le processus ?
Kim : Bien sûr. Le département des achats centralisés a lancé un appel d'offres. Nous avons examiné les propositions et avons ensuite choisi DQS comme prestataire, ce qui a conduit à la signature du contrat. La certification a ensuite été planifiée. Hubert Spahn, l'auditeur de DQS, a effectué cela directement avec les collègues des départements spécialisés, car ils sont responsables du contenu et des aspects techniques de l'audit. Nous avons une structure d'entreprise très complexe, donc cela a nécessité un énorme effort de coordination.
Et qu'a révélé l'audit chez Veolia ?
Spahn : L'audit a montré que le groupe Veolia dispose d'un système de management anticorruption structuré et géré de manière professionnelle conformément à la norme ISO 37001. Une documentation cohérente à travers les différentes entreprises garantit le respect de la Loi Sapin II et de la norme ISO. L'audit permet à Veolia de démontrer pour la première fois la fonctionnalité de son système de management de la lutte contre la corruption à des tiers grâce à un certificat indépendant et crédible.
Contexte de la certification
La société mère Veolia S.A. est une entreprise cotée en bourse basée à Paris. En tant que grande entreprise basée en France, comptant plus de 500 employés et un chiffre d'affaires annuel d'au moins 100 millions d'euros, la société mère de Veolia est soumise aux dispositions les plus strictes de la Loi Sapin II. La loi s'applique également aux entreprises de même taille appartenant à une société mère dont le siège est en France.
Qu'est-ce que la Loi Sapin II ?
La Loi Sapin II est la législation française visant à lutter contre la corruption et à protéger les lanceurs d'alerte. Elle s'inscrit dans la dynamique des normes mondiales anti-corruption et s'inspire largement du FCPA (Foreign Corrupt Practices Act des États-Unis §§ 78dd-1, et seq.) et du UK Bribery Act. Ces lois définissent les réglementations pour la prévention et la détection de la corruption et des pots-de-vin, en favorisant une plus grande transparence des entreprises. La loi prévoit également un renforcement de la surveillance interne et une meilleure protection des lanceurs d'alerte.
Que signifie la Loi Sapin II pour les entreprises concernées ?
Les entreprises concernées sont obligées de mettre en place un programme de conformité complet. Ce programme doit inclure les éléments suivants :
a) un code de conduite pour lutter contre la corruption,b) un mécanisme d'évaluation des risques,c) des procédures de diligence raisonnable vis-à-vis des tiers,d) une formation à la conformité pour les managers,e) une procédure interne de ligne d'assistance pour protéger la confidentialité des lanceurs d'alerte,f) une procédure de mesure de l'efficacité du programme anti-corruption.
Si aucune mesure n'est prise pour prévenir et détecter les cas de corruption, la loi prévoit des amendes pouvant atteindre 1 million d'euros pour les entreprises et jusqu'à 200 000 euros pour les dirigeants, tant pour les entreprises que pour les individus. Le non-respect de cette législation peut même entraîner des peines de prison. La mise en œuvre des mesures anti-corruption de la Loi Sapin II est suivie par l'autorité nationale nouvellement créée "Agence Française Anti-Corruption" (AFA).
Cette législation complète constitue une première en France. Cela signifie que toutes les entreprises basées en France ou ayant des liens avec la France doivent réexaminer leurs programmes de conformité et s'assurer qu'elles respectent les normes anti-corruption et anti-pots-de-vin de la Loi Sapin II.
Tout d'abord, félicitations à Veolia pour ce résultat positif. J'ai encore une question à poser à Hubert Spahn. Pouvez-vous nous expliquer comment fonctionne un audit ISO 37001 ?
Spahn : Oui, tout d'abord, je tiens à préciser qu'un audit d'un système de management de lutte contre la corruption conformément à l'ISO 37001 n'est pas un audit judiciaire, c'est-à-dire qu'aucun acte criminel potentiel n'est investigué. Néanmoins, l'audit a montré que toutes les personnes impliquées, en particulier celles auditées, doivent être conscientes du fait qu'elles ne sont pas suspectées, accusées ou placées sous suspicion générale, car l'ISO 37001 ne peut en fin de compte être audité que "rétrospectivement". Cela signifie que l'auditeur doit examiner les processus et la norme sous un angle "criminel". L'objectif est de découvrir où pourraient se situer des points faibles, des risques, des portes d'entrée ou des indices de ce que l'on appelle des "drapeaux rouges" pour la corruption au sein de l'entreprise. Cela a un impact direct sur l'employé audité, car il faut supposer que la personne a une intention criminelle afin de pouvoir évaluer le risque. Il s'est avéré que les employés avaient souvent du mal à imaginer où une tentative de corruption pourrait survenir.
Audit rétroactif : comment cela s'est-il passé pour vous, Chong-Lai Kim ?
