CA-17 · Compliance · antisoborno

ISO 37001

La norme internationale de management anticorruption. Elle certifie formellement votre programme de conformité pénale face à tout audit externe et vous accrédite auprès de clients, d'administrations et de partenaires internationaux.

NormeISO 37001:2025 (2e édition ; transition jusqu'en févr. 2027)
Durée5-8 mois selon la taille
PérimètrePME et mid-market exposées au secteur public

ISO 37001:2016 est la norme publiée par l'Organisation internationale de normalisation pour les systèmes de management anticorruption. Contrairement à UNE 19601, qui est d'application strictement espagnole et vise l'exonération de responsabilité pénale des personnes morales, la 37001 bénéficie d'une reconnaissance internationale, est certifiable par un tiers accrédité (AENOR, Bureau Veritas, SGS, TÜV…) et est conçue pour les organisations qui opèrent dans plusieurs pays ou qui doivent accréditer leur programme auprès de clients ou donneurs d'ordre étrangers. En Espagne, les deux normes coexistent ; de nombreuses entreprises les mettent en œuvre conjointement pour couvrir à la fois le volet pénal interne et la reconnaissance internationale.

La norme exige que l'organisation adopte une approche fondée sur les risques : évaluer systématiquement où et avec qui il existe une exposition à la corruption (partenaires commerciaux, intermédiaires, agents, opérations de M&A, contrats avec des administrations publiques), établir des contrôles proportionnels à cette exposition et tenir des registres auditables prouvant leur fonctionnement. La norme intègre des exigences spécifiques en matière de diligence raisonnable à l'égard des tiers, de gestion des conflits d'intérêts, de cadeaux et d'avantages, de dons et de parrainage, ainsi que de contrôles financiers antifraude. La fonction anticorruption doit disposer d'une autorité et d'une indépendance documentées, ce qui oblige en pratique de nombreuses PME à redéfinir leur structure de gouvernance interne.

Summum Calidad accompagne l'organisation depuis le diagnostic initial des écarts jusqu'à l'audit de certification par l'organisme accrédité. Nous ne certifions pas : la certification est délivrée par un tiers accrédité par ENAC. Notre travail consiste à construire le système, à le documenter avec rigueur, à former les équipes et à préparer l'organisation à réussir l'audit de tierce partie. Depuis 2007, nous mettons en œuvre des systèmes de management dans des PME de Castille-et-León et des Canaries ; nous connaissons de première main les points que les auditeurs de certification examinent le plus attentivement et comment les anticiper.

Le processus ISO 37001.

Le processus · quatre étapes
01

Diagnostic et analyse des risques

Nous cartographions le contexte de l'organisation : secteurs d'activité, zones géographiques, types de relations avec des tiers (marchés publics, intermédiaires, agents commerciaux, M&A). Nous identifions les risques de corruption inhérents et résiduels, nous les pondérons par probabilité et impact, et nous priorisons les contrôles. Le résultat est l'Évaluation des Risques de Corruption (ERC), document central de l'ISO 37001.

02

Conception du système et documentation

Nous rédigeons la politique anticorruption, le manuel de diligence raisonnable à l'égard des tiers, les procédures de gestion des cadeaux et avantages, les contrôles financiers antifraude et le protocole d'enquête sur les incidents. Chaque document est adapté à la réalité opérationnelle de l'entreprise : pas de modèles génériques, mais des flux et des responsables réels. Nous définissons la fonction anticorruption avec l'autorité et l'indépendance requises par la norme.

03

Formation, canal d'alerte et mise en œuvre

Nous dispensons une formation différenciée par profil : direction (ton donné au sommet), encadrement intermédiaire (application opérationnelle) et personnel exposé (commerciaux, achats, administration). Nous configurons ou auditons le canal d'alerte conformément à la législation applicable sur la protection des lanceurs d'alerte et aux exigences de confidentialité et de non-représailles de l'ISO 37001. Nous accompagnons le déploiement réel du système pendant au moins un cycle opérationnel complet.

04

Pré-audit et certification

Nous réalisons un audit interne de simulation en appliquant les critères qu'utilisera l'organisme certificateur, nous identifions les écarts et clôturons les actions correctives avant l'audit formel. Nous coordonnons la sélection de l'organisme de certification accrédité par ENAC (AENOR, Bureau Veritas, SGS, Lloyd's Register ou autres), préparons le dossier documentaire et accompagnons l'organisation lors des journées d'audit. Une fois le certificat délivré, nous planifions la maintenance triennale du système.

Ce qui est inclus

Ce qu'inclut ISO 37001.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Évaluation des Risques de Corruption

    Cartographie complète de l'exposition par zone géographique, secteur, type de partenaire commercial et montant de contrat. Base de la politique anticorruption et de la diligence raisonnable à l'égard des tiers.

