NF ISO 37001 v.2017 FR

NF X50-104, NF ISO 37001
MARS 2017
Ce document est à usage exclusif et non collectif des clients STANDARDS WEBPORT.
Toute mise en réseau, reproduction et rediffusion, sous quelque forme que ce soit,
même partielle, sont strictement interdites.
This document is intended for the exclusive and non collective use of
STANDARDS WEBPORT (Standards on line) customers.
All network exploitation,reproduction and re-dissemination,
even partial, whatever the form (harcopy or media), is strictly prohibited.
WEBPORT
Pour : VINCI CONSTRUCTION Grands Projets
le : 29/05/2017 à 15:25
Afnor, WEBPORT le 29/05/2017 à 15:25 NF X50-104, NF ISO 37001:2017-03
Pour : VINCI CONSTRUCTION Grands Projets +
FA185423 ISSN 0335-3931
NF ISO 37001
22 Mars 2017
Indice de classement : X 50-104
ICS : 03.100.02
Systèmes de management anti-corruption —

Exigences et recommandations
de mise en oeuvre
E : Anti-bribery management systems — Requirements with guidance for use

D : Anti-Korruptions — Managementsysteme
Norme française homologuée

par décision du Directeur Général d'AFNOR.
Correspondance Le présent document reproduit intégralement la Norme internationale

ISO 37001:2016
Résumé Le présent document définit des exigences et fournit des préconisations pour
l’établissement, la mise en oeuvre, la tenue à jour, la revue et l’amélioration d’un
système de management anti-corruption. Le système peut être autonome ou intégré
à un système de management global.
Descripteurs Thésaurus International Technique : gestion, processus, exigence, organisation,

planification, risque, personnel, qualification, information, échange d'information,
document, contrôle, évaluation, audit de qualité, définition.
Modifications
Corrections
Éditée et diffusée par l’Association Française de Normalisation (AFNOR) — 11, rue Francis de Pressensé — 93571 La Plaine Saint-Denis Cedex
Tél. : + 33 (0)1 41 62 80 00 — Fax : + 33 (0)1 49 17 90 00 — www.afnor.org
© AFNOR — Tous droits réservés Version de 2017-03-P

NF ISO 37001 —2—
La norme La norme est destinée à servir de base dans les relations entre partenaires
économiques, scientifiques, techniques et sociaux.
La norme par nature est d’application volontaire. Référencée dans un contrat, elle
s’impose aux parties. Une réglementation peut rendre d’application obligatoire tout ou
partie d’une norme.
La norme est un document élaboré par consensus au sein d’un organisme de
normalisation par sollicitation des représentants de toutes les parties intéressées.
Son adoption est précédée d’une enquête publique.
La norme fait l’objet d’un examen régulier pour évaluer sa pertinence dans le temps.
Toute norme est réputée en vigueur à partir de la date présente sur la première page.
Pour comprendre les L’attention du lecteur est attirée sur les points suivants :
normes Seules les formes verbales doit et doivent sont utilisées pour exprimer une ou des
exigences qui doivent être respectées pour se conformer au présent document.
Ces exigences peuvent se trouver dans le corps de la norme ou en annexe qualifiée de
«normative». Pour les méthodes d’essai, l’utilisation de l’infinitif correspond à une
exigence.
Les expressions telles que, il convient et il est recommandé sont utilisées pour
exprimer une possibilité préférée mais non exigée pour se conformer au présent
document. Les formes verbales peut et peuvent sont utilisées pour exprimer une
suggestion ou un conseil utiles mais non obligatoires, ou une autorisation.
En outre, le présent document peut fournir des renseignements supplémentaires destinés
à faciliter la compréhension ou l'utilisation de certains éléments ou à en clarifier
l'application, sans énoncer d'exigence à respecter. Ces éléments sont présentés sous forme
de notes ou d'annexes informatives.
Commission Une commission de normalisation réunit, dans un domaine d’activité donné, les
de normalisation expertises nécessaires à l’élaboration des normes françaises et des positions françaises
sur les projets de norme européenne ou internationale. Elle peut également préparer
des normes expérimentales et des fascicules de documentation.
La composition de la commission de normalisation qui a élaboré le présent document est
donnée ci‐après. Lorsqu’un expert représente un organisme différent de son organisme
d’appartenance, cette information apparaît sous la forme : organisme d’appartenance
(organisme représenté).
Vous avez utilisé ce document, faites part de votre expérience à ceux qui l'ont
élaboré.
Scannez le QR Code pour accéder au questionnaire de ce document ou
retrouvez‐nous sur http://norminfo.afnor.org/norme/109446.
—3— NF ISO 37001
Programme de compliance
pour la conformité aux règles de déontologie,
de bonnes pratiques et le respect
de la réglementation AFNOR COMPLIANCE
Composition de la commission de normalisation

Président : M SEASSAUD
Secrétariat : MME PAROT — AFNOR
M BARATIN AFNOR CERTIFICATION
M BASSET-CHERCOT BOLLORE LOGISTICS SERVICES
MME BELLINI UNIV PARIS OUEST NANTERRE LA DEFENSE — BDIC
MME BRAGA MEDEF
MME BRULE SCE CENTRAL PREVENTION CORRUPTION
MME CHARTREL MBDA FRANCE
MME CORNU SGS CTS
M DUBOST ENGIE
MME GIESEN INSERM
M GOARANT AGMS
M GOUEL ENGIE
M GUINAND MEDEF
M HUGUET ALLDC — ASSO LEO LAGRANGE DEF CONSOMMATEURS
M JACQUEMET BPA
M JACQUET INRA
M JONQUIÈRES ASSOCIATION ACADEMIE DE L ETHIQUE
M LESOING SGS ICS
MME MANIERE ETHIC INTELLIGENCE
MME MINARD MEDEF
MME PLOMB DGAFP-DION GLE ADMINISTRATION ET FONCTION PUB

M SEASSAUD ENGIE
M SECRETARIAT BUREAU 3A DGCCRF
MME TETART ETHIC INTELLIGENCE

ISO 37001:2016(F)

Sommaire Page
Avant-propos.................................................................................................................................................................................................................................v
Introduction................................................................................................................................................................................................................................. vi
1 Domaine d’application.................................................................................................................................................................................... 1
2 Références normatives.................................................................................................................................................................................... 1
3 Termes et définitions........................................................................................................................................................................................ 2
4 Contexte de l’organisme................................................................................................................................................................................. 6
4.1 Compréhension de l’organisme et de son contexte.................................................................................................. 6
4.2 Compréhension des besoins et attentes des parties intéressées................................................................. 7
4.3 Détermination du périmètre d’application du système de management anti-corruption..... 7
4.4 Système de management anti-corruption........................................................................................................................ 7
4.5 Évaluation des risques de corruption.................................................................................................................................. 8
5 Leadership................................................................................................................................................................................................................... 8
5.1 Leadership et engagement............................................................................................................................................................ 8
5.1.1 Organe de gouvernance.............................................................................................................................................. 8
5.1.2 Direction.................................................................................................................................................................................. 9
5.2 Politique anti-corruption................................................................................................................................................................ 9
5.3 Rôles, responsabilités et autorités au sein de l’organisme............................................................................. 10
5.3.1 Rôles et responsabilités........................................................................................................................................... 10
5.3.2 Fonction de conformité anti-corruption................................................................................................... 10
5.3.3 Délégation de la prise de décision.................................................................................................................. 11
6 Planification............................................................................................................................................................................................................11
6.1 Actions à mettre en œuvre face aux risques et opportunités....................................................................... 11
6.2 Objectifs anti-corruption et planification des actions pour les atteindre.......................................... 11
7 Support......................................................................................................................................................................................................................... 12
7.1 Ressources................................................................................................................................................................................................ 12
7.2 Compétences........................................................................................................................................................................................... 12
7.2.1 Généralités.......................................................................................................................................................................... 12
7.2.2 Processus relatif à l’emploi................................................................................................................................... 12
7.3 Sensibilisation et formation...................................................................................................................................................... 13
7.4 Communication.................................................................................................................................................................................... 14
7.5 Informations documentées........................................................................................................................................................ 15
7.5.1 Généralités.......................................................................................................................................................................... 15
7.5.2 Création et mise à jour des informations documentées.............................................................. 15
7.5.3 Maîtrise des informations documentées................................................................................................... 15
8 Réalisation des activités opérationnelles.................................................................................................................................16
8.1 Planification et maîtrise opérationnelles....................................................................................................................... 16
8.2 Diligences raisonnables................................................................................................................................................................. 16
8.3 Moyens de contrôle financiers................................................................................................................................................ 17
8.4 Moyens de contrôle non financiers..................................................................................................................................... 17
8.5 Mise en œuvre de moyens de contrôle anti-corruption par les entités sur
lesquelles l’organisme exerce un contrôle et par les partenaires commerciaux......................... 17
8.6 Engagements anti-corruption.................................................................................................................................................. 18
8.7 Cadeaux, marques d’hospitalité, dons et avantages similaires................................................................... 18
8.8 Gestion de l’inadéquation des moyens de contrôle anti-corruption...................................................... 18
8.9 Signalement des inquiétudes.................................................................................................................................................... 18
8.10 Enquête et traitement des cas de corruption............................................................................................................. 19
9 Évaluation des performances................................................................................................................................................................20
9.1 Surveillance, mesure, analyse et évaluation................................................................................................................ 20
9.2 Audit interne........................................................................................................................................................................................... 20
9.3 Revue de direction............................................................................................................................................................................. 21
9.3.1 Revue de direction (à son plus haut niveau)......................................................................................... 21
© ISO 2016 – Tous droits réservés iii

ISO 37001:2016(F)

9.3.2 Revue de l’organe de gouvernance................................................................................................................. 22

9.4 Revue par la fonction de conformité anti-corruption......................................................................................... 22
10 Amélioration...........................................................................................................................................................................................................22
10.1 Non-conformité et actions correctives............................................................................................................................. 22
10.2 Amélioration continue.................................................................................................................................................................... 23
Annexe A (informative) Lignes directrices pour l’utilisation du présent document........................................24
Bibliographie............................................................................................................................................................................................................................ 50
iv © ISO 2016 – Tous droits réservés

ISO 37001:2016(F)

Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.
iso.org/directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la signification des termes et expressions spécifiques de l’ISO liés à l’évaluation
de la conformité, ou pour toute information au sujet de l’adhésion de l’ISO aux principes de l’Organisation
mondiale du commerce (OMC) concernant les obstacles techniques au commerce (OTC), voir le lien
suivant: www.iso.org/iso/fr/avant-propos.html
Le comité chargé de l’élaboration du présent document est le Comité de projet ISO/PC 278, Systèmes de
management anti-corruption.
© ISO 2016 – Tous droits réservés v

