4 Contexte .gif)
Les deux choses les plus importantes n'apparaissent pas au bilan de l'entreprise : sa réputation et ses hommes. Henry Ford
Pour mettre en place avec succès un système de management anticorruption il faut bien comprendre et évaluer tout ce qui peut influer sur la raison d’être et la performance de l'entreprisestructure qui satisfait un besoin (voir aussi ISO/IEC Guide 2, 4.2 et ISO 26 000, 2.12). Il convient d’engager une réflexion approfondie après quelques activités essentielles :
- dresser un diagnostic approfondi du contexte unique dans lequel se trouve votre entreprise en prenant en compte les enjeux :
- externes comme l’environnement :
- social
- réglementaire
- économique (les partenaires)
- technologique
- les entreprise qui exercent un contrôle sur l'entreprise
- internes comme :
- les aspects spécifiques de la culture d’entreprise :
- vision
- raison d’être, finalité, mission
- valeurs essentielles
- le personnel
- la complexité des activités
- les produits et services
- les infrastructures
- les entités sur lesquels l'entreprise exerce un contrôle
- les aspects spécifiques de la culture d’entreprise :
- externes comme l’environnement :
- surveiller et passer en revue régulièrement toute information relative aux enjeux externes et internes
- analyser les facteurs pouvant influer sur l’atteinte des objectifs de l’entreprise
Les analyses PESTEL et SWOT (nos forces et faiblesses, les opportunités et les menaces) peuvent être utiles pour une analyse pertinente du contexte de l’entreprise. L'annexe 07 montre l'outil analyse SWOT (Strengths, Weaknesses, Opportunities, Threats ou Forces, faiblesses, opportunités, menaces).
Une liste des enjeux externes et internes est réalisée par une équipe pluridisciplinaire. Chaque enjeu est identifié par son niveau d’influence et de maîtrise. La priorité est donnée aux enjeux très influents et pas du tout maîtrisés. .gif)
.jpg)
Minute de détente. Jeu : Contexte de l'entreprise
- le diagnostic du contexte comprend les principaux enjeux externes et internes
- la liste des enjeux externes et internes est exhaustive
- les valeurs essentielles comme partie de la culture d’entreprise sont pris en compte dans le contexte de l’entreprise
- les résultats de l’analyse du contexte sont largement diffusés
- l’analyse SWOT inclut beaucoup d’exemples pertinents
- l’analyse SWOT est un outil performant pour l’identification des principales menaces et opportunités
- des enjeux du contexte de l’entreprise comme l'environnement concurrentiel ne sont pas pris en compte
- dans certains cas la culture d'entreprise n'est pas prise en compte
- l’analyse des risques ne prend pas en compte les enjeux stratégiques
- manque de lien clair entre l’analyse SWOT et les actions entreprises
- les menaces et faiblesses identifiées dans l’analyse SWOT restent sans actions
4.2 Parties prenantes
Exigences des parties prenantes
Exigences 2 à 3
La finalité de l'entreprise est d'améliorer nos vies et de créer de la valeur pour les parties prenantes. John Mackey
Pour bien comprendre les besoins et attentes des parties prenantes il faut commencer par déterminer tous ceux qui peuvent être concernés par le système de management anticorruption comme par exemple :
- les salariés
- la direction
- les clients
- les fournisseurs
- les propriétaires
- les actionnaires
- les banquiers
- les distributeurs
- les concurrents
- les organisations sociales et politiques
« Dans une entreprise typique, si vous avez une réunion, peu importe combien importante, il y a toujours une partie qui n'est pas représentée : le client. Il est donc très facile à l'intérieur de l'entreprise d'oublier le client ». Jeff Bezos.
Pour remédier à ce souci d’oubli il prit l’habitude de placer une chaise vide à chaque réunion.
- se préparer à faire face aux menaces de corruption
- pouvoir saisir des opportunités d'amélioration du SMAC
La signature du contrat fut retardée de quelques semaines car on avait oublié de traduire une partie de la documentation dans la langue locale.
Oublier une partie prenante (et son besoin spécifique) peut créer beaucoup de soucis !