  • Politique anticorruption et code d'éthique

    Document de haut niveau approuvé par la direction, avec des engagements concrets sur les cadeaux, avantages, dons, parrainages et paiements de facilitation. Adapté à la taille et au secteur de l'entreprise.

  • Procédure de diligence raisonnable

    Questionnaire et protocole d'examen pour les partenaires commerciaux, intermédiaires, agents et contreparties dans les opérations de M&A, avec des niveaux de contrôle proportionnels au risque détecté.

  • Contrôles financiers anticorruption

    Révision et conception de contrôles sur les paiements inhabituels, les frais de représentation, les commissions versées à des tiers et les opérations en espèces. Coordonnés avec le service financier et les exigences comptables.

  • Canal d'alerte

    Configuration ou révision du canal interne : garanties de confidentialité, délais d'accusé de réception et de résolution, protection du lanceur d'alerte et coordination avec le traitement des données (RGPD).

  • Plan de formation différenciée et audit interne

    Formation par profil (direction, encadrement intermédiaire, personnel exposé), registre de présence et de compréhension, et audit interne de simulation avant la certification externe.

Questions fréquentes sur ISO 37001.

L'ISO 37001 remplace-t-elle la UNE 19601 en Espagne ?

Non. Ce sont des normes complémentaires à finalités distinctes. UNE 19601 est la norme espagnole de conformité pénale, conçue pour démontrer devant la justice espagnole que l'entreprise disposait d'un programme de prévention des infractions efficace (exonération ou atténuation de la responsabilité pénale des personnes morales en vertu de l'article 31 bis du Code pénal espagnol). ISO 37001 se concentre exclusivement sur la corruption et a une portée internationale. De nombreuses organisations mettent en œuvre les deux dans un système intégré : la 19601 couvre la conformité pénale interne et la 37001 apporte la reconnaissance internationale et la certification par un tiers accrédité. L'équipe Summum coordonne les deux démarches pour éviter la duplication documentaire.

Quel organisme certifie ISO 37001 en Espagne ?

La certification est délivrée par un organisme de certification accrédité par ENAC (l'Entité Nationale d'Accréditation espagnole), et non par Summum. Les plus courants en Espagne sont AENOR, Bureau Veritas, SGS, Lloyd's Register et TÜV Rheinland. Summum Calidad prépare l'organisation à réussir l'audit, mais le certificat est signé et garanti par l'organisme tiers indépendant. L'accréditation ENAC est ce qui confère une validité officielle au certificat en Espagne et dans les pays signataires des accords de reconnaissance mutuelle EA/IAF.

Combien de temps faut-il pour implanter ISO 37001 dans une PME ?

Entre 5 et 8 mois dans une PME de 20 à 100 salariés, selon le point de départ (existence ou non d'un programme de conformité) et la complexité de la cartographie des tiers. Le processus comprend le diagnostic, la conception du système, la formation, un cycle d'exploitation réel et un audit interne avant la certification. Si l'entreprise dispose déjà d'une UNE 19601 implantée, les délais sont réduits car la documentation de base et la culture de conformité existent déjà.

ISO 37001 est-elle obligatoire pour les marchés publics en Espagne ?

Il n'existe pas encore en Espagne d'obligation légale directe de certifier ISO 37001 pour soumissionner à des marchés publics. Cependant, la Loi 9/2017 sur les Contrats du Secteur Public impose aux candidats de déclarer qu'ils n'ont pas été condamnés pour des infractions de corruption (article 71), et de nombreux appels d'offres de grande valeur incluent déjà la certification comme critère de capacité technique ou d'attribution. Dans le secteur privé, les grandes entreprises cotées et les multinationales l'exigent de plus en plus à leurs fournisseurs de premier rang dans le cadre de leur diligence raisonnable sur la chaîne d'approvisionnement.

Qu'en est-il de la norme ISO 37001:2025 ? Faut-il migrer ?

ISO a publié la deuxième édition, ISO 37001:2025, le 28 février 2025. Les principales modifications renforcent l'alignement sur la structure de haut niveau (HLS) harmonisée avec ISO 9001, 14001, 45001…, élargissent les exigences en matière de diligence raisonnable numérique, ajoutent des sous-clauses sur la culture de conformité et les conflits d'intérêts, et mettent à jour les références au cadre juridique international de lutte contre la corruption. L'IAF a fixé le 28 février 2027 comme date limite de transition ; après cette date, les certificats délivrés sous l'édition 2016 ne seront plus valables. Summum inclut l'accompagnement à la migration dans le service de maintenance du système.