ISO 37008 : Enquêtes internes au sein des organisations

Ces dernières années, l'ISO a publié plusieurs normes visant à guider les organisations dans l'élaboration, la mesure et la communication des aspects clés de leurs programmes de conformité. La plus notable d'entre elles, la norme ISO 37001, porte sur la lutte contre la corruption, tandis qu'une autre, la norme ISO 37301, fournit des principes généraux et des exigences que les organisations peuvent utiliser pour mettre en place des systèmes autour de tout domaine majeur de conformité (tel que la diligence raisonnable, les contrôles à l'exportation ou même les domaines axés sur l'ESG, tels que les droits de l'homme).

Le moment choisi pour la publication de la norme ISO 37008 ne pouvait être mieux choisi. Compte tenu de l'avènement et de la prolifération de plusieurs nouvelles lois en matière de conformité et d'ESG comportant des exigences critiques en matière de reporting et d'enquêtes (telles que la loi allemande sur la diligence raisonnable dans la chaîne d'approvisionnement, la loi australienne sur les droits de l'homme et les lois anti-corruption telles que la loi américaine sur les pratiques de corruption à l'étranger et la loi britannique sur la corruption), la norme ISO 37008 fournit aux organisations des conseils sur la manière d'élaborer et de gérer des programmes dans ces domaines.

Dans cet article, nous aborderons les points suivants :

• les concepts clés décrits dans cette norme
• comment les organisations peuvent gérer plus efficacement les exigences en matière de reporting et d'enquêtes imposées par les réglementations de conformité et ESG en obtenant la certification ISO 37008.

Concepts clés de la norme ISO 37008

La norme ISO 37008 définit cinq domaines pour guider les organisations dans l'élaboration de leurs programmes d'enquête, à savoir :

• principes fondamentaux
• ressources et expertise pour mener des enquêtes
• établissement de politiques et de procédures
• déclaration
• application de mesures correctives.

La norme ISO 37008 reprend les principes traditionnels sur lesquels reposent la plupart des programmes d'enquête des entreprises. Ces principes rappellent aux organisations qu'elles doivent veiller à ce que les enquêtes soient :

• indépendant
• confidentiel
• réalisée par des professionnels qualifiés
• objectif et impartial
• menée conformément aux lois applicables.

La norme ISO 37008 accorde une grande importance à ce que le conseil d'administration (appelé « organe directeur ») et les cadres supérieurs (appelés « haute direction ») s'investissent dans le programme d'enquêtes afin que des ressources compétentes et qualifiées soient mises en place pour gérer les enquêtes. Bien que cela puisse sembler évident, la norme souligne que les organisations doivent également démontrer leur engagement à allouer des ressources financières et matérielles à la gestion des enquêtes. La norme demande aux organisations d'utiliser des plateformes technologiques appropriées pour gérer les signalements et les enquêtes et d'engager des ressources financières pour investir dans ces produits.

Au-delà des compétences, de l'expertise et des moyens financiers, la norme ISO 37008 souligne également que l'organe directeur et la direction doivent garantir l'indépendance et l'impartialité du programme d'enquête. Si vous connaissez d'autres normes ISO relatives à la conformité (telles que la norme ISO 37001), vous savez que l'ISO accorde généralement une grande importance à l'engagement des instances dirigeantes d'une organisation en matière de conformité. Contrairement à d'autres cadres, la responsabilité en matière de conformité et d'éthique n'incombe pas exclusivement aux services chargés de la conformité et de l'ESG ; au contraire, le conseil d'administration et les dirigeants doivent veiller à ce qu'il y ait une communication claire entre eux et les équipes chargées de l'intégrité, afin que ces dernières soient habilitées à s'acquitter de leurs responsabilités et disposent d'une ligne de communication directe avec les niveaux supérieurs de l'organisation.

La norme ISO 37008 exige des organisations qu'elles élaborent une politique régissant le processus d'enquête. Si la plupart des grandes organisations disposent déjà de tels documents, la norme met en évidence les éléments clés du programme d'enquête qui doivent être explicitement décrits dans la politique, ce qui est essentiel si vous avez l'intention de demander une certification.

La section 8, qui régit la planification et l'exécution du processus d'enquête, est sans doute la plus utile de la norme ISO 37008. L'un des aspects clés décrits dans la section 8 est la mise en place d'une « chaîne hiérarchique », qui peut être distincte de l'équipe chargée de l'enquête. Selon la norme, cette chaîne hiérarchique doit garantir l'impartialité de l'équipe d'enquête, déterminer s'il est nécessaire de contacter les autorités (en fonction de la nature de l'incident) et évaluer les risques et les répercussions pour l'organisation. L'équipe d'enquête doit tenir la chaîne hiérarchique informée au fur et à mesure de l'avancement de l'enquête.

