ISO 37008 : Enquêtes internes au sein des organisations
Ces dernières années, l'ISO a publié de nombreuses normes pour guider les organisations dans l'élaboration, la mesure et l'établissement de rapports sur les principaux aspects de leurs programmes de conformité. La plus notable d'entre elles, ISO 37001, se concentre sur la lutte contre la corruption, tandis qu'une autre, ISO 37031, fournit des principes généraux et des exigences que les organisations peuvent utiliser pour construire des systèmes autour de n'importe quel domaine majeur du programme de conformité (comme la diligence raisonnable, les contrôles à l'exportation ou même des domaines axés sur l'ESG, tels que les droits de l'homme).
La norme ISO 37008 arrive à point nommé. Compte tenu de l'avènement et de la prolifération de plusieurs nouvelles lois sur la conformité et l'ESG, avec des exigences essentielles en matière de rapports et d'enquêtes (telles que la loi allemande sur la diligence raisonnable dans la chaîne d'approvisionnement, la loi australienne sur les droits de l'homme et les lois sur la corruption telles que la loi américaine sur les pratiques de corruption à l'étranger et la loi britannique sur la corruption), l'ISO 37008 fournit aux organisations des lignes directrices sur la manière d'élaborer et de gérer des programmes dans ces domaines.
Dans cet article, nous allons discuter :
- les concepts clés énoncés dans la présente norme
- comment les organisations peuvent gérer plus efficacement les exigences en matière de rapports et d'enquêtes imposées par la conformité et les réglementations ESG en obtenant la certification ISO 37008.
Les concepts clés de l'ISO 37008
La norme ISO 37008 définit cinq domaines pour guider les organisations dans l'élaboration de leurs programmes d'investigation, à savoir
- principes fondamentaux
- les ressources et l'expertise nécessaires pour mener à bien les enquêtes
- l'établissement de politiques et de procédures
- rapport
- l'application de mesures correctives.
La norme ISO 37008 reprend les principes traditionnels autour desquels s'articulent la plupart des programmes d'investigation des entreprises. Ces principes rappellent aux organisations qu'elles doivent veiller à ce que les investigations soient.. :
- indépendant
- confidentiel
- menées par des professionnels compétents
- objective et impartiale
- conformément à la législation en vigueur.
La norme ISO 37008 insiste beaucoup sur le fait que le conseil d'administration (appelé "organe directeur") et les dirigeants (appelés "cadres supérieurs") doivent investir dans le programme d'investigation afin que des ressources compétentes et qualifiées soient en place pour gérer les investigations. Bien que cela puisse sembler évident, la norme souligne que les organisations doivent également s'engager à allouer des ressources financières et matérielles à la gestion des enquêtes. La norme demande aux organisations d'utiliser des plateformes technologiques appropriées pour gérer les rapports et les enquêtes et d'engager des ressources financières pour investir dans ces produits.
Au-delà des compétences, de l'expertise et de l'argent, la norme ISO 37008 souligne également que l'organe directeur et la direction générale doivent garantir l'indépendance et l'impartialité du programme d'investigation. Si vous connaissez d'autres normes ISO sur la conformité (telles que la norme ISO 37001), l'ISO tend à accorder une grande importance au fait que les niveaux supérieurs d'une organisation démontrent leur engagement en matière de conformité. Contrairement à d'autres cadres, la responsabilité de la conformité et de l'éthique n'incombe pas exclusivement aux départements de conformité et de GSE ; au contraire, le conseil d'administration et les dirigeants doivent veiller à ce qu'il y ait une communication claire entre eux et les équipes chargées de l'intégrité, afin que ces dernières soient habilitées à assumer leurs responsabilités et disposent d'une ligne de communication directe avec les échelons supérieurs de l'organisation.
La norme ISO 37008 exige des organisations qu'elles élaborent une politique régissant le processus d'investigation. Bien que la plupart des grandes organisations disposent déjà de tels documents, la norme met en évidence les éléments clés du programme d'investigation qui doivent être explicitement décrits dans la politique, ce qui est essentiel si vous avez l'intention de demander la certification.
La section 8 de la norme ISO 37008, qui régit la planification et l'exécution du processus d'enquête, peut s'avérer la plus utile. L'un des aspects clés décrits dans la section 8 est l'établissement d'une "ligne de rapport", qui peut être distincte de l'équipe chargée du travail d'enquête. Selon la norme, cette ligne d'information doit garantir l'impartialité de l'équipe d'enquête, déterminer s'il est nécessaire de contacter les autorités (en fonction de la nature de l'incident) et évaluer le risque et l'impact pour l'organisation. L'équipe d'enquête doit tenir la ligne hiérarchique informée au fur et à mesure de l'avancement de l'enquête.
