Pour mettre en place un système de gestion anti-corruption conforme à la norme ISO 37001, vous devez d'abord comprendre où en est votre organisation aujourd'hui.

La première étape consiste en une analyse des écarts qui évalue les contrôles anticorruption existants par rapport aux exigences de la norme. Cela comprend les processus d'approvisionnement, les activités de diligence raisonnable, les contrôles des cadeaux et des marques d'hospitalité, ainsi que la gestion des risques liés aux tiers.

Cet examen initial permet généralement d'identifier à la fois les points forts à exploiter et les lacunes à combler, fournissant ainsi une feuille de route claire et pratique pour la mise en œuvre.

Les organisations adoptent la norme ISO 37001 pour répondre aux attentes des parties prenantes, gérer les risques de corruption à mesure qu'elles se développent sur des marchés à haut risque et renforcer leur position dans les secteurs réglementés. La certification fait passer les efforts de lutte contre la corruption d'une conformité réactive à un système de gestion structuré intégré dans les opérations commerciales.

La plupart des organisations achèvent le processus de certification dans un délai de six à douze mois, en fonction de leur taille, de leur complexité et de la maturité des contrôles existants. Les résultats comprennent une diligence raisonnable renforcée, une gouvernance plus claire, une confiance accrue des parties prenantes et une démonstration crédible de pratiques commerciales éthiques dans les relations avec les fournisseurs et les partenaires.

Pour mettre en œuvre efficacement la norme ISO 37001, il ne suffit pas de comprendre le texte de la norme. Les équipes doivent savoir comment appliquer ses exigences dans le contexte spécifique de leur entreprise et des risques auxquels elles sont exposées.

Une gestion efficace de la lutte contre la corruption dépend de la capacité des employés des services achats, ventes, juridique, conformité et opérations à comprendre non seulement les règles, mais aussi leur raison d'être et la manière de les appliquer en utilisant une approche fondée sur les risques. Les formations génériques offrent rarement ce niveau de connaissances pratiques.

Les formations Speeki ISO 37001 de deux et trois jours sont conçues pour développer des compétences pratiques en matière de mise en œuvre. Elles couvrent chacune des exigences de la norme à l'aide d'exemples spécifiques au secteur, d'études de cas et d'exercices pratiques.

Les participants apprennent à évaluer les risques de corruption, à concevoir et à appliquer des procédures de diligence raisonnable, à mettre en œuvre des contrôles proportionnés et à élaborer la documentation nécessaire à la certification.

Le cours de trois jours comprend des modules supplémentaires sur les techniques d'audit interne et la préparation à l'évaluation de certification.

Dispensée sur site ou à distance, cette formation permet d'établir une compréhension commune entre les différentes fonctions, facilite une mise en œuvre plus rapide et contribue à intégrer les pratiques anti-corruption dans les opérations quotidiennes.

Une erreur courante dans la mise en œuvre de la norme ISO 37001 consiste à la considérer comme une liste de contrôle plutôt que comme un outil de gestion des risques.

La norme ISO 37001 exige une approche fondée sur les risques. Les contrôles anti-corruption doivent être proportionnés aux risques de corruption auxquels une organisation est exposée, plutôt que d'être appliqués de manière uniforme sans tenir compte du contexte. Une entreprise technologique qui vend des abonnements à des logiciels est confrontée à des risques très différents de ceux d'une entreprise de construction travaillant avec des clients du secteur public dans des juridictions à haut risque, mais les deux peuvent se conformer à la norme en concevant des contrôles adaptés à leur exposition.

Cela commence par une évaluation structurée des risques de corruption qui tient compte de facteurs tels que le secteur d'activité, l'empreinte géographique, le modèle commercial, les relations avec des tiers et l'environnement réglementaire. La diligence raisonnable, les seuils d'approbation et les activités de surveillance doivent ensuite être adaptés à ces risques. Par exemple, un fournisseur à faible risque peut nécessiter un contrôle de base, tandis qu'un intermédiaire à haut risque peut nécessiter une diligence raisonnable renforcée, des vérifications de la propriété effective et une surveillance continue.

L'approche fondée sur les risques s'applique à l'ensemble du système de gestion. La formation doit se concentrer sur les rôles à haut risque, les politiques doivent traiter les vulnérabilités spécifiques de l'organisation et les ressources doivent être affectées aux domaines les plus exposés.