ISO 37001:2016(F)

Introduction
La corruption est un phénomène répandu. Elle donne lieu à des préoccupations d’ordre social, moral,
politique et économique sérieuses, entrave la bonne gouvernance, fait obstacle au développement et
fausse la concurrence. Elle affaiblit la justice, interfère avec les droits de l’Homme et nuit à la lutte
contre la pauvreté. Elle augmente en outre le coût des affaires, introduit des incertitudes au sein des
transactions commerciales, accroît le coût des biens et des services, amoindrit la qualité des produits
et des services, des répercussions qui peuvent causer des décès ou des handicaps, décrédibiliser les
institutions et interférer avec l’équité et le fonctionnement efficace des marchés.
Les gouvernements ont fait des progrès dans la lutte contre la corruption grâce à la signature d’accords
internationaux, tels que la Convention sur la lutte contre la corruption d’agents publics étrangers dans
les transactions commerciales internationales de l’Organisation de Coopération et de Développement
Économiques[15] et la Convention des Nations Unies contre la corruption,[14] et leur législation locale.
Dans la plupart des pays, la corruption est considérée comme un délit pour les individus. Les autorités
tendent par ailleurs de façon croissante à inclure des dispositions pour les personnes morales.
Cependant, la loi seule ne suffit pas pour résoudre ce problème. Les organismes ont la responsabilité
de contribuer de façon proactive à la lutte contre la corruption. Ils peuvent y parvenir au moyen d’un
système de management anti-corruption, que le présent document vise à fournir, et en s’engageant à
établir une culture d’intégrité, de transparence, d’ouverture et de conformité. La nature de la culture
d’un organisme est un facteur essentiel à la réussite ou à l’échec d’un système de management anti-
corruption.
On s’attend à ce qu’un organisme bien géré dispose d’une politique de conformité qui s’appuie sur
des systèmes de management appropriés qui l’assistent dans le respect de ses obligations légales et
de ses engagements en matière d’intégrité. Une politique anti-corruption fait partie d’une politique
de conformité globale. La politique anti-corruption et le système de management sous-jacent aident
les organismes à éviter ou à atténuer les coûts, les risques et les dommages de la corruption afin de
promouvoir la confiance dans le cadre de ses négociations commerciales et d’améliorer sa réputation.
Le présent document reflète les bonnes pratiques internationales et peut être utilisé dans tous les pays.
Il concerne les organismes de petite, moyenne et grande taille de tous les secteurs, dont les secteurs
public, privé et à but non lucratif. Les risques de corruption auxquels un organisme est exposé varient
en fonction de facteurs tels que la taille de l’organisme, les lieux et les secteurs dans lesquels l’organisme
opère, et la nature, l’échelle et la complexité des activités de l’organisme. Le présent document décrit
la mise en œuvre par l’organisme de politiques, de procédures et de moyens de contrôle raisonnables
et proportionnés aux risques de corruption auxquels l’organisme est exposé. L’Annexe A fournit des
préconisations sur la mise en œuvre des exigences du présent document.
La conformité au présent document ne garantit pas qu’aucun acte de corruption n’a ou n’aura lieu en
rapport avec l’organisme, car il n’est pas possible d’éliminer complètement le risque de corruption.
Néanmoins, le présent document peut aider les organismes à mettre en œuvre des mesures raisonnables
et proportionnées conçues pour prévenir, détecter et lutter contre la corruption.
Dans le présent document, les formes verbales suivantes sont utilisées:
— «doit» indique une exigence;
— «il convient que» indique une recommandation;
— «peut» indique une permission, une possibilité ou une capacité.
Les informations sous forme de «NOTE» sont fournies pour clarifier l’exigence associée ou en faciliter la
compréhension.
Le présent document est conforme aux exigences de l’ISO relatives aux normes de systèmes de
management. Ces exigences incluent une structure-cadre, un texte de base identique et des termes
communs avec des définitions de base, élaborés à l’attention des utilisateurs mettant en œuvre plusieurs
normes ISO de systèmes de management. Le présent document peut être utilisé conjointement avec
vi © ISO 2016 – Tous droits réservés

ISO 37001:2016(F)

d’autres normes de systèmes de management (par exemple l’ISO 9001, l’ISO 14001, l’ISO/IEC 27001 et

l’ISO 19600) et d’autres normes de management (par exemple l’ISO 26000 et l’ISO 31000).
© ISO 2016 – Tous droits réservés vii

NORME INTERNATIONALE ISO 37001:2016(F)
Systèmes de management anti-corruption — Exigences et

recommandations de mise en oeuvre
1 Domaine d’application
Le présent document définit des exigences et fournit des préconisations pour l’établissement, la mise
en œuvre, la tenue à jour, la revue et l’amélioration d’un système de management anti-corruption. Le
système peut être autonome ou intégré à un système de management global. Le présent document
couvre les aspects suivants en ce qui concerne les activités de l’organisme:
— corruption dans les secteurs public, privé et à but non lucratif;
— corruption par l’organisme;
— corruption par le personnel de l’organisme agissant pour le compte de l’organisme ou dans son
intérêt;
— corruption par les partenaires commerciaux de l’organisme agissant pour le compte de l’organisme
ou dans son intérêt;
— corruption de l’organisme;
— corruption du personnel de l’organisme dans le cadre des activités de l’organisme;
— corruption des partenaires commerciaux de l’organisme dans le cadre des activités de l’organisme;
— corruption directe et indirecte (par exemple, un pot-de-vin offert ou accepté par une tierce partie).
Le présent document est applicable à la corruption uniquement. Il définit des exigences et fournit des
préconisations pour les systèmes de management conçus pour aider les organismes à prévenir, détecter
et lutter contre la corruption, et à respecter les lois anti-corruption et leurs engagements volontaires
applicables à leurs activités.
Le présent document n’aborde pas spécifiquement la fraude, les ententes et autres délits anti-trust/de
concurrence, le blanchiment d’argent ou autres activités liées à des manœuvres frauduleuses, même
si l’organisme peut choisir d’étendre le périmètre du système de management afin d’inclure de telles
activités.
Les exigences du présent document sont génériques et destinées à s’appliquer à tous les organismes (ou
parties d’organisme), indépendamment du type, de la taille et de la nature de l’activité, qu’ils évoluent
dans le secteur public, privé ou à but non lucratif. L’étendue de l’application de ces exigences dépend des
facteurs décrits en 4.1, 4.2 et 4.5.
NOTE 1 Voir A.2 pour des préconisations.
NOTE 2 Les mesures nécessaires pour prévenir, détecter et atténuer le risque de corruption par l’organisme
peuvent différer des mesures utilisées pour prévenir, détecter et lutter contre la corruption de l’organisme (ou
de son personnel ou de ses partenaires commerciaux agissant pour le compte de l’organisme). Voir A.8.4 pour des
préconisations.
2 Références normatives
Le présent document ne contient aucune référence normative.
© ISO 2016 – Tous droits réservés 1

ISO 37001:2016(F)

3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse http://www.iso.org/obp.
— IEC Electropedia: disponible à l’adresse http://www.electropedia.org/.
3.1
corruption
offre, promesse, don, acceptation ou sollicitation d’un avantage indu de toute valeur (financière ou
non financière), directement ou indirectement, indépendamment du ou des lieux, en violation des lois
applicables, pour inciter ou récompenser une personne à agir ou à ne pas agir dans le cadre de ses
fonctions
Note 1 à l’article: La définition ci-dessus est générique. Le sens du terme «corruption» est tel que défini par les
lois anti-corruption applicables à l’organisme (3.2) et par le système de management (3.5) anti-corruption conçu
par l’organisme.
3.2
organisme
personne ou groupe de personnes ayant un rôle avec les responsabilités, l’autorité et les relations lui
permettant d’atteindre ses objectifs (3.11)
Note 1 à l’article: Le concept d’organisme englobe sans s’y limiter, les travailleurs indépendants, les compagnies,
les sociétés, les firmes, les entreprises, les administrations, les partenariats, les organisations caritatives ou les
institutions, ou bien une partie ou une combinaison des entités précédentes, à responsabilité limitée ou ayant un
autre statut, de droit public ou privé.
Note 2 à l’article: Pour les organismes composés de plusieurs unités opérationnelles, une ou plusieurs de ces
unités opérationnelles peuvent être définies comme un organisme.
3.3
partie intéressée (terme recommandé)
partie prenante (terme admis)
personne ou organisme (3.2) qui peut soit influer sur une décision ou une activité, soit être influencé(e)
ou s’estimer influencé(e) par une décision ou une activité
Note 1 à l’article: Une partie intéressée peut être interne ou externe à l’organisme.
3.4
exigence
besoin formulé et obligatoire
Note 1 à l’article: La définition principale d’«exigence» dans les normes ISO de systèmes de management est
«besoin ou attente formulé, généralement implicite ou obligatoire». La notion d’«exigences généralement
implicites» n’est pas applicable dans le contexte du management anti-corruption.
Note 2 à l’article: «Généralement implicite» signifie qu’il est habituel ou courant, pour l’organisme et les parties
intéressées, que le besoin ou l’attente en question soit implicite.
Note 3 à l’article: Une exigence spécifiée est une exigence formulée, par exemple une information documentée.
3.5
système de management
ensemble d’éléments corrélés ou en interaction d’un organisme (3.2), utilisés pour établir des politiques
(3.10), des objectifs (3.11) et des processus (3.15) de façon à atteindre lesdits objectifs
Note 1 à l’article: Un système de management peut traiter d’un seul ou de plusieurs domaines.
2 © ISO 2016 – Tous droits réservés

ISO 37001:2016(F)