La norme demande également à l'équipe d'enquête de procéder à une évaluation préliminaire des incidents potentiels et de la documenter. Bien que la plupart des organisations aient probablement mis en place un processus de triage, l'évaluation préliminaire, telle que décrite dans la norme, permet de s'assurer que les organisations documentent clairement les aspects clés de chaque enquête, tels que la prise de contact avec les parties concernées, la détermination de l'impact sur l'entreprise, l'examen des questions environnementales et juridiques pertinentes, et la décision de recourir ou non à un conseil ou à une assistance externe. La nécessité d'une évaluation préliminaire documentée souligne également la nécessité d'utiliser des logiciels ou des plates-formes d'investigation permettant d'enregistrer ces informations.
La section 8 fournit également des informations plus approfondies sur les aspects techniques des enquêtes, tels que la collecte, la conservation, l'analyse et l'examen des données électroniques. L'annexe de la section 8 présente des suggestions intéressantes dont de nombreuses organisations peuvent tirer profit :
- l'accent est mis sur la confidentialité avec l'auteur d'un incident potentiel par le biais de ce que la norme appelle un "avertissement écrit".
- la mise en œuvre d'un "protocole d'examen" pour assurer une gestion efficace des documents clés grâce à l'utilisation de mots-clés, d'étiquettes et de catégories
- rester conscient des interférences potentielles avec une enquête.
La norme ISO 37008 décrit la conduite d'un "processus de finalisation" qui marque la fin de chaque enquête et doit inclure des conclusions fondées sur des preuves et une détermination suffisante des résultats pour lancer la remédiation.
La norme énonce les exigences essentielles pour la rédaction d'un rapport d'enquête. Ces exigences sont les suivantes
- l'ajout de pièces à conviction et de pièces jointes importantes
- résumer les faits
- définir les limites et les contraintes
- préserver la confidentialité grâce à des normes organisationnelles de conservation des documents.
Là encore, les logiciels peuvent être utiles.
Les dernières sections pertinentes de la norme ISO 37008 portent sur les mesures correctives et l'interaction avec les parties prenantes. Lorsqu'il s'agit de prendre des mesures efficaces à la suite d'une enquête, la norme ne se contente pas d'indiquer que les mesures correctives doivent être équitables et proportionnelles aux problèmes découverts. La norme souligne plutôt la nécessité pour les entreprises d'identifier les lacunes et les vulnérabilités en matière de conformité, afin que des améliorations à long terme puissent être apportées aux domaines pertinents du programme de conformité.
La dernière section sur l'interaction avec les parties prenantes couvre plusieurs aspects de la communication des résultats, des prochaines étapes et des rapports aux parties concernées. La norme aborde la question de la divulgation prudente aux autorités, en soulignant que les équipes chargées de la conformité et de l'intégrité doivent discuter des résultats de l'enquête avec l'organe directeur et la direction générale, déterminer si la divulgation est nécessaire (ou bénéfique) et consulter des conseillers juridiques avant de procéder à la communication.
Application de la norme ISO 37008 à la conformité critique et aux lois ESG
Concevoir votre programme d'investigation sur la base des lignes directrices et des exigences de la norme ISO 37008 peut vous aider à vous conformer plus efficacement à des lois spécifiques en matière de conformité et d'ESG.
Loi sur les pratiques de corruption à l'étranger (FCPA)
Bien qu'il n'existe pas de directives strictes sur la manière dont les entreprises doivent élaborer leurs programmes de lutte contre la corruption pour répondre aux exigences de la FCPA, un document clé utilisé depuis des années est le guide du ministère de la Justice (DOJ) intitulé "Evaluation of Corporate Compliance Programs" (Évaluation des programmes de conformité des entreprises). Dans ce document, le DOJ énonce les critères que les procureurs peuvent utiliser lorsqu'ils évaluent une entreprise en vue d'une éventuelle mauvaise conduite.
L'un des domaines clés du programme que les procureurs évalueront est la structure des rapports confidentiels et le processus d'enquête d'une organisation, qui, selon le ministère de la justice, est "très probant" pour déterminer si une entreprise a mis en place des mécanismes de gouvernance d'entreprise. Bon nombre des facteurs spécifiques que les procureurs évalueront s'alignent sur les sections clés de la norme ISO 37008, notamment :
- la mise en place d'un processus permettant de délimiter correctement l'étendue d'une enquête
- l'utilisation d'une méthodologie garantissant que les enquêtes sont indépendantes, objectives et documentées
- l'allocation d'un financement suffisant pour les mécanismes et les outils utilisés dans le cadre du programme de rapports et d'enquêtes.