Kim : Bien sûr, il y a des questions qui, peut-être au début, sont peu familières, qu'on ne vous pose pas tous les jours et qui suscitent la réflexion. Pour ma part, c'était un nouveau type de question. Un audit comme celui-ci met l'importance du sujet en avant, même au-delà des départements. Après tout, les Ventes étaient impliquées, tout comme la Comptabilité financière et les Ressources humaines. Chacun a eu son entretien avec Hubert Spahn.
L'audit m'a permis de prendre conscience de certaines choses, en particulier de l'attention et de la prudence nécessaires dans la gestion des fournisseurs. Après l'entretien, j'ai également abordé ce sujet avec mon équipe. Après tout, les achats, tout comme les ventes, sont particulièrement vulnérables en matière de corruption.
ISO 37001 contre ISO 37301 - Entretien avec l'auditeur Hans-Jürgen Fengler
Dois-je mettre en place un système de management anti-corruption ou un système de management de la conformité ? Quelles sont les différences entre les deux normes et comment déterminer quelle norme est la plus adaptée à chaque entreprise ? Nous en discutons avec Hans-Jürgen Fengler à ce sujet et d'autres questions. Il est auditeur pour les deux normes ISO 37001 et ISO 37301, et il est donc la personne idéale pour en parler.
Et quelle a été la réaction ?
Kim : Tout le monde en était déjà conscient, mais cela a été un électrochoc. Il y a une différence entre entendre parler du sujet lors d'une formation et se le voir poser directement par un auditeur lors d'un audit.
Spahn : Bien qu’une formation de qualité soit dispensée chez Veolia, l’audit a rendu les employés encore plus conscients des risques de corruption. En particulier, l'identification des "signaux d'alerte", c’est-à-dire des indices ou des indices lors de l'audit pour des comportements criminels de la part des employés, collègues ou partenaires, a sensibilisé et a été perçue comme un apport de valeur.
Où le risque de corruption est-il généralement élevé ?
Spahn : Particulièrement dans le cas des grandes entreprises et des grandes organisations avec des processus d’approbation en plusieurs étapes, il faut être conscient que la corruption n’est possible que si les personnes impliquées ont un niveau élevé d’énergie criminelle. En effet, la corruption sera régulièrement seulement la "première infraction". Des infractions suivantes telles que la fraude (article 263 du Code pénal allemand (StGB)) seront généralement commises, peut-être sous forme de criminalité en bande. Le but de la corruption est de convaincre la personne corrompue d’agir au profit du donneur de pot-de-vin, ce qui est généralement au détriment de l’entreprise ou du public. Une personne avec un niveau élevé d’énergie criminelle et la volonté d’obtenir un avantage personnel ne sera arrêtée par rien, il faut en être conscient. Exposer cette énergie criminelle dans une situation d’audit ouvert pour une certification ISO 37001 est hautement improbable et n’est pas l’objectif d’un audit ISO. Mais avec un système de management anticorruption, vous pouvez rendre ces actes plus difficiles et augmenter la probabilité de détection, et cela ne peut être que l'objectif.
Les événements récents au Parlement européen montrent particulièrement à quel point les individus et les systèmes sont vulnérables à la corruption et les dommages que cela cause à l’image des organisations concernées. Avec la certification ISO 37001, les entreprises peuvent instaurer la confiance et la transparence avec leurs clients et partenaires. L'audit indépendant contribue à l'amélioration continue du système de management et donc à la conformité au sein de l’organisation.
L'entretien a été réalisé par Constanze Illner.
Loading...
Auditeur
Hubert Spahn
Hubert Spahn est auditeur certifié depuis 2006 et travaille pour DQS, entre autres, dans les domaines de l'ISO 37001 Anticorruption et de l'ISO 37301 Management de la Conformité.
En tant qu'avocat pleinement qualifié et avocat agréé, avec une formation complémentaire en tant que responsable conformité, M. Spahn est hautement qualifié pour auditer des systèmes de management de la conformité.
Nos clients apprécient grandement son approche respectueuse et axée sur les valeurs dans la réalisation des audits.
DQS - votre partenaire pour la certification ISO 37001
DQS est un organisme de certification accrédité pour la norme ISO 37001. Avec des auditeurs qualifiés dans le monde entier, nous sommes à votre disposition. Contactez-nous - nous serons ravis de discuter de vos projets !
Bulletin d'information DQS
Restez informer et inscrivez-vous à notre newsletter !
Auteur
Constanze Illner
Constanze Illner (elle/il) est responsable de la recherche et de la communication dans le domaine de la durabilité et de la sécurité alimentaire. À ce titre, elle suit tous les développements importants dans ce contexte et informe notre clientèle dans une newsletter mensuelle. Elle anime également la conférence annuelle Sustainability Heroes.
Loading...