- la liste des parties prenantes est à jour
- les besoins et attentes des parties prenantes sont établis au moyen de rencontres sur place, enquêtes, tables rondes et réunions (mensuelles ou fréquentes)
- l’application des exigences légales et réglementaires est une démarche de prévention et non une contrainte
- des exigences réglementaires et légales ne sont pas prises en compte
- les attentes des parties prenantes ne sont pas déterminées
- la liste des parties prenantes ne contient pas leur domaine d’activité
4.3 Domaine d'application
Domaine d'application du SMAC
Exigences 4 à 8
Aucun domaine n'est à l'abri du risque de corruption
Le domaine d’application (ou autrement dit le périmètre) du SMAC délimite ce qui entre et ce qui n'entre pas dans le système. Le SMAC prend en compte :
- la finalité de l'entreprise
- les enjeux internes et externes, cf. § 4.1
- les attentes des parties prenantes, cf. § 4.2
- les conclusions de l'évaluation des risques de corruption, cf. § 4.5
Les processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1), les fonctions et les départements les plus à risque sont spécialement visés, comme achats, vente et gestion du personnel.
Pour un nouveau marché, une entreprise minière a réalisé un inventaire des permis et licences obligatoires à l'exercice de ses activités. Au total, il s’est avéré que près de 20 permis et licences étaient nécessaires, concernant plusieurs agences centrales et locales.
Cette connaissance a permis à l'entreprise de gérer efficacement ses actions de prévention de la corruption.
La fraude, les ententes entre entreprisesstructure qui satisfait un besoin (voir aussi ISO/IEC Guide 2, 4.2 et ISO 26 000, 2.12), le blanchiment d’argent, le trafic d’influence et autres délits ne sont pas traités directement pas l’ISO 37001, mais peuvent être inclus dans votre SMAC.
Le domaine d’application est disponible en interne et aux parties prenantes sous forme d’enregistrement, cf. § 7.5.
- toutes les filiales du groupe sont incluses dans le domaine d'application du SMAC
- le domaine d'application est pertinent et disponible sur simple demande
- une filiale du groupe n’entre pas dans le domaine d’application du SMAC
- la filiale ne possède pas ses propres moyens de contrôle anticorruption
- certaines activités sont en dehors du domaine d’application du SMAC sans justification
4.4 Système de management anticorruption (SMAC)
Exigences du SMAC, processus et interactions
Le management de la qualité, dans son essence, concerne la description des processus, puis leur amélioration. Isaac Getz
Les exigencesbesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) de la norme ISO 37001 concernent :
- le système de management anticorruption et
- les processus nécessaires
Pour cela :
- le système de management anticorruption (SMAC) est :
- raisonnable et approprié
- établi
- documenté (un système documentaire simple et suffisant est mis en place)
- mis en place et amélioré en continu
- le SMAC tient compte :
- des enjeux externes et internes (cf. § 4.1)
- des besoins et attentes des parties prenantes (cf. § 4.2)
- des risques de corruption identifiés (cf. § 4.5)
- la politique anticorruption, les objectifs, les indicateurs et les ressources sont déterminés
- les menaces sont identifiées et les actions pour les réduire sont établies (cf.§ § 4.5 et 6.1)
- les processus essentiels nécessaires au SMAC sont maîtrisés :
- les pilotes de processus nommés
- les ressources correspondantes assurées
- les éléments d’entrée et de sortie identifiés
- les informations nécessaires disponibles
- les séquences et les interactions établies
- chaque processus est mesuré et surveillé (critères établis), les objectifs sont établis et les indicateurs de performance analysés
- les actions pour obtenir l’amélioration continue des processus sont établies
- le strict minimum nécessaire (« autant que nécessaire ») des documents sur les processus est tenu à jour et conservé (
.gif)
)
Le manuel anticorruption n’est pas une exigencebesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) de la norme ISO 37001 version 2016 mais cela est toujours une possibilité de présenter l’entreprisestructure qui satisfait un besoin (voir aussi ISO/IEC Guide 2, 4.2 et ISO 26 000, 2.12), son SMAC et ses procédures et processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) (cf. annexe 08).
Le guide de l’ISO « The integrated use of management system standards » (L’utilisation intégrée des normes de systèmes de management) de 2018, en anglais, contient des recommandations pertinentes sur l’intégration des systèmes de management.