Au-delà de l'alignement sur les lignes directrices relatives à la FCPA, la norme ISO 37008 peut contribuer à la gestion des questions de lutte contre la corruption de plusieurs façons pratiques :
- s'assurer que l'organisation dispose d'une procédure permettant de répondre aux préoccupations et aux rapports concernant les systèmes de corruption courants, tels que les pots-de-vin versés aux fournisseurs, la création de caisses noires pour obtenir des avantages commerciaux indus de la part de fonctionnaires et de clients, et l'octroi d'avantages en violation de la politique de l'entreprise en matière de cadeaux, de repas et de divertissements
- fournir des lignes directrices sur la mise en œuvre d'outils numériques et médico-légaux pour rechercher et examiner les documents et les transactions décrivant des cas potentiels de corruption, tels que les courriels, les messages textuels, les factures et les reçus
- créer des rapports qui exposent clairement les allégations de chaque enquête, les faits connus, les personnes impliquées et affectées, et les résultats
donner des orientations pour déterminer si et comment une entreprise doit divulguer des résultats potentiels aux autorités - dans le contexte spécifique du FCPA, cela pourrait inclure des divulgations visant à réduire la sévérité des sanctions ou à précipiter la conclusion d'un accord différé ou de non-poursuite avec les autorités chargées de l'application de la loi.
La loi allemande sur le devoir de vigilance à l'égard de la chaîne d'approvisionnement (SCDDA)
La SCDDA est entrée en vigueur au début de l'année 2023. Il s'agit de la première réglementation allemande visant à tenir les entreprises responsables des violations potentielles des droits de l'homme et des problèmes environnementaux. Pour se conformer à la SCDDA, les entreprises doivent mettre en œuvre des systèmes de gestion pour surveiller les risques pertinents au sein de leurs opérations et de leurs chaînes d'approvisionnement. Parmi les processus clés qui doivent être développés, on peut citer
- une déclaration de politique générale qui définit les procédures de suivi des droits de l'homme et des risques environnementaux, ainsi que les attentes à l'égard des fournisseurs et des employés
- une procédure de signalement qui permet aux employés, aux fournisseurs et aux personnes concernées de signaler des violations potentielles
- un rapport annuel aux autorités gouvernementales sur les résultats de la diligence raisonnable et des enquêtes.
La certification ISO 37008 permet de mieux préparer les organisations à se conformer à la SCDDA. La certification ISO 37008 garantit la mise en œuvre de plusieurs processus qui seront utiles pour la conformité à la SCDDA, tels que :
- réviser les politiques afin de faire savoir que les lignes d'information des entreprises peuvent être utilisées pour divulguer des violations potentielles des droits de l'homme et de l'environnement, en plus des questions traditionnelles telles que la corruption et les questions relatives aux ressources humaines
- la mise en place d'une procédure et d'outils de reporting accessibles aux parties prenantes internes et externes
- créer des procédures d'enquête, de gestion et de signalement des problèmes liés aux droits de l'homme et à l'environnement.
Étant donné que la SCDDA exige que les tiers (fournisseurs, clients, personnes concernées) disposent d'informations sur les modalités de signalement, les entreprises peuvent envisager de mettre en place une politique publique sur leur site web, tout en conservant une politique interne décrivant les procédures d'enquête.
Il est plus facile de se conformer au SCDDA en se référant aux exigences de la norme ISO 37008.
La directive sur les rapports de durabilité des entreprises (CSRD)
Le CSRD est entré en vigueur au début de l'année 2023 et exige des entreprises qu'elles rendent compte de la durabilité de leurs pratiques commerciales.
La première grande section du CSRD demande aux organisations de rendre compte de diverses initiatives et objectifs stratégiques en matière de développement durable, tels que les actions visant à limiter le réchauffement climatique, les tactiques pour atteindre la neutralité carbone d'ici 2050 et les politiques internes de développement durable, ainsi que la résilience du modèle d'entreprise et de la stratégie de l'organisation en matière de développement durable.
La deuxième grande section de la directive est consacrée à la diligence raisonnable ; dans le cadre de cette directive, la "diligence raisonnable" fait référence aux processus de collecte d'informations visant à déterminer les impacts négatifs causés par les activités et la chaîne d'approvisionnement de l'organisation. L'un des principaux aspects de cette section concerne les mesures prises par l'organisation pour prévenir, atténuer, remédier ou mettre fin aux impacts négatifs causés par l'organisation. En se référant à la norme ISO 37008, les organisations peuvent s'assurer que leurs processus de reporting et d'investigation sont mis en place pour répondre aux demandes liées au développement durable et les gérer. Si certains considèrent les questions de développement durable comme moins urgentes ou moins pertinentes d'un point de vue juridique, ils ne doivent pas oublier qu'elles peuvent affecter ceux qui n'ont pas voix au chapitre ou qui ont moins de possibilités de recours, comme les communautés locales touchées par les activités d'une entreprise, les clients ou les fournisseurs sur les marchés locaux. En incluant les questions de développement durable dans les rapports et les enquêtes, les organisations peuvent plus facilement gérer les impacts négatifs causés par leurs opérations et garantir des informations exactes pour se conformer à la directive sur la responsabilité sociale des entreprises.
Conclusion
La norme ISO 37008 permet aux entreprises de normaliser leurs protocoles de reporting et d'investigation tout en fournissant un cadre pour adapter ces processus aux exigences clés des réglementations nouvelles et existantes en matière de conformité et d'ESG. D'un point de vue commercial, la norme permet aux entreprises de démontrer que leurs processus de conformité internes sont conformes aux meilleures pratiques.