Les organisations qui respectent cette discipline évitent toute bureaucratie inutile qui ralentit les activités et les contrôles trop laxistes pour gérer les risques réels. Une réévaluation régulière des risques garantit que le système de gestion évolue avec l'organisation et que la certification ISO 37001 reste pertinente dans la pratique.

La différence entre réussir et échouer à un audit de certification ISO 37001 réside souvent dans la préparation plutôt que dans la conception des contrôles.

Les organisations peuvent passer des mois à mettre en place un système de gestion anti-corruption, pour finalement constater des lacunes lors de l'audit de certification. Cela peut entraîner des retards, des travaux de remédiation supplémentaires et une perte de confiance parmi les parties prenantes.

Les services de pré-certification de Speeki sont conçus pour identifier ces problèmes avant l'évaluation formelle.

Une analyse structurée des écarts examine la mise en œuvre par rapport à toutes les exigences de la norme ISO 37001, en mettant en évidence les documents manquants, les procédures incomplètes et les faiblesses susceptibles d'entraîner des non-conformités.

Viennent ensuite des audits simulés qui reflètent le processus de certification. Ceux-ci comprennent des entretiens avec les employés, des examens des dossiers, des tests de contrôle et l'examen des preuves, de la même manière qu'un organisme de certification mènerait l'audit.

Le processus identifie à la fois les lacunes en matière de conformité et les problèmes de préparation, tels que les employés qui ne peuvent pas expliquer clairement les procédures, la documentation qui ne reflète pas les pratiques réelles, les preuves difficiles à localiser et les contrôles qui existent sur le papier mais ne fonctionnent pas efficacement.

Les dernières semaines avant votre audit de certification ISO 37001 nécessitent une planification logistique minutieuse ainsi qu'une préparation technique.

Tous les documents doivent être centralisés et facilement accessibles. Les auditeurs examineront les politiques, les procédures, les évaluations des risques, les dossiers de formation, les dossiers de diligence raisonnable et les procès-verbaux des réunions. Tout retard ou toute information manquante peut suggérer une organisation défaillante ou un contrôle insuffisant.

Préparez un index principal indiquant où chaque exigence de la norme ISO 37001 est traitée et où se trouvent les preuves à l'appui. Cela aide les auditeurs à naviguer efficacement dans le système.

Les entretiens doivent être planifiés à l'avance. Sélectionnez des participants qui comprennent leur rôle dans le système de gestion anti-corruption et qui sont capables d'expliquer comment les procédures fonctionnent dans la pratique, sans se contenter de répéter le libellé de la politique. Cela devrait inclure des représentants des fonctions à haut risque telles que les achats, les ventes et les finances, ainsi que les équipes de direction et de conformité.

La logistique de l'audit doit être planifiée avec soin. Prévoyez des salles de réunion adaptées, assurez-vous que les systèmes et les dossiers pertinents sont accessibles, préparez les visites sur site le cas échéant et confirmez la disponibilité du personnel clé pendant toute la durée de l'audit.

Informez tous les participants de ce à quoi ils doivent s'attendre. Les auditeurs examineront le processus décisionnel, les scénarios de risque et le fonctionnement quotidien des contrôles. L'ouverture d'esprit est plus importante que la perfection, car les auditeurs s'attendent à identifier certaines possibilités d'amélioration.

Un audit bien préparé démontre la maturité opérationnelle et se déroule généralement de manière efficace.

La certification ISO 37001 suit un processus d'audit structuré en deux étapes qui s'étend généralement sur quatre à huit semaines, de l'évaluation initiale à la délivrance du certificat.

La phase 1 consiste en l'examen de la documentation et dure généralement un à deux jours, selon la taille et la complexité de l'organisation. Les auditeurs examinent la documentation relative au système de gestion anti-corruption, y compris les politiques, les procédures, les évaluations des risques et les dispositions organisationnelles, afin de confirmer que la conception du système répond aux exigences de la norme ISO 37001 et que l'organisation est prête pour une évaluation complète.

Un rapport de phase 1 identifie les lacunes qui doivent être comblées avant de passer à l'étape suivante. La plupart des organisations ont besoin de deux à quatre semaines pour remédier à ces lacunes et démontrer qu'elles sont prêtes pour la phase 2.