.jpg)
- faire de la sur-qualité :
.jpg)
- une opération inutile est réalisée sans que cela ajoute de la valeur et sans que le client le demande – c’est un gaspillage, cf. les outils qualité E 12
- faire écrire toutes les procédures par le responsable anticorruption :
- la prévention de la corruption est l'affaire de tous, « le personnel a conscience de la pertinence et de l’importance de chacun à la contribution aux objectifs anticorruption », ce qui est encore plus vrai pour les chefs de départements et les pilotes de processus
- oublier les spécificités liées à la culture d'entreprise :
- innovation, luxe, secret, management autoritaire (Apple)
- culture forte liée à l’écologie, à l’action et la lutte, tout en cultivant le secret (Greenpeace)
- culture d’entreprise fun et décalée (Michel&Augustin)
- entreprise libérée, l’homme est bon, aimer son client, rêve partagé (Favi, cf. F 50)
Les exigencesbesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) de la norme ISO 37001 sont montrées en figure 4-1 :
Figure 4-1. Les exigences de la norme ISO 37001 (2016)
La mise en place du SMAC et des bonnes pratiques sont vérifiées par un audit à blanc.
- la cartographie des processus contient assez de flèches pour bien montrer qui est le client (interne ou externe)
- beaucoup de flèches (plusieurs clients) sont utilisées pour les processus (aucun client n’est oublié)
- pendant la revue de processus la valeur ajoutée du processus est bien dévoilée
- l’analyse de la performance des processus est un exemple de preuve d’amélioration continue de l’efficacité du SMAC
- la direction surveille régulièrement les objectifs et les plans d'action
- les engagements de la direction relatifs à l’amélioration continue sont largement diffusés
- la finalité de chaque processus est clairement définie
- certains éléments de sortie de processus ne sont pas correctement définis (clients non pris en compte)
- pilote de processus non formalisé
- processus externalisés non déterminés
- des activités bien réelles ne sont pas identifiées dans aucun processus
- séquences et interactions de certains processus ne sont pas identifiées
- surveillance de la performance de certains processus non établie
- le SMAC n’est pas à jour (nouveaux processus non identifiés)
4.5 Risques de corruption
Identification et évaluation des risques de corruption
Exigences 13 à 21
Toute décision comporte un risque. Peter Barge
La gestion du risque a été considérée dans le passé par certains responsables comme quelque chose de superflu. Ces personnes pensaient que l’objectif principal était d’éviter le risque. Depuis beaucoup ont compris que le risque est inévitable et intrinsèque à toute activité mais doit être réduit à un niveau acceptable.
Pour identifier et limiter les risques de corruption il convient d’établir un système de gestion anticorruption basé sur l’appréciation et le traitement des risques. Quelques étapes :
- identifier les situations à risque de corruption
- passer en revue tous les :
- métiers
- postes à risque
- incidents du passé
- résultats des audits
- analyser l’impact et la vraisemblance d’apparition du risque
- évaluer les risques en hiérarchisant les risques des situations les plus critiques
- mettre en place un plan d’action pour agir sur les situations prioritaires
- déterminer le seuil acceptable de risque résiduel
- renforcer les contrôles comptables des situations à risque
- évaluer les moyens de contrôle mis en place
- actualiser le plan d’action régulièrement
- sensibiliser et former la personnel, cf. § 7.3
- réaliser des diligences raisonnables des partenaires, cf. § 8.2
- mettre en place le dispositif de signalement, cf. § 8.9
Les critères pour évaluer le niveau de risque de corruption sont définis et prennent en compte la politique anticorruption et les objectifs à atteindre.
Les « postes à risque » sont ceux avec :
- des contacts réguliers avec des clients
- des contacts réguliers avec des fournisseurs
- des conflits d’intérêts
- des responsabilités de décision de la société
- des responsabilités financières
- des facilités de gestion de budgets permettant de distribuer des cadeaux, de faire des remises, du mécénat
Une cartographie des risques est montrée dans l’annexe 02.
Un risque peut être classé en :
- négligeable
- faible (limité)
- modéré
- élevé (significatif)
- critique
Dans l’annexe 09 vous pouvez trouver 19 outils PRS (problème, risque, sécurité). Pour plus d’outils veuillez regarder l’ensemble Outils qualité E 12.