Note 2 à l’article: Les éléments du système de management comprennent la structure, les rôles et responsabilités,
la planification et le fonctionnement de l’organisme.
Note 3 à l’article: Le périmètre d’un système de management peut comprendre l’ensemble de l’organisme, des
fonctions ou des sections spécifiques et identifiées de l’organisme, ou une ou plusieurs fonctions dans un groupe
d’organismes.
3.6
direction
personne ou groupe de personnes qui oriente et dirige un organisme (3.2) au plus haut niveau
Note 1 à l’article: La direction a le pouvoir de déléguer son autorité et de fournir des ressources au sein de
l’organisme.
Note 2 à l’article: Si le périmètre du système de management (3.5) ne couvre qu’une partie de l’organisme, alors la
direction s’adresse à ceux qui orientent et dirigent cette partie de l’organisme.
Note 3 à l’article: La structure des organismes peut dépendre du cadre légal qu’ils sont obligés de respecter,
mais aussi de leur taille, secteur, etc. Certains organismes disposent d’un organe de gouvernance (3.7) et d’une
direction, tandis que d’autres ne répartissent pas les responsabilités entre plusieurs organes. Ces variations, à
la fois en termes d’organisation et de responsabilités, peuvent être prises en compte lors de l’application des
exigences de l’Article 5.
3.7
organe de gouvernance
groupe ou organe qui détient la responsabilité et l’autorité ultimes des activités, de la gouvernance et
des politiques d’un organisme (3.2), à qui la direction (3.6) rend compte de ses décisions et par lequel
celle-ci est tenue responsable
Note 1 à l’article: Tous les organismes, particulièrement les petits organismes, ne disposeront pas d’un organe de
gouvernance distinct de la direction (voir 3.6, Note 3 à l’article).
Note 2 à l’article: Un organe de gouvernance peut notamment comprendre le conseil d’administration, les comités
du conseil, le conseil de surveillance, les administrateurs ou les superviseurs.
3.8
fonction de conformité anti-corruption
personne(s) qui détien(en)t la responsabilité et l’autorité du fonctionnement du système de management
(3.5) anti-corruption
3.9
efficacité
niveau de réalisation des activités planifiées et d’obtention des résultats escomptés
3.10
politique
intentions et orientations d’un organisme (3.2), telles qu’elles sont officiellement formulées par sa
direction (3.6) ou son organe de gouvernance (3.7)
3.11
objectif
résultat à atteindre
Note 1 à l’article: Un objectif peut être stratégique, tactique ou opérationnel.
Note 2 à l’article: Les objectifs peuvent se rapporter à différents domaines (tels que finance, ventes et marketing,
achats, santé, sécurité, et environnement) et peuvent s’appliquer à divers niveaux [au niveau stratégique, à un
niveau concernant l’organisme dans son ensemble ou afférant à un projet, un produit ou un processus (3.15), par
exemple].
Note 3 à l’article: Un objectif peut être exprimé de différentes manières, par exemple par un résultat escompté,
un besoin, un critère opérationnel, en tant qu’objectif anti-corruption ou par l’utilisation d’autres termes ayant la
même signification (par exemple finalité, but ou cible).

ISO 37001:2016(F)

Note 4 à l’article: Dans le contexte des systèmes de management (3.5) anti-corruption, les objectifs anti-corruption
sont fixés par l’organisme (3.2), en cohérence avec sa politique (3.10) anti-corruption, en vue d’obtenir des
résultats spécifiques.
3.12
risque
effet de l’incertitude sur l’atteinte des objectifs (3.11)
Note 1 à l’article: Un effet est un écart, positif ou négatif, par rapport à une attente.
Note 2 à l’article: L’incertitude est l’état, même partiel, de manque d’information qui entrave la compréhension ou
la connaissance d’un événement, de ses conséquences ou de sa vraisemblance.
Note 3 à l’article: Un risque est souvent caractérisé par référence à des «événements» potentiels (tels que définis
dans le Guide ISO 73:2009, 3.5.1.3) et à des «conséquences» également potentielles (telles que définies dans le
Guide ISO 73:2009, 3.6.1.3), ou par référence à une combinaison des deux.
Note 4 à l’article: Un risque est souvent exprimé en termes de combinaison des conséquences d’un événement (y
compris des changements de circonstances) et de la «vraisemblance» de son occurrence (telle que définie dans le
Guide ISO 73:2009, 3.6.1.1).
3.13
compétence
aptitude à mettre en pratique des connaissances et des savoir-faire pour obtenir les résultats escomptés
3.14
information documentée
information devant être maîtrisée et tenue à jour par un organisme (3.2) ainsi que le support sur lequel
elle figure
Note 1 à l’article: Les informations documentées peuvent se présenter sous n’importe quel format et sur tous
supports et peuvent provenir de toute source.
Note 2 à l’article: Les informations documentées peuvent se rapporter:
— au système de management (3.5), y compris les processus (3.15) connexes;
— aux informations créées en vue du fonctionnement de l’organisme (documentation);
— aux preuves des résultats obtenus (enregistrements).
3.15
processus
ensemble d’activités corrélées ou en interaction qui transforme des éléments d’entrée en éléments
de sortie
3.16
performance
résultat mesurable
Note 1 à l’article: Les performances peuvent être liées à des résultats quantitatifs ou qualitatifs.
Note 2 à l’article: Les performances peuvent concerner le management d’activités, de processus (3.15), de produits
(y compris de services), de systèmes ou d’organismes (3.2).
3.17
externaliser
passer un accord selon lequel un organisme (3.2) externe assure une partie de la fonction ou met en
œuvre une partie du processus (3.14) d’un organisme
Note 1 à l’article: L’organisme externe n’est pas inclus dans le périmètre du système de management (3.5),
contrairement à la fonction ou au processus externalisé qui en font partie intégrante.

ISO 37001:2016(F)

Note 2 à l’article: Le texte de base des normes ISO de systèmes de management contient une définition et une
exigence relatives à l’externalisation, qui ne sont pas utilisées dans le présent document, les prestataires de
services externalisés étant inclus dans la définition de partenaire commercial (3.26).
3.18
surveillance
détermination de l’état d’un système, d’un processus (3.15) ou d’une activité
Note 1 à l’article: Pour déterminer cet état, il peut être nécessaire de vérifier, de superviser ou d’observer d’un
point de vue critique.
3.19
mesure
processus (3.15) visant à déterminer une valeur
3.20
audit
processus (3.15) méthodique, indépendant et documenté, permettant d’obtenir des preuves d’audit et de
les évaluer de manière objective pour déterminer dans quelle mesure les critères d’audit sont satisfaits
Note 1 à l’article: Un audit peut être interne (de première partie) ou externe (de seconde ou tierce partie), et il
peut être combiné (s’il associe deux domaines ou plus).
Note 2 à l’article: Un audit interne est réalisé par l’organisme (3.2) lui-même ou par une partie externe pour le
compte de celui-ci.
Note 3 à l’article: Les termes «preuves d’audit» et «critères d’audit» sont définis dans l’ISO 19011.
3.21
conformité
satisfaction d’une exigence (3.4)
3.22
non-conformité
non-satisfaction d’une exigence (3.4)
3.23
action corrective
action visant à éliminer la cause d’une non-conformité (3.22) et à éviter qu’elle ne réapparaisse
3.24
amélioration continue
activité récurrente menée pour améliorer les performances (3.16)
3.25
personnel
directeurs, agents, employés, contractuels ou personnel intérimaire et bénévoles de l’organisme (3.2)
Note 1 à l’article: Différents types d’employés représentent différents types et degrés de risques (3.12) de
corruption et peuvent être traités de manière différente dans le cadre de l’évaluation des risques de corruption et
des procédures de gestion des risques de corruption de l’organisme.
Note 2 à l’article: Voir A.8.5 pour des préconisations sur les contractuels ou le personnel intérimaire.

ISO 37001:2016(F)

3.26
partenaire commercial
partie externe avec qui l’organisme (3.2) entretient, ou prévoit d’établir, une certaine forme de relation
commerciale
Note 1 à l’article: Le partenaire commercial comprend notamment les clients, les entreprises communes, les
partenaires d’entreprise commune, les partenaires de consortium, les prestataires de services externalisés, les
sous-traitants, les consultants, les sous-contractants, les fournisseurs, les vendeurs, les conseillers, les agents,
les distributeurs, les représentants, les intermédiaires et les investisseurs. Cette définition est délibérément
large et il convient qu’elle soit interprétée conformément au profil de risque (3.12) de corruption de l’organisme
à appliquer aux partenaires commerciaux qui peuvent raisonnablement exposer l’organisme à des risques de
corruption.
Note 2 à l’article: Différents types de partenaires commerciaux représentent différents types et degrés de
risques de corruption. Un organisme (3.2) disposera d’un degré d’influence différent pour les différents types
de partenaires. Différents types de partenaires commerciaux peuvent être traités de manière différente dans
le cadre de l’évaluation des risques de corruption et des procédures de gestion des risques de corruption de
l’organisme.
Note 3 à l’article: Dans le présent document, le terme «commercial» peut être interprété au sens large, c’est-à-dire
comme se référant aux activités liées à la finalité de l’organisme.
3.27
représentant public
personne exerçant une fonction législative, administrative ou judiciaire, en vertu d’une nomination,
d’une élection ou d’une succession, ou toute personne exerçant une fonction publique, notamment pour
une agence publique ou une entreprise publique, ou tout représentant ou agent d’un organisme public
national ou international, ou tout candidat à un poste public
Note 1 à l’article: Voir A.21 pour des exemples de personnes pouvant être considérées comme représentants
publics.
3.28
tierce partie
personne ou organe indépendant(e) de l’organisme (3.2)
Note 1 à l’article: Tous les partenaires commerciaux (3.26) sont des tierces parties, mais toutes les tierces parties
ne sont pas des partenaires commerciaux.
3.29
conflit d’intérêts
situation où les intérêts professionnels, financiers, familiaux, politiques ou personnels peuvent
interférer avec le jugement des personnes dans le cadre de leurs fonctions au sein de l’organisme (3.2)
3.30
diligence raisonnable
processus (3.15) permettant d’évaluer en détail la nature et l’étendue du risque (3.12) de corruption
et d’aider les organismes (3.2) à prendre des décisions relatives à des transactions, des projets, des
activités, des partenaires commerciaux (3.26) et du personnel spécifiques
4 Contexte de l’organisme
4.1 Compréhension de l’organisme et de son contexte

L’organisme doit déterminer les enjeux externes et internes pertinents par rapport à sa finalité, et qui
influent sur sa capacité à atteindre le ou les objectifs de son système de management anti-corruption.
Ces enjeux comprennent notamment les facteurs suivants:
a) la taille, la structure et l’autorité déléguée de prise de décision de l’organisme;
b) les lieux et les secteurs dans lesquels l’organisme opère ou prévoit d’opérer;

ISO 37001:2016(F)

c) la nature, l’échelle et la complexité des activités et des opérations de l’organisme;

d) le modèle économique de l’organisme;
e) les entités sur lesquelles l’organisme exerce un contrôle et les entités exerçant un contrôle sur
l’organisme;
f) les partenaires commerciaux de l’organisme;
g) la nature et l’étendue des interactions avec les représentants publics;
h) les obligations et devoirs statutaires, réglementaires, contractuels et professionnels applicables.
NOTE Un organisme exerce un contrôle sur une autre entité s’il contrôle directement ou indirectement la
gestion de l’entité (voir A.13.1.3).
4.2 Compréhension des besoins et attentes des parties intéressées