La phase 2 correspond à l'audit de certification principal et comprend une évaluation complète du fonctionnement du système dans la pratique. Elle comprend des entretiens avec les employés, l'examen des dossiers, des tests des contrôles et la vérification des preuves.

Après l'étape 2, Speeki procède à un examen technique et à l'approbation du comité de certification, ce qui prend généralement deux à trois semaines supplémentaires avant que le certificat ne soit délivré.

Une fois certifiées, les organisations sont soumises à des audits de surveillance annuels et à un audit de recertification complet tous les trois ans.

De la mise en œuvre initiale à la certification, la plupart des organisations ont besoin de six à douze mois. Dans certains cas, lorsque les contrôles existants sont solides et que des ressources sont dédiées, le processus peut être mené à bien plus rapidement. Comprendre le calendrier global permet une planification efficace, des attentes réalistes et une perturbation minimale des opérations commerciales.

Alors que le conseil en matière de mise en œuvre de la norme ISO 37001 doit être fourni par des cabinets indépendants afin de préserver l'intégrité de la certification, Speeki soutient les programmes de lutte contre la corruption par le biais de formations et de technologies.

Les formations Speeki ISO 37001, d'une durée de deux ou trois jours , permettent de développer les capacités internes nécessaires pour comprendre, interpréter et appliquer la norme au sein d'une organisation. La formation permet aux équipes internes de mener à bien la mise en œuvre sans dépendre à long terme de consultants externes. Les cours peuvent être dispensés sur site ou à distance, ce qui garantit que les équipes chargées de la conformité, des achats, des questions juridiques et des opérations partagent une compréhension commune des exigences en matière de lutte contre la corruption.

Au-delà de la formation, la plateforme technologique Engage de Speeki facilite la gestion efficace des activités anti-corruption. Elle aide à structurer les processus de diligence raisonnable, facilite l'évaluation des risques, centralise la documentation, assure le suivi des formations suivies et conserve les pistes d'audit nécessaires à la certification.

Engage favorise également la conformité continue en planifiant des examens, en mettant en évidence les activités à haut risque et en fournissant à la direction une supervision claire grâce à des tableaux de bord.

Ensemble, la formation et la technologie constituent une base pratique pour soutenir un système de gestion anti-corruption ISO 37001, tandis que les organisations travaillent avec les partenaires de mise en œuvre qu'elles ont choisis pour obtenir des conseils pratiques et se préparer à la certification.

Les coûts de certification ISO 37001 sont calculés à l'aide d'une méthodologie d'évaluation standard appliquée par des organismes de certification accrédités. Cela garantit une approche cohérente pour déterminer la durée de l'audit et l'effort global de certification.

Le principal facteur de coût est le tarif journalier de l'auditeur. Celui-ci varie en fonction de l'organisme de certification, de l'expérience de l'auditeur et de la situation géographique. Le nombre de jours d'audit est fixé selon des critères ISO cohérents plutôt que négocié individuellement.

La durée de l'audit dépend de la taille de l'organisation, de la complexité opérationnelle, de l'exposition au risque de corruption et de la portée du système de gestion anti-corruption. Une petite organisation implantée sur un seul site, présentant un risque limité lié aux tiers et des opérations simples, peut nécessiter trois à quatre jours d'audit pour les étapes 1 et 2. Les organisations plus importantes, opérant dans plusieurs juridictions ou dans des secteurs à haut risque, nécessitent souvent un temps d'audit supplémentaire, parfois sur plusieurs sites et pour plusieurs fonctions.

Au-delà des audits de certification, les organisations doivent prévoir dans leur budget les coûts liés à la mise en œuvre. Ceux-ci peuvent inclure la formation du personnel, l'élaboration ou l'amélioration des politiques et procédures, les évaluations des risques, les processus de diligence raisonnable et les systèmes utilisés pour gérer les rapports, les contrôles et les preuves.

Les coûts récurrents comprennent des audits de surveillance annuels et un audit complet de recertification tous les trois ans. L'investissement initial varie en fonction de la complexité organisationnelle et de la maturité des contrôles anti-corruption existants, les coûts annuels récurrents étant généralement moins élevés une fois le système mis en place.

En demandant des devis détaillés dès le début, les organismes de certification peuvent évaluer votre organisation avec précision et vous fournir des estimations de coûts réalistes, ce qui facilite l'établissement d'un budget efficace et la planification de la certification.