Le fichier Excel (annexe 10) permet de gérer les risques avec les feuilles de calcul :
- identifier
- analyser
- évaluer
- traiter et
- surveiller
Pour plus d’information sur l’appréciation et le traitement des risques, voir la formation F 51 Gestion du risque.
Dans l’entreprise ABC chaque lot est validé par un opérateur qualité. Un lot fut refusé (l’échantillon prélevé dépassait le seuil autorisé de non-conformités). Le responsable production, pour ne pas perdre sa prime mensuelle demanda à l’opérateur de fermer les yeux et de valider le lot en échange d’une enveloppe avec quelques billets. L’opérateur qualité refusa l’enveloppe et signala la tentative de corruption à son chef, qui en informa le responsable anticorruption.
Le directeur exigea une sanction exemplaire et demanda de mettre à jour la cartographie des risques, qui était surtout orientée sur les postes à risque acheteur, commercial et recruteur.
Les outils de gestion du risque sont utilisés pour toutes les étapes du processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) « Gérer le risque », cf. annexe 11. 
Dans la norme ISO 31010 sont décrits les outils ou techniques d’évaluation du risque les plus utilisés.
Un risque peut avoir des impacts négatifs (on parle de menaces) ou bien des impacts positifs (on parle d’opportunités).
Souvent le risque est assimilé à un danger et utilisé couramment à la place de menace.
Toute menace pouvant perturber les activités normales de l’entreprisestructure qui satisfait un besoin (voir aussi ISO/IEC Guide 2, 4.2 et ISO 26 000, 2.12) est :
- déterminée
- analysée
- évaluée et
- des actions appropriées sont appliquées pour empêcher ou réduire les effets indésirables
L’approche par les risques nous permet de préparer l’action à entreprendre si un élément de sortie du processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) ne respecte pas une exigencebesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1). Autrement dit être prêt au cas où quelque chose ne fonctionnerait pas (bien).
Toute opportunité pouvant augmenter des effets souhaitables sur le système de management anticorruption est soutenue avec des actions d’amélioration continue.
La nature des actions est proportionnelle à l’impact potentiel des menaces et des opportunités. Quelques exemples de risques sont listés dans l’annexe 12.
Un exemple de procédure « Gestion des risques » est montré dans l’annexe 13. 
Les enregistrements des résultats de l’évaluation des risques sont conservés.
Le plan d’action de réduction du risque, cf. l’annexe 14, inclut les options suivantes :
- éviter le risque (refuser l’activité porteuse du risque)
- accepter le risque pour gagner une opportunité
- éliminer la source du risque
- modifier la probabilité d’apparition du risque
- réagir sur les conséquences du risque
- partager le risque avec d’autres parties prenantes
- maintenir le risque résiduel (niveau acceptable)
Exemple d’un risque non identifié :
Minute de détente. Jeu : Risque
- la liste des risques pris en compte est exhaustive et à jour
- la liste des risques est communiquée à l’ensemble du personnel
- les risques de corruption sont priorisés dans une liste mise à jour
- le plan d’action pour lutter contre les risques prioritaires est mis en place
- l’efficacité des actions de prévention a été évaluée
- le nouveau niveau de risque résiduel est à jour
- des actions pour réduire certains risques sont intégrées dans les processus clés
- le plan d’action inclut une colonne utilisée pour le suivi de l’efficacité des actions
- le plan d’action prend en compte les résultats des audits internes
- certaines exigences des parties prenantes ne sont pas prises en compte lors de la planification des actions face aux risques
- certains risques de corruption ne sont pas identifiés
- les risques ne sont pas priorisés
- les risques des commerciaux ne sont pas prioritaires
- aucune action de prévention n’a été mise en place
- le niveau de risque résiduel n’est pas à jour
- aucune planification d’actions pour réduire les impacts négatifs
- pas d’opportunité pour augmenter les effets souhaitables
- les menaces et opportunités ne sont pas identifiées et évaluées pour certains processus
- la liste des risques n’a pas bougé depuis sa création
Le reste de la formation F 25v16 Préparation à l'ISO 37001 version 2016 est accessible sur cette page.
Voir aussi la formation F 55v16 Audit interne ISO 37001 et le lot de formations ISO 37001.