L’organisme doit déterminer:
a) les parties intéressées qui sont pertinentes dans le cadre du système de management anti-
corruption; et
b) les exigences de ces parties intéressées.
NOTE Lors de l’identification des exigences des parties intéressées, un organisme peut faire la distinction
entre exigences obligatoires et exigences non obligatoires des parties intéressées, et leurs engagements
volontaires.
4.3 Détermination du périmètre d’application du système de management anti-

corruption
L’organisme doit déterminer les limites et l’applicabilité du système de management anti-corruption
afin d’établir son périmètre d’application.
Lorsque l’organisme établit ce périmètre, il doit prendre en compte:
a) les enjeux externes et internes auxquels il est fait référence en 4.1;
b) les exigences auxquelles il est fait référence en 4.2; et
c) les résultats de l’évaluation des risques de corruption mentionnée en 4.5.
Le périmètre d’application doit être disponible sous la forme d’une information documentée.
NOTE Voir
A.2 pour des préconisations.
4.4 Système de management anti-corruption

L’organisme doit établir, documenter, mettre en œuvre, tenir à jour et revoir, le cas échéant, et améliorer
en continu un système de management anti-corruption, y compris les processus nécessaires et leurs
interactions, en accord avec les exigences du présent document.
Le système de management anti-corruption doit contenir des indicateurs conçus pour identifier et
évaluer le risque de corruption, ainsi que pour prévenir et détecter les actes de corruption et y remédier.
NOTE 1 Il n’est pas possible d’éliminer complètement le risque de corruption et aucun système de management
anti-corruption ne sera capable de prévenir et de détecter toutes les formes de corruption.

ISO 37001:2016(F)

Le système de management anti-corruption doit être raisonnable et proportionné, et doit tenir compte
des facteurs auxquels il est fait référence en 4.3.
4.5 Évaluation des risques de corruption
4.5.1 L’organisme doit réaliser une ou des évaluations régulières des risques de corruption, qui
doivent:
a) identifier les risques de corruption que l’organisme pourrait raisonnablement anticiper, eu égard
aux facteurs énumérés en 4.1;
b) analyser, apprécier et établir la priorité des risques de corruption identifiés;
c) évaluer l’adéquation et l’efficacité des moyens de contrôle mis en place par l’organisme pour
atténuer les risques de corruption évalués.
4.5.2 L’organisme doit définir des critères pour l’évaluation de son niveau de risque de corruption, qui
doit tenir compte des politiques et objectifs de l’organisme.
4.5.3 L’évaluation des risques de corruption doit faire l’objet d’une revue:
a) régulière, afin que les changements et les nouvelles informations soient correctement appréciés, en
fonction de la planification et de la fréquence définies par l’organisme; et
b) si un changement significatif se produit dans la structure ou les activités de l’organisme.
4.5.4 L’organisme doit conserver des informations documentées qui prouvent que l’évaluation des
risques de corruption a été réalisée et utilisée pour concevoir ou améliorer le système de management
anti-corruption.
NOTE Voir
5 Leadership
5.1 Leadership et engagement
5.1.1 Organe de gouvernance
Lorsque l’organisme dispose d’un organe de gouvernance, ce dernier doit démontrer son leadership et
engagement vis-à-vis du système de management anti-corruption en:
a) approuvant la politique anti-corruption de l’organisme;
b) s’assurant que la stratégie de l’organisme et sa politique anti-corruption sont harmonisées;
c) recevant et passant en revue les informations sur le contenu et le fonctionnement du système de
management anti-corruption de l’organisme à des intervalles planifiés;
d) exigeant que les ressources adéquates et appropriées nécessaires au fonctionnement efficace du
système de management anti-corruption sont allouées et affectées;
e) supervisant de façon raisonnable la mise en œuvre du système de management anti-corruption de
l’organisme par la direction et son efficacité.
Ces activités doivent être réalisées par la direction si l’organisme ne dispose pas d’un organe de
gouvernance.

ISO 37001:2016(F)

5.1.2 Direction
La direction doit démontrer son leadership et engagement vis-à-vis du système de management anti-
corruption en:
a) s’assurant que le système de management anti-corruption, y compris la politique et les objectifs, est
établi, mis en œuvre, tenu à jour et passé en revue pour prendre en compte de manière adéquate les
risques de corruption de l’organisme;
b) s’assurant que les exigences liées au système de management anti-corruption sont intégrées aux
processus de l’organisme;
c) déployant les ressources adéquates et appropriées pour le fonctionnement efficace du système de
management anti-corruption;
d) communiquant en interne et en externe sur la politique anti-corruption;
e) communiquant en interne sur l’importance de disposer d’un système de management anti-
corruption efficace et de se conformer aux exigences liées à ce système;
f) s’assurant que le système de management anti-corruption est conçu de façon appropriée pour
atteindre ses objectifs;
g) orientant et soutenant le personnel pour qu’il contribue à l’efficacité du système de management
anti-corruption;
h) promouvant une culture anti-corruption appropriée au sein de l’organisme;
i) promouvant l’amélioration continue;
j) soutenant les autres rôles managériaux pertinents afin de démontrer leurs responsabilités vis-à-
vis de la prévention et de la détection de la corruption dans leurs domaines respectifs;
k) encourageant l’utilisation des procédures de rapport des cas de corruption suspectés et avérés
(voir 8.9);
l) s’assurant qu’aucun membre du personnel ne subisse de représailles, de discrimination ou de
sanctions disciplinaires [voir 7.2.2.1 d)] pour avoir rapporté l’existence d’une violation ou d’une
violation suspectée de la politique anti-corruption de l’organisme, de bonne foi ou sur des motifs
qui l’ont raisonnablement poussé à le croire, ou pour avoir refusé de prendre part à un acte de
corruption, même si ce refus a pu entraîner une perte d’affaires pour l’organisme (sauf si la
personne a pris part à la violation); et
m) rendant compte à l’organe de gouvernance (s’il existe) du contenu et du fonctionnement du
système de management anti-corruption et d’allégations de corruption sérieuse ou systématique à
intervalles planifiés.
NOTE Voir
5.2 Politique anti-corruption

La direction doit établir, tenir à jour et passer en revue une politique anti-corruption qui:
a) interdit la corruption;
b) impose le respect des lois anti-corruption applicables à l’organisme;
c) est appropriée à la finalité de l’organisme;
d) fournit un cadre pour l’établissement, la revue et l’atteinte des objectifs anti-corruption;
e) inclut l’engagement de satisfaire aux exigences du système de management anti-corruption;

ISO 37001:2016(F)

f) encourage le signalement d’inquiétudes, de bonne foi ou sur des motifs qui ont raisonnablement
poussé à le croire, en toute confiance et sans peur de représailles;
g) inclut l’engagement pour l’amélioration continue du système de management anti-corruption;
h) explique l’autorité et l’indépendance de la fonction de conformité anti-corruption; et
i) détaille les conséquences du non-respect de la politique anti-corruption.
La politique anti-corruption doit:
— exister/être présentée sous la forme d’une information documentée;
— être communiquée dans la langue appropriée au sein de l’organisme et aux partenaires commerciaux
qui représentent un risque de corruption plus que faible; et
— être disponible vis-à-vis des parties intéressées pertinentes, le cas échéant.
5.3 Rôles, responsabilités et autorités au sein de l’organisme
5.3.1 Rôles et responsabilités
La direction doit assumer la responsabilité globale de la mise en œuvre et de la conformité du système

de management anti-corruption, comme décrit en 5.1.2.
La direction doit s’assurer que les responsabilités et autorités des rôles pertinents sont attribuées et
communiquées à tous les niveaux de l’organisme.
Les dirigeants, à tous les niveaux, doivent se charger d’imposer le respect et l’application des exigences
du système de management anti-corruption au sein de leur service ou de leur fonction.
L’organe de gouvernance (s’il existe), la direction et tout le personnel doivent comprendre, respecter et
appliquer les exigences du système de management anti-corruption applicables à leur rôle au sein de
l’organisme.
5.3.2 Fonction de conformité anti-corruption
La direction doit attribuer la responsabilité et l’autorité à une fonction de conformité anti-

corruption pour:
a) superviser la conception et la mise en œuvre du système de management anti-corruption;
b) fournir des conseils et préconisations au personnel à propos du système de management anti-
corruption et des problématiques associées à la corruption;
c) s’assurer que le système de management anti-corruption est conforme aux exigences du présent
document;
d) rendre compte de la performance du système de management anti-corruption à l’organe de
gouvernance (s’il existe) et à la direction, et à d’autres fonctions de conformité, le cas échéant.
La fonction de conformité anti-corruption doit être dotée en ressources de façon appropriée et attribuée
à une ou des personnes qui disposent de la compétence, du statut, de l’autorité et de l’indépendance
appropriés.
La fonction de conformité anti-corruption doit disposer d’un accès direct et immédiat à l’organe de
gouvernance (s’il existe) et à la direction dans l’éventualité où un problème ou une inquiétude doit être
signalé(e) concernant la corruption ou le système de management anti-corruption.