La norme demande également à l'équipe d'enquête de mener et de documenter une évaluation préliminaire des incidents potentiels. Bien que la plupart des organisations disposent probablement d'un processus de triage, l'évaluation préliminaire, telle que décrite dans la norme, permet de garantir que les organisations documentent clairement les aspects clés de chaque enquête, tels que la prise de contact avec les parties concernées, la détermination de l'impact sur l'activité, la prise en compte des questions environnementales et juridiques pertinentes, et la décision de faire appel ou non à un conseil ou à une assistance externe. La nécessité d'une évaluation préliminaire documentée souligne également la nécessité d'utiliser des logiciels ou des plateformes d'enquête capables d'enregistrer ces informations.

La section 8 fournit également des informations plus détaillées sur les aspects techniques des enquêtes, tels que la collecte, la conservation, l'analyse et l'examen des données électroniques. L'annexe à la section 8 présente des suggestions intéressantes dont de nombreuses organisations peuvent tirer profit, notamment :

• la confidentialité est garantie par le biais de ce que la norme appelle un « avis écrit de mise en garde » adressé à la personne qui signale un incident potentiel.
• Mettre en place un « protocole de révision » afin d'assurer une gestion efficace des documents clés grâce à l'utilisation de mots-clés, de balises et de catégories.
• rester conscient des interférences potentielles avec une enquête.

La norme ISO 37008 décrit la mise en œuvre d'un « processus de finalisation » qui marque la fin de chaque enquête et doit inclure des conclusions fondées sur des preuves et une détermination suffisante des résultats pour lancer la procédure de remédiation.

La norme définit les exigences essentielles pour la rédaction d'un rapport d'enquête. Ces exigences comprennent :

• l'ajout de pièces à conviction et de pièces jointes importantes
• résumé des faits
• définir les limites et les contraintes
• préserver la confidentialité grâce à des normes organisationnelles en matière de conservation des documents.

Une fois encore, les logiciels peuvent être utiles à cet égard.

Les dernières sections pertinentes de la norme ISO 37008 traitent des mesures correctives et de l'interaction avec les parties prenantes. En ce qui concerne la prise de mesures efficaces à la suite d'une enquête, la norme va au-delà de la simple affirmation selon laquelle les mesures correctives doivent être équitables et proportionnées aux problèmes découverts. Elle souligne plutôt la nécessité pour les entreprises d'identifier les lacunes et les vulnérabilités en matière de conformité afin d'apporter des améliorations à long terme aux domaines concernés du programme de conformité.

La dernière section, consacrée à l'interaction avec les parties prenantes, couvre plusieurs aspects de la communication des résultats, des prochaines étapes et des rapports aux parties concernées. La norme traite de la question de la divulgation prudente aux autorités, soulignant que les équipes chargées de la conformité et de l'intégrité doivent discuter des résultats de l'enquête avec l'organe directeur et la direction générale, déterminer si la divulgation est nécessaire (ou bénéfique) et consulter des conseillers juridiques avant de communiquer.

Application de la norme ISO 37008 aux lois essentielles en matière de conformité et d'ESG

Concevoir votre programme d'enquêtes en vous basant sur les lignes directrices et les exigences de la norme ISO 37008 peut vous aider à vous conformer plus efficacement à certaines lois en matière de conformité et d'ESG.

Loi sur les pratiques de corruption à l'étranger (FCPA)

Bien qu'il n'existe pas de directives strictes sur la manière dont les entreprises doivent élaborer leurs programmes de lutte contre la corruption pour répondre aux exigences du FCPA, un document clé utilisé depuis des années est le guide « Évaluation des programmes de conformité des entreprises » du ministère américain de la Justice (DOJ). Dans ce document, le DOJ définit les critères que les procureurs peuvent utiliser pour évaluer les éventuels manquements d'une entreprise.

L'un des principaux domaines du programme que les procureurs évalueront est la structure de signalement confidentiel et le processus d'enquête d'une organisation, qui, selon le ministère américain de la Justice, sont « hautement probants » pour déterminer si une entreprise a mis en place des mécanismes de gouvernance d'entreprise. Bon nombre des facteurs spécifiques que les procureurs évalueront correspondent aux sections clés de la norme ISO 37008, notamment :

• mettre en place un processus permettant de bien définir la portée d'une enquête
• utiliser une méthodologie garantissant l'indépendance, l'objectivité et la documentation des enquêtes
• l'allocation de fonds suffisants pour les mécanismes et les outils utilisés dans le cadre du programme de signalement et d'enquête.

Au-delà de la conformité aux directives relatives au FCPA, la norme ISO 37008 peut aider à gérer les questions de lutte contre la corruption de plusieurs manières pratiques, notamment :

• veiller à ce que l'organisation dispose d'un processus permettant de traiter les préoccupations et les signalements concernant les pratiques courantes de corruption, telles que les pots-de-vin versés aux fournisseurs, la création de caisses noires pour obtenir des avantages commerciaux indus auprès de fonctionnaires et de clients, et l'octroi d'avantages en violation des politiques de l'entreprise en matière de cadeaux, de repas et de divertissements
• fournir des lignes directrices sur la mise en œuvre d'outils numériques et d'investigation pour rechercher et examiner les documents et les transactions décrivant des cas potentiels de corruption, tels que les courriels, les SMS, les factures et les reçus
• rédiger des rapports qui exposent clairement les allégations, les faits connus, les personnes impliquées et concernées, ainsi que les résultats de chaque enquête

fournir des conseils sur la manière dont une entreprise doit déterminer si elle doit divulguer des conclusions potentielles aux autorités et, le cas échéant, comment elle doit procéder – dans le contexte spécifique du FCPA, cela pourrait inclure des divulgations visant à réduire la sévérité des sanctions ou à précipiter la conclusion d'un accord de report ou de non-poursuite avec les autorités chargées de l'application de la loi.

La loi allemande sur la diligence raisonnable dans la chaîne d'approvisionnement (SCDDA)

La SCDDA est entrée en vigueur début 2023. Il s'agit de la première réglementation allemande qui tient les entreprises responsables des violations potentielles des droits humains et des préoccupations environnementales. Pour se conformer à la SCDDA, les entreprises doivent mettre en place des systèmes de gestion afin de surveiller les risques pertinents au sein de leurs activités et de leurs chaînes d'approvisionnement. Parmi les processus clés qui doivent être développés, on peut citer :

• une déclaration de politique générale qui définit les procédures de surveillance des risques liés aux droits de l'homme et à l'environnement, ainsi que les attentes envers les fournisseurs et les employés
• une procédure de signalement qui permet aux employés, aux fournisseurs et aux personnes concernées de signaler les violations potentielles
• rapport annuel aux autorités gouvernementales sur les résultats des contrôles préalables et des enquêtes.

L'obtention de la certification ISO 37008 permet aux organisations de mieux se préparer à se conformer à la SCDDA. La certification ISO 37008 garantit la mise en œuvre de plusieurs processus qui seront utiles pour la conformité à la SCDDA, tels que :

• Réviser les politiques afin d'indiquer que les canaux hiérarchiques de l'entreprise peuvent être utilisés pour signaler d'éventuelles violations des droits humains et des violations environnementales, en plus des problèmes traditionnels tels que la corruption et les questions relatives aux ressources humaines.
• mettre en place une procédure et des outils de signalement accessibles à l'usage des parties prenantes internes et externes
• Créer des procédures pour enquêter, gérer et signaler les problèmes liés aux droits de l'homme et à l'environnement.

Étant donné que la SCDDA exige que les tiers (fournisseurs, clients, personnes concernées) disposent d'informations sur la manière de signaler les cas, les entreprises peuvent envisager de mettre en place une politique accessible au public sur leur site web tout en conservant une politique interne décrivant les procédures d'enquête.

La conformité à la SCDDA peut être obtenue plus facilement en se référant aux exigences de la norme ISO 37008.

La directive sur le reporting extra-financier (CSRD)

La CSRD est entrée en vigueur début 2023 et oblige les entreprises à rendre compte de la durabilité de leurs pratiques commerciales.

La première section importante de la CSRD exige des organisations qu'elles rendent compte de diverses initiatives et objectifs stratégiques en matière de durabilité, tels que les mesures visant à limiter le réchauffement climatique, les stratégies visant à atteindre la neutralité carbone d'ici 2050 et les politiques internes en matière de durabilité, ainsi que la résilience du modèle économique et de la stratégie de l'organisation en matière de durabilité.

La deuxième section importante de la CSRD porte sur la diligence raisonnable ; dans le cadre de cette directive, la « diligence raisonnable » désigne les processus de collecte d'informations visant à déterminer les impacts négatifs causés par les activités et la chaîne d'approvisionnement de l'organisation. L'un des aspects clés de cette section concerne les mesures prises par l'organisation pour prévenir, atténuer, remédier ou mettre fin aux impacts négatifs qu'elle génère. En se référant à la norme ISO 37008, les organisations peuvent s'assurer que leurs processus de reporting et d'enquête sont mis en place pour traiter et gérer les demandes liées à la durabilité. Si certains peuvent considérer les questions de durabilité comme moins urgentes ou moins pertinentes d'un point de vue juridique, ils doivent également garder à l'esprit que ces questions peuvent affecter ceux qui n'ont pas voix au chapitre ou qui ont moins accès à des recours, tels que les communautés locales touchées par les activités d'une entreprise, les clients ou les fournisseurs sur les marchés locaux. En incluant les questions de durabilité dans leurs rapports et leurs enquêtes, les organisations peuvent plus facilement gérer les impacts négatifs causés par leurs activités et garantir la précision des informations divulguées afin de se conformer à la CSRD.

Conclusion

La norme ISO 37008 offre aux entreprises un moyen de normaliser leurs protocoles de signalement et d'enquête, tout en fournissant un cadre permettant d'adapter ces processus afin de gérer les exigences clés des réglementations nouvelles et existantes en matière de conformité et d'ESG. D'un point de vue commercial, cette norme permet aux organisations de démontrer que leurs processus de conformité internes sont conformes aux meilleures pratiques.