ISO 37001:2016(F)

La direction peut confier tout ou partie de la fonction de conformité anti-corruption à des personnes
extérieures à l’organisme. Dans ce cas, la direction doit s’assurer qu’un personnel spécifique dispose
des responsabilités et de l’autorité nécessaires sur les parties de la fonction déléguées en externe.
NOTE Voir
5.3.3 Délégation de la prise de décision
Lorsque la direction délègue au personnel l’autorité de la prise de décisions pour lesquelles il existe
un risque de corruption plus que faible, l’organisme doit établir et tenir à jour un processus de prise
de décision ou un ensemble de moyens de contrôle qui requiert que le processus de décision et le
niveau d’autorité du ou des décisionnaires soient appropriés et exempts de conflits d’intérêts avérés ou
potentiels. La direction doit s’assurer que ces processus sont passés en revue de façon périodique dans
le cadre de son rôle et de sa responsabilité vis-à-vis de la mise en œuvre et de la conformité du système
de management anti-corruption décrits en 5.3.1.
NOTE La délégation de la prise de décision n’exempte pas la direction ou l’organe de gouvernance (s’il
existe) de leurs devoirs et responsabilités, comme décrit en 5.1.1, 5.1.2 et 5.3.1, et ne transfert pas non plus
nécessairement les responsabilités légales potentielles au personnel qui assume la délégation.
6 Planification
6.1 Actions à mettre en œuvre face aux risques et opportunités

Dans le cadre de la planification de son système de management anti-corruption, l’organisme doit tenir
compte des enjeux mentionnés en 4.1, des exigences mentionnées en 4.2, des risques identifiés en 4.5 et
des opportunités d’amélioration qu’il est nécessaire de prendre en compte pour:
a) assurer de façon raisonnable que le système de management anti-corruption atteint ses objectifs;
b) prévenir ou réduire les effets indésirables relatifs à la politique et aux objectifs anti-corruption;
c) surveiller l’efficacité du système de management anti-corruption; et
d) s’inscrire dans une dynamique d’amélioration continue.
L’organisme doit planifier:
— les actions à mettre en œuvre face à ces risques de corruption et opportunités d’amélioration;
— la manière:
— d’intégrer et de mettre en œuvre ces actions au sein des processus du système de management
anti-corruption; et
— d’évaluer l’efficacité de ces actions.
6.2 Objectifs anti-corruption et planification des actions pour les atteindre

L’organisme doit établir les objectifs du système de management anti-corruption, aux fonctions et
niveaux concernés.
Les objectifs du système de management anti-corruption doivent:
a) être en cohérence avec la politique anti-corruption;
b) être mesurables (si possible);
c) tenir compte des facteurs mentionnés en 4.1, des exigences mentionnées en 4.2 et des risques de
corruption identifiés en 4.5;

ISO 37001:2016(F)

d) être atteignables;
e) être surveillés;
f) être communiqués conformément à 7.4; et
g) être mis à jour en tant que de besoin.
L’organisme doit conserver des informations documentées sur les objectifs du système de management
anti-corruption.
Lorsque l’organisme planifie la façon dont les objectifs de son système de management anti-corruption
seront atteints, il doit déterminer:
— ce qui sera fait;
— les ressources qui seront nécessaires;
— qui sera responsable;
— à quel moment les objectifs seront atteints;
— la façon dont les résultats seront évalués et rapportés; et
— qui infligera des sanctions ou pénalités.
7 Support
7.1 Ressources
L’organisme doit identifier et fournir les ressources nécessaires à l’établissement, la mise en œuvre, la
tenue à jour et l’amélioration continue du système de management anti-corruption.
NOTE Voir
7.2 Compétences
7.2.1 Généralités
L’organisme doit:
a) déterminer les compétences nécessaires de la ou des personnes effectuant, sous son contrôle, un
travail qui a une incidence sur les performances anti-corruption;
b) s’assurer que ces personnes sont compétentes sur la base d’une formation initiale ou professionnelle
ou d’une expérience appropriées;
c) le cas échéant, mener des actions pour acquérir et tenir à jour les compétences nécessaires, et
évaluer l’efficacité de ces actions; et
d) conserver des informations documentées appropriées comme preuves desdites compétences.
NOTE Les actions envisageables peuvent notamment inclure la formation, l’encadrement ou la réaffectation
du personnel ou des partenaires commerciaux, ou leur recrutement, ou la conclusion avec ces derniers de
contrats de prestation de services.
7.2.2 Processus relatif à l’emploi
7.2.2.1 Pour l’ensemble de son personnel, l’organisme doit mettre en œuvre des procédures qui
comprennent, par exemple:

ISO 37001:2016(F)

a) des conditions d’emploi qui stipulent que le personnel doit respecter la politique anti-corruption
et le système de management anti-corruption, et qui donnent le droit à l’organisme de prendre des
sanctions disciplinaires à l’encontre du personnel s’il ne les respecte pas;
b) après un délai raisonnable suivant le début de la prise de fonctions, la mise à disposition du
personnel d’un exemplaire de la politique anti-corruption, ou d’un moyen lui permettant d’y
accéder, et la formation relative à ladite politique;
c) la mise en place de procédures qui permettent à l’organisme de prendre les sanctions disciplinaires
appropriées à l’encontre du personnel qui ne respecte pas la politique anti-corruption ou le système
de management anti-corruption;
d) l’absence de représailles, de discrimination ou de sanction disciplinaire à l’égard du personnel
(par exemple: menaces, isolement, rétrogradation, avancement retardé, transfert, licenciement,
intimidation, victimisation ou autres formes de harcèlement) pour:
1) avoir refusé de prendre part ou avoir décliné toute activité pour laquelle il a jugé de façon
raisonnable qu’il existait un risque de corruption plus que faible qui n’avait pas été atténué par
l’organisme; ou
2) avoir formulé des inquiétudes ou rapporté des faits relatifs à une tentative de corruption, à un
cas de corruption avéré ou à un cas de corruption suspecté, ou à une violation de la politique
anti-corruption ou du système de management anti-corruption, de bonne foi ou sur des motifs
qui l’ont raisonnablement poussé à le croire (sauf si la personne a pris part à la violation).
7.2.2.2 Pour l’ensemble des postes exposés à un risque de corruption plus que faible, comme défini
par l’évaluation des risques de corruption (voir 4.5), et pour la fonction de conformité anti-corruption,
l’organisme doit mettre en œuvre des procédures qui prévoient:
a) que des diligences raisonnables (voir 8.2) soient exercées quant aux personnes préalablement à
leur embauche et quant au personnel avant son transfert ou sa promotion par l’organisme, afin de
s’assurer, dans la mesure du raisonnable, qu’il est approprié de les embaucher ou de les réaffecter
et qu’il est raisonnable de penser qu’ils respecteront les exigences de la politique anti-corruption et
du système de management anti-corruption;
b) que les primes de performance, les objectifs de performance et les autres éléments d’incitation en
matière de rémunération soient passés en revue de façon périodique pour vérifier qu’il existe des
mesures de prévention raisonnables pour éviter d’encourager la corruption;
c) que le personnel, la direction et l’organe de gouvernance (s’il existe) remplissent une déclaration, à
intervalles raisonnables, proportionnée aux risques de corruption identifiés, pour confirmer leur
conformité à la politique anti-corruption.
NOTE 1 La déclaration de conformité anti-corruption peut être indépendante ou faire partie d’un processus
de déclaration de conformité plus large.
7.3 Sensibilisation et formation

L’organisme doit sensibiliser et former son personnel de façon adéquate et appropriée aux mécanismes
anti-corruption. Ladite formation doit aborder les problématiques suivantes, le cas échéant, en tenant
compte des résultats de l’évaluation des risques de corruption (voir 4.5):
a) la politique anti-corruption, les procédures et le système de management anti-corruption de
l’organisme, et l’obligation de s’y conformer;
b) le risque de corruption et les répercussions négatives pouvant découler de la corruption pour le
personnel et pour l’organisme;

ISO 37001:2016(F)

c) les circonstances de la survenance possible de la corruption dans le cadre des fonctions confiées et
la façon d’identifier ces circonstances;
d) comment reconnaître les sollicitations ou offres de pots-de-vin et comment y faire face;
e) la façon dont le personnel peut prévenir et éviter la corruption, et reconnaître les indicateurs clés
de risque de corruption;
f) la contribution du personnel à l’efficacité du système de management anti-corruption, y compris
aux effets bénéfiques d’une amélioration des performances anti-corruption et des rapports de cas
de corruption suspectés;
g) les répercussions et les conséquences potentielles d’un non-respect des exigences du système de
h) la façon de rapporter des préoccupations et la personne à contacter (voir 8.9); et
i) des informations sur les formations et ressources disponibles.
Le personnel doit régulièrement être sensibilisé et formé aux mécanismes anti-corruption (à des
intervalles planifiés, définis par l’organisme), en adéquation avec ses fonctions, les risques de corruption
auxquels il est exposé et toute circonstance pouvant évoluer. Les programmes de sensibilisation et de
formation doivent être mis à jour de façon périodique et autant de fois que nécessaire pour refléter
toute nouvelle information pertinente.
Pour prendre en compte les risques de corruption identifiés (voir 4.5), l’organisme doit en outre
mettre en œuvre des procédures qui prévoient la sensibilisation et la formation aux mécanismes anti-
corruption pour les partenaires commerciaux agissant pour le compte de l’organisme ou dans son
intérêt, et qui pourraient représenter un risque de corruption plus que faible pour l’organisme. Ces
procédures doivent identifier les partenaires commerciaux pour lesquels une sensibilisation et une
formation sont nécessaires, le contenu et le format des formations.
L’organisme doit conserver des informations documentées sur les procédures de formation, le contenu
des formations, ainsi que la date et les participants.
NOTE 1 Les exigences de sensibilisation et de formation pour les partenaires commerciaux peuvent être
communiquées par le biais d’exigences contractuelles ou similaires et être mises en œuvre par l’organisme, le
partenaire commercial ou toute autre partie désignée à cette fin.
7.4 Communication
7.4.1 L’organisme doit déterminer les besoins de communication interne et externe pertinents pour le
système de management anti-corruption, y compris:
a) sur quels sujets communiquer;

b) à quels moments communiquer;
c) avec qui communiquer;
d) comment communiquer;
e) qui communiquera; et
f) les langues de communication.
7.4.2 La politique anti-corruption doit être mise à disposition de l’ensemble du personnel et des
partenaires commerciaux de l’organisme, communiquée directement au personnel et aux partenaires

ISO 37001:2016(F)

commerciaux qui présentent des risques de corruption plus que faibles et publiée par le biais des canaux
de communication interne et externe de l’organisme, le cas échéant.
7.5 Informations documentées
7.5.1 Généralités
Le système de management anti-corruption de l’organisme doit inclure:

a) les informations documentées exigées par le présent document;
b) les informations documentées que l’organisme juge nécessaires à l’efficacité du système de
NOTE 1 L’étendue des informations documentées dans le cadre d’un système de management anti-corruption
peut différer selon l’organisme en fonction de:
— la taille de l’organisme, de ses domaines d’activité et de ses processus, produits et services;
— la complexité des processus et de leurs interactions; et
— la compétence du personnel.
NOTE 2 Les informations documentées peuvent être conservées séparément, comme faisant partie du système
de management anti-corruption, ou dans le cadre d’autres systèmes de management (par exemple conformité,
finance, ventes, audit).
7.5.2 Création et mise à jour des informations documentées
Lors de la création et de la mise à jour, l’organisme doit veiller à assurer que:

a) l’identification et la description des informations documentées (leur titre, date, auteur, numéro de
référence par exemple);
b) leur format (langue, version logicielle, graphiques, par exemple) et support (électronique, papier,
par exemple);
c) la revue effectuée (pour en déterminer la pertinence et l’adéquation) et leur approbation sont
appropriées.
7.5.3 Maîtrise des informations documentées
Les informations documentées exigées par le système de management anti-corruption et par le présent
document doivent être maîtrisées pour assurer:
a) qu’elles sont disponibles et conviennent à l’utilisation, quand et là où elles sont nécessaires;
b) qu’elles sont convenablement protégées (par exemple, de toute perte de confidentialité, utilisation
inappropriée ou perte d’intégrité).
Pour maîtriser les informations documentées, l’organisme doit mettre en œuvre les activités suivantes,
quand elles sont applicables:
— distribution, accès, récupération et utilisation;
— stockage et protection, y compris préservation de la lisibilité;
— maîtrise des modifications (par exemple, contrôle des versions);
— conservation et élimination.

ISO 37001:2016(F)

Les informations documentées d’origine externe que l’organisme juge nécessaires à la planification
et au fonctionnement du système de management anti-corruption doivent être identifiées comme il
convient et maîtrisées.
NOTE L’accès peut impliquer une décision relative à l’autorisation de consulter les informations documentées
uniquement, ou l’autorisation et l’autorité de consulter et modifier les informations documentées.
8 Réalisation des activités opérationnelles
8.1 Planification et maîtrise opérationnelles

L’organisme doit planifier, mettre en œuvre, revoir et maîtriser les processus nécessaires pour satisfaire
aux exigences du système de management anti-corruption et réaliser les actions déterminées en 6.1, en:
a) établissant des critères pour ces processus;
b) mettant en œuvre la maîtrise de ces processus conformément aux critères; et
c) conservant des informations documentées dans une mesure suffisante pour avoir l’assurance que
les processus ont été réalisés comme prévu.
Ces processus doivent comprendre les moyens de contrôle spécifiques auxquels il est fait référence
en 8.2 à 8.10.
L’organisme doit maîtriser les modifications prévues, analyser les conséquences des modifications
imprévues et, si nécessaire, mener des actions pour limiter tout effet négatif.
Il doit s’assurer que les processus externalisés sont maîtrisés.
NOTE Le texte de base des normes ISO de systèmes de management contient une exigence relative à
l’externalisation, qui n’est pas utilisée dans le présent document, les prestataires de services externalisés étant
inclus dans la définition de partenaire commercial.
8.2 Diligences raisonnables

Lorsque l’évaluation des risques de corruption, telle que décrite en 4.5, a identifié un risque de
corruption plus que faible relatif à:
a) des catégories spécifiques de transactions, projets ou activités;
b) des relations actuelles ou planifiées avec des catégories spécifiques de partenaires commerciaux; ou
c) des catégories spécifiques de personnel occupant certains postes (voir 7.2.2.2),
l’organisme doit apprécier la nature et l’étendue du risque de corruption relatif aux transactions,
projets, activités, partenaires commerciaux et personnel spécifiques entrant dans ces catégories.
Cette appréciation doit s’appuyer sur toutes les diligences raisonnables nécessaires pour obtenir des
informations suffisantes afin d’évaluer le risque de corruption. Les diligences raisonnables doivent
être revues à une fréquence définie pour que les changements et les nouvelles informations soient
correctement pris en compte.
NOTE 1 L’organisme peut conclure qu’il n’est pas nécessaire, pas raisonnable ou disproportionné de réaliser
des diligences raisonnables concernant certaines catégories de personnel et de partenaires commerciaux.
NOTE 2 Les facteurs énumérés en a), b) et c) ci-dessous ne sont pas exhaustifs.

ISO 37001:2016(F)

8.3 Moyens de contrôle financiers

L’organisme doit mettre en œuvre des moyens de contrôle financiers pour gérer le risque de corruption.
NOTE Voir
8.4 Moyens de contrôle non financiers

L’organisme doit mettre en œuvre des moyens de contrôle non financiers pour gérer le risque de
corruption relatif à des domaines tels que l’approvisionnement, les opérations, les ventes, les opérations
commerciales, les ressources humaines, les activités légales et réglementaires.
NOTE 1 Toute transaction, activité ou relation particulière peut être soumise à des moyens de contrôle
financiers et non financiers.
8.5 Mise en œuvre de moyens de contrôle anti-corruption par les entités sur lesquelles
l’organisme exerce un contrôle et par les partenaires commerciaux
8.5.1 L’organisme doit mettre en œuvre des procédures qui imposent que toute entité sur laquelle il
exerce un contrôle:
a) mette en œuvre le système de management anti-corruption de l’organisme; ou

b) mette en œuvre ses propres moyens de contrôle anti-corruption;
dans les deux cas, uniquement dans une mesure raisonnable et proportionnée eu égard aux risques
de corruption auxquels font face les entités sur lesquelles l’organisme exerce un contrôle, en tenant
compte de l’évaluation des risques de corruption réalisée conformément à 4.5.
NOTE Un organisme exerce un contrôle sur une autre entité s’il contrôle directement ou indirectement la
gestion de l’entité (voir A.13.1.3).
8.5.2 Pour les partenaires commerciaux sur lesquels l’organisme n’exerce pas de contrôle, pour
lesquels l’évaluation des risques de corruption (voir 4.5) ou les diligences raisonnables (voir 8.2) ont
permis d’identifier un risque de corruption plus que faible, et pour lesquels les moyens de contrôle anti-
corruption mis en œuvre par les partenaires commerciaux aideraient à atténuer le risque de corruption
en question, l’organisme doit mettre en œuvre des procédures comme suit:
a) l’organisme doit déterminer si le partenaire commercial a mis en place les moyens de contrôle anti-
corruption applicables au risque de corruption en question;
b) lorsqu’un partenaire commercial n’a pas mis en place de moyens de contrôle anti-corruption ou
qu’il est impossible de vérifier leur mise en place:
1) si possible, l’organisme doit exiger du partenaire commercial qu’il mette en œuvre des moyens
de contrôle anti-corruption pour la transaction, le projet ou l’activité concerné(e); ou
2) lorsqu’il est impossible d’exiger du partenaire commercial qu’il mette en œuvre des moyens de
contrôle anti-corruption, ce facteur doit être pris en compte lors de l’évaluation des risques de
corruption relative à la relation établie avec ce partenaire commercial (voir 4.5 et 8.2) et de la
façon dont l’organisme gère ces risques (voir 8.3, 8.4 et 8.5).
NOTE Voir

ISO 37001:2016(F)

8.6 Engagements anti-corruption

Pour les partenaires commerciaux qui représentent un risque de corruption plus que faible, l’organisme
doit mettre en œuvre des procédures qui imposent, dans la mesure du possible:
a) que les partenaires commerciaux s’engagent à prévenir la corruption, qu’elle soit initiée par eux-
mêmes, pour leur compte ou dans leur intérêt, en relation avec la transaction, le projet, l’activité ou
la relation concerné(e);
b) que l’organisme soit en mesure de mettre fin à la relation qu’elle a établie avec le partenaire
commercial si un cas de corruption est identifié, qu’il soit initié par le partenaire commercial, pour
son compte ou dans son intérêt, en relation avec la transaction, le projet, l’activité ou la relation
concerné(e).
Lorsqu’il est impossible de satisfaire aux exigences a) ou b) ci-dessus, ce facteur doit être pris en compte
lors de l’évaluation des risques de corruption relative à la relation établie avec le partenaire commercial
(voir 4.5 et 8.2) et de la façon dont l’organisme gère ces risques (voir 8.3, 8.4 et 8.5).
NOTE Voir
8.7 Cadeaux, marques d’hospitalité, dons et avantages similaires

L’organisme doit mettre en œuvre des procédures conçues pour prévenir l’offre, la mise à disposition
ou l’acceptation de cadeaux, de marques d’hospitalité, de dons et d’avantages similaires lorsque l’offre,
la mise à disposition ou l’acceptation est, ou pourrait raisonnablement être perçue comme, un acte de
corruption.
NOTE Voir
8.8 Gestion de l’inadéquation des moyens de contrôle anti-corruption

Lorsque les diligences raisonnables (voir 8.2) appliquées à une transaction, un projet, une activité
ou une relation spécifique avec un partenaire commercial établissent que les risques de corruption
ne peuvent pas être gérés par les moyens de contrôle anti-corruption existants et que l’organisme ne
peut ou ne veut pas mettre en œuvre des moyens de contrôle anti-corruption additionnels ou plus
performants, ou prendre d’autres mesures appropriées (comme modifier la nature de la transaction,
du projet, de l’activité ou de la relation) qui permettent à l’organisme de gérer les risques de corruption
concernés, l’organisme doit:
a) dans le cas d’une transaction, d’un projet, d’une activité ou d’une relation existant(e), prendre
des mesures appropriées aux risques de corruption et à la nature de la transaction, du projet, de
l’activité ou de la relation pour y mettre fin, l’interrompre, la suspendre ou s’en retirer aussitôt que
possible;
b) dans le cas de la proposition d’une nouvelle transaction, d’un nouveau projet, d’une nouvelle activité
ou d’une nouvelle relation, différer ou décliner de poursuivre.
8.9 Signalement des inquiétudes

L’organisme doit mettre en œuvre des procédures qui:
a) encouragent et permettent aux personnes de rapporter de bonne foi, ou sur des motifs qui les ont
raisonnablement poussées à le croire, les tentatives de corruption, les cas de corruption avérés et
les cas de corruption suspectés, ou une violation ou une lacune du système de management anti-
corruption, à la fonction de conformité anti-corruption ou au personnel approprié (directement ou
par le biais d’une tierce partie appropriée);
b) excepté dans la mesure requise par le bon déroulement d’une enquête, imposent que l’organisme
traite les rapports de manière confidentielle, de sorte que l’identité de l’émetteur et des personnes
impliquées ou mentionnées dans le rapport soit protégée;

ISO 37001:2016(F)

c) permettent des rapports anonymes;

d) interdisent les représailles, et protègent les émetteurs des rapports de représailles, après qu’ils
ont formulé des inquiétudes ou rapporté des faits relatifs à une tentative de corruption, à un cas
de corruption avéré ou à un cas de corruption suspecté, ou à une violation de la politique anti-
corruption ou du système de management anti-corruption, de bonne foi ou sur des motifs qui les
ont raisonnablement poussés à le croire;
e) permettent au personnel de recevoir des conseils de la part d’une personne appropriée sur le
comportement à adopter face à une inquiétude ou à une situation qui pourrait impliquer une forme
de corruption.
L’organisme doit s’assurer que l’ensemble du personnel est informé des procédures de rapport et qu’il
est en mesure de les utiliser, et qu’il connaît ses droits et les mécanismes de protection applicables dans
le cadre de ces procédures.
NOTE 1 Ces procédures peuvent être identiques à celles utilisées pour les rapports d’autres inquiétudes (par
exemple: sécurité, mauvaise pratique, mauvais comportement ou autre risque sérieux), ou en faire partie.
NOTE 2 L’organisme peut faire appel à un partenaire commercial pour gérer le système de rapport en son nom.
NOTE 3 Dans certains pays, les exigences b) et c) ci-dessus sont interdites par la loi. Dans ce cas, l’organisme
documente son incapacité à s’y conformer.
8.10 Enquête et traitement des cas de corruption

L’organisme doit mettre en œuvre des procédures qui:
a) imposent l’évaluation de tout cas de corruption ou de violation de la politique anti-corruption ou
du système de management anti-corruption signalé, détecté ou raisonnablement suspecté et, le cas
échéant, son enquête;
b) requièrent la mise en place de mesures appropriées si l’enquête révèle un cas de corruption ou de
violation de la politique anti-corruption ou du système de management anti-corruption;
c) donnent les moyens et la légitimité aux enquêteurs;
d) imposent la coopération du personnel concerné dans le cadre de l’enquête;
e) imposent que l’état d’avancement et les résultats de l’enquête soient rapportés à la fonction de
conformité anti-corruption et aux autres fonctions de conformité, le cas échéant;
f) imposent que l’enquête soit réalisée de manière confidentielle et que les éléments de sortie de
l’enquête soient confidentiels.
L’enquête doit être menée par du personnel qui ne fait pas partie du rôle ou de la fonction objet de
l’enquête et rapportée à du personnel qui ne fait pas partie du rôle ou de la fonction objet de l’enquête.
L’organisme peut désigner un partenaire commercial qui réalisera l’enquête et rapportera les résultats
à du personnel qui ne fait pas partie du rôle ou de la fonction objet de l’enquête.
NOTE 2 Dans certains pays, l’exigence f) ci-dessus est interdite par la loi. Dans ce cas, l’organisme documente
son incapacité à s’y conformer.

ISO 37001:2016(F)

9 Évaluation des performances
9.1 Surveillance, mesure, analyse et évaluation

L’organisme doit déterminer:
a) ce qu’il est nécessaire de surveiller et mesurer;
b) qui est responsable de la surveillance;
c) les méthodes de surveillance, de mesure, d’analyse et d’évaluation, selon le cas, pour assurer la
validité des résultats;
d) quand la surveillance et la mesure doivent être effectuées;
e) quand les résultats de la surveillance et de la mesure doivent être analysés et évalués; et
f) à qui et de quelle façon ces informations doivent être rapportées.
L’organisme doit conserver des informations documentées pertinentes comme preuves des méthodes
et des résultats.
Il doit évaluer la performance anti-corruption, ainsi que l’efficacité et l’efficience du système de
NOTE Voir
9.2 Audit interne
9.2.1 L’organisme doit réaliser des audits internes à des intervalles planifiés pour fournir des
informations permettant de déterminer si le système de management anti-corruption:
a) est conforme:
1) aux propres exigences de l’organisme concernant le système de management anti-corruption; et
2) aux exigences du présent document;
b) est efficacement mis en œuvre et tenu à jour.
NOTE 1 Des préconisations pour l’audit des systèmes de management sont données dans l’ISO 19011.
NOTE 2 Le périmètre et l’échelle des activités d’audit interne d’un organisme peuvent varier en fonction de
facteurs variés comprenant la taille, la structure, la maturité et les lieux d’activité de l’organisme.
9.2.2 L’organisme doit:
a) planifier, établir, mettre en œuvre et maintenir un ou des programmes d’audit, couvrant notamment
la fréquence, les méthodes, les responsabilités, les exigences de planification et le compte rendu. Le
ou les programmes d’audit doivent tenir compte de l’importance des processus concernés et des
résultats des audits précédents;
b) définir les critères d’audit et le périmètre de chaque audit;
c) sélectionner des auditeurs compétents et réaliser des audits pour assurer l’objectivité et
l’impartialité du processus d’audit;
d) veiller à ce que les résultats des audits soient rapportés aux responsables concernés, à la fonction de
conformité anti-corruption, à la direction et, suivant le cas, à l’organe de gouvernance (s’il existe);
e) conserver des informations documentées comme preuves de la mise en œuvre du programme
d’audit et des résultats d’audit.

ISO 37001:2016(F)

9.2.3 Ces audits doivent être raisonnables, proportionnés et basés sur les risques. Ils doivent
comprendre des processus d’audit interne ou d’autres procédures qui analysent les procédures, les
contrôles et les systèmes relatifs à:
a) la corruption ou les cas de corruption suspectés;

b) la violation des exigences de la politique anti-corruption ou du système de management anti-
corruption;
c) l’incapacité des partenaires commerciaux à se conformer aux exigences anti-corruption applicables
de l’organisme;
d) les lacunes ou les opportunités d’amélioration du système de management anti-corruption.
9.2.4 Afin de garantir l’objectivité et l’impartialité de ces programmes d’audit, l’organisme doit
s’assurer que ces audits sont réalisés selon l’une des options suivantes:
a) une fonction ou un personnel indépendant(e) établi(e) ou désigné(e) pour ce processus; ou

b) la fonction de conformité anti-corruption (à moins que le périmètre d’audit comprenne l’évaluation
du système de management anti-corruption lui-même ou d’un élément similaire dont la fonction de
conformité anti-corruption est responsable); ou
c) une personne appropriée d’un service ou d’une fonction autre que celui/celle qui est audité(e); ou
d) une tierce partie appropriée; ou
e) un groupe réunissant des personnes citées en a) à d).
L’organisme doit s’assurer qu’aucun auditeur n’audite son propre domaine d’activité.
NOTE Voir
9.3 Revue de direction
9.3.1 Revue de direction (à son plus haut niveau)
À des intervalles planifiés, la direction, au niveau le plus élevé, doit procéder à la revue du système de
management anti-corruption mis en place par l’organisme, afin de s’assurer qu’il est toujours approprié,
adéquat et efficace.
La revue de direction doit prendre en compte:
a) l’état d’avancement des actions décidées à l’issue des revues de direction précédentes;
b) les modifications des enjeux externes et internes pertinents pour le système de management anti-
corruption;
c) les informations sur la performance du système de management anti-corruption, y compris les
tendances concernant:
1) les non-conformités et les actions correctives;
2) les résultats de la surveillance et de la mesure;
3) les résultats d’audit;
4) les rapports de cas de corruption;
5) les enquêtes;

ISO 37001:2016(F)

6) la nature et l’étendue des risques de corruption auxquels l’organisme est exposé;

d) l’efficacité des actions mises en place pour gérer les risques de corruption;
e) les opportunités d’amélioration continue du système de management anti-corruption, comme
mentionné en 10.2.
Les éléments de sortie de la revue de direction doivent inclure les décisions relatives aux opportunités
d’amélioration continue et aux éventuels changements à apporter au système de management anti-
corruption.
Une synthèse des résultats de la revue de direction doit être remise à l’organe de gouvernance (s’il
existe).
L’organisme doit conserver des informations documentées comme preuves des résultats des revues de
direction.
9.3.2 Revue de l’organe de gouvernance
L’organe de gouvernance (s’il existe) doit réaliser des revues périodiques du système de management
anti-corruption en fonction des informations fournies par la direction et par la fonction de conformité
anti-corruption et de toute autre information que l’organe de gouvernance demande ou obtient.
L’organisme doit conserver des informations documentées de synthèse comme preuves des résultats
des revues de l’organe de gouvernance.
9.4 Revue par la fonction de conformité anti-corruption

La fonction de conformité anti-corruption doit évaluer de façon continue si le système de management
de la corruption est:
a) adéquat pour gérer efficacement les risques de corruption auxquels l’organisme est exposé;
b) mis en œuvre de façon efficace.
La fonction de conformité anti-corruption doit rendre compte, à des intervalles planifiés et de façon
ad hoc, suivant le cas, à l’organe de gouvernance (s’il existe) et à la direction, ou au comité compétent
de l’organe de gouvernance ou de la direction, de l’adéquation et de la mise en œuvre du système de
management anti-corruption, y compris les résultats des enquêtes et des audits.
NOTE 1 La fréquence de ces comptes rendus dépend des exigences de l’organisme, mais au moins une fois par
an est recommandée.
NOTE 2 L’organisme peut faire appel à un partenaire commercial pour l’assister dans sa revue, sous réserve
que les observations de ce dernier soient communiquées de manière appropriée à la fonction de conformité anti-
corruption, à la direction et, suivant le cas, à l’organe de gouvernance (s’il existe).
10 Amélioration
10.1 Non-conformité et actions correctives

Lorsqu’une non-conformité se produit, l’organisme doit:
a) réagir promptement à la non-conformité, et le cas échéant:
1) agir pour la maîtriser et la corriger; et

ISO 37001:2016(F)

2) faire face aux conséquences;

b) évaluer s’il est nécessaire de mener une action pour éliminer la ou les causes de la non-conformité,
afin qu’elle ne se reproduise pas ou n’apparaisse pas ailleurs, en:
1) effectuant la revue de la non-conformité;
2) recherchant et analysant les causes de la non-conformité; et
3) recherchant si des non-conformités similaires existent ou pourraient éventuellement se
produire;
c) mettre en œuvre toutes les actions requises;
d) examiner l’efficacité de toute action corrective mise en œuvre; et
e) modifier, si nécessaire, le système de management anti-corruption.
Les actions correctives doivent être appropriées aux conséquences des non-conformités rencontrées.
L’organisme doit conserver des informations documentées comme preuves:
— de la nature des non-conformités et de toute action menée ultérieurement; et
— des résultats de toute action corrective.
NOTE Voir
10.2 Amélioration continue

L’organisme doit améliorer en continu la pertinence, l’adéquation et l’efficacité du système de
NOTE Voir

ISO 37001:2016(F)

Annexe A
(informative)
Lignes directrices pour l’utilisation du présent document
A.1 Généralités
Les préconisations de la présente annexe sont fournies à titre illustratif uniquement. Sa finalité est
d’indiquer le type d’actions relatives à certains domaines spécifiques qu’un organisme peut mettre
en place pour la mise en œuvre de son système de management anti-corruption. Cette liste n’est pas
exhaustive ni normative; rien n’impose non plus à un organisme de suivre les étapes décrites ci-
dessous pour disposer d’un système de management anti-corruption qui satisfait aux exigences du
présent document. Il convient que les étapes mises en place par l’organisme soient raisonnables et
proportionnées eu égard à la nature et à l’étendue des risques de corruption auxquels l’organisme est
exposé (voir 4.5 et les facteurs en 4.1 et 4.2).
Des préconisations supplémentaires sur les bonnes pratiques en matière de management anti-
corruption sont données par les ouvrages cités dans la Bibliographie.
A.2 Périmètre d’application du système de management anti-corruption

A.2.1 Système de management anti-corruption autonome ou intégré
L’organisme peut choisir de mettre en œuvre ce système de management anti-corruption sous la
forme d’un système séparé ou sous la forme d’un composant intégré à un système de management de
la conformité global (dans ce cas, l’organisme peut se référer à l’ISO 19600 pour des préconisations).
L’organisme peut également choisir de mettre en œuvre ce système de management anti-corruption de
façon parallèle ou intégrée à ses autres systèmes de management, tels qu’un système de management
de la qualité, environnemental et de la sécurité de l’information (dans ce cas, l’organisme peut se référer
à l’ISO 9001, l’ISO 14001 et l’ISO/IEC 27001), ainsi qu’à l’ISO 26000 et l’ISO 31000.
A.2.2 Paiements de facilitation et extorsion de fonds
A.2.2.1 «Paiement de facilitation» est le terme parfois donné à un paiement illégal ou officieux d’une
somme en contrepartie de services que le payeur aurait eu légalement le droit de recevoir sans un tel
paiement. Il s’agit généralement d’une somme relativement faible versée à un représentant public ou
une personne exerçant une fonction de certification afin d’assurer ou d’accélérer la réalisation d’une
procédure routinière ou d’une action nécessaire, telle que l’émission d’un visa ou d’un permis de
travail, un dédouanement ou l’installation d’un téléphone. Même si les paiements de facilitation sont
fréquemment considérés comme étant, par nature, différents de pots-de-vin versés pour remporter un
contrat par exemple, ils sont illégaux dans la plupart des pays et sont traités comme des cas de corruption
dans le cadre du présent document. Il convient qu’ils soient interdits par le système de management
anti-corruption de l’organisme.
A.2.2.2 Une extorsion de fonds a lieu lorsque de l’argent est soutiré du personnel par la force suite
à des menaces avérées ou perçues à la santé, la sécurité ou la liberté, et n’entre pas dans le domaine
d’application du présent document. La sécurité et la liberté d’une personne sont primordiales et nombre
de systèmes juridiques ne sanctionnent pas le versement d’une somme par quiconque craint de façon
raisonnable pour sa santé, sa sécurité ou sa liberté propre ou celles d’autrui. L’organisme peut disposer
d’une politique qui permet le versement d’une somme par le personnel s’il se sent menacé par une
atteinte imminente à sa santé, sa sécurité ou sa liberté propres ou celles d’autrui.

ISO 37001:2016(F)

A.2.2.3 Il convient que l’organisme fournisse des préconisations spécifiques sur la façon d’éviter et de
gérer de tels paiements à tout personnel qui pourrait y être confronté. De telles préconisations peuvent
par exemple comprendre:
a) indication de l’action à entreprendre par tout personnel confronté à une demande de ce type:
1) pour les paiements de facilitation, demander la preuve de la légitimité du paiement et un reçu
officiel du paiement et, si aucune preuve satisfaisante ne peut être obtenue, refuser de procéder
audit paiement; et
2) pour les cas d’extorsion de fonds, procéder au paiement si sa santé, sa sécurité ou sa liberté
propre ou celles d’autrui sont menacées;
b) description de l’action à entreprendre par le personnel qui a réalisé un paiement de facilitation ou
une extorsion de fonds:
1) documenter l’événement; et
2) rapporter l’événement au dirigeant approprié ou à la fonction de conformité anti-corruption;
c) description de l’action à entreprendre par l’organisme lorsque son personnel a réalisé un paiement
de facilitation ou une extorsion de fonds:
1) désigner un dirigeant approprié pour enquêter sur l’événement (de préférence, la fonction
de conformité anti-corruption ou un dirigeant indépendant du service ou de la fonction du
personnel);
2) enregistrer de façon adéquate le paiement dans la comptabilité de l’organisme; et
3) si approprié, ou si requis par la loi, signalement du paiement aux autorités compétentes.
A.3 Raisonnable et proportionné
A.3.1 La corruption est habituellement dissimulée. Elle peut être difficile à prévenir, à détecter et
à traiter. Dans cette optique, l’intention générale du présent document est de justifier le besoin pour
l’organe de gouvernance (s’il existe) et pour la direction d’un organisme de:
— s’engager sincèrement à prévenir, détecter et lutter contre la corruption relative aux activités de
l’organisme;
— mettre en œuvre, de façon sincère, des mesures au sein de l’organisme conçues pour prévenir,
détecter et lutter contre la corruption.
Les organismes ne peuvent pas mettre en place des mesures trop coûteuses, trop fastidieuses et
trop bureaucratiques qu’ils ne pourraient pas financièrement se permettre ou qui entraîneraient
l’interruption de leurs activités, tandis que des mesures trop simples et inefficaces seraient synonymes
de porte ouverte à la corruption. Les mesures doivent être appropriées au risque de corruption et il
convient qu’elles soient raisonnablement efficaces pour atteindre leur objectif de prévention et de
détection de la corruption, et de lutte contre celle-ci.
A.3.2 Tandis que les types de mesures anti-corruption devant être mises en œuvre sont raisonnablement
bien reconnus par les bonnes pratiques internationales, dont certains ont été transposés en exigence
dans le présent document, le détail des mesures à mettre en œuvre diffère amplement en fonction des
circonstances. Il est impossible de prescrire en détail l’attitude qu’un organisme devrait adopter dans
des circonstances particulières. La qualification «raisonnable et proportionné» a été introduite dans le
présent document afin que chaque situation fasse l’objet d’un jugement approprié.
A.3.3 Les exemples suivants fournissent certaines préconisations sur la façon dont la qualification
«raisonnable et proportionné» peut s’appliquer dans différentes circonstances.

ISO 37001:2016(F)

a) un très grand organisme multinational peut avoir besoin de gérer plusieurs niveaux hiérarchiques
et un personnel s’élevant à des milliers de personnes. Son système de management anti-corruption
devra généralement être beaucoup plus détaillé que celui d’un organisme de petite taille au
personnel limité;
b) un organisme dont les activités se déroulent dans un lieu où le risque de corruption est élevé aura
normalement besoin d’une évaluation des risques de corruption et de procédures de diligences
raisonnables plus complètes, et de moyens de contrôle anti-corruption renforcés applicables aux
transactions qu’il réalise dans ce même lieu, qu’un organisme dont les activités se limitent à un lieu
où les risques de corruption sont faibles et où la corruption est relativement rare;
c) bien que des risques de corruption existent pour un grand nombre de transactions ou d’activités,
l’évaluation des risques de corruption, les procédures de diligences raisonnables et les moyens
de contrôle anti-corruption mis en œuvre par un organisme impliqué dans une transaction ou
des activités de grande envergure et de valeur élevée auxquelles participent un vaste éventail
de partenaires commerciaux sont susceptibles d’être plus complets que ceux mis en œuvre par
un organisme pour une activité qui implique la vente d’articles de moindre valeur à de multiples
clients ou de multiples transactions de faible valeur avec une seule partie;
d) un organisme disposant d’un très vaste éventail de partenaires commerciaux peut conclure, dans
le cadre de son évaluation des risques de corruption, que certaines catégories de partenaires
commerciaux, par exemple des clients finaux, sont peu susceptibles de représenter un risque de
corruption plus que faible, et prendre en compte cette conclusion pour la conception et la mise en
œuvre de son système de management anti-corruption. Par exemple, les diligences raisonnables ne
sont probablement pas nécessaires, ou ne sont probablement pas un moyen de contrôle raisonnable
et proportionné pour les clients finaux qui achètent des articles tels que des biens de consommation
auprès de l’organisme.
A.3.4 Bien que des risques de corruption existent pour un grand nombre de transactions, il convient
qu’un organisme mette en œuvre un moyen de contrôle anti-corruption plus complet pour une
transaction présentant un risque de corruption élevé que pour une transaction présentant un risque de
corruption faible. Dans ce contexte, il est important de comprendre que l’identification et l’acceptation
d’un risque de corruption faible ne signifient pas que l’organisme accepte effectivement la survenance
d’un cas de corruption, c’est-à-dire que le risque de corruption (la possibilité de la survenance d’un cas
de corruption) n’est pas identique à l’occurrence d’un cas de corruption (l’acte de corruption en lui-
même). Un organisme peut appliquer une «tolérance zéro» pour l’occurrence d’un cas de corruption
tout en poursuivant ses activités dans des situations où un risque de corruption faible, ou un risque de
corruption plus que faible, peut exister (sous réserve que des mesures d’atténuation adéquates soient
mises en place). Des préconisations supplémentaires sur les moyens de contrôle spécifiques sont
données ci-dessous.
A.4 Évaluation des risques de corruption
A.4.1 L’intention de l’évaluation des risques de corruption requise par 4.5 est de permettre à
l’organisme de construire des bases solides pour son système de management anti-corruption. Cette
évaluation identifie les risques de corruption sur lesquels se concentrera le système de management,
c’est-à-dire les risques de corruption considérés par l’organisme comme une priorité pour l’atténuation
des risques de corruption, la mise en œuvre des moyens de contrôle et l’affectation du personnel chargé
de la conformité anti-corruption, les ressources et les activités. Il appartient à l’organisme de déterminer
la façon dont il réalise l’évaluation des risques de corruption, la méthodologie utilisée, la façon d’apprécier
les risques et d’établir des priorités, et le niveau d’acceptation ou de tolérance des risques de corruption
(c’est-à-dire son «appétit pour le risque»). Plus particulièrement, l’organisme est celui qui établit les

ISO 37001:2016(F)

critères de l’évaluation des risques de corruption (par exemple si le risque est «faible», «moyen» ou
«élevé»); il convient néanmoins qu’il tienne compte de sa politique anti-corruption et de ses objectifs.
Un exemple de la façon dont un organisme peut choisir de réaliser cette évaluation est donné ci-dessous:
a) sélection des critères d’évaluation des risques de corruption. Par exemple, l’organisme peut
sélectionner des critères sur trois niveaux (par exemple «faible», «moyen» et «élevé»), des critères
détaillés sur cinq ou sept niveaux ou une approche davantage approfondie. Les critères prendront
fréquemment en compte plusieurs facteurs, notamment la nature du risque de corruption,
la vraisemblance de l’occurrence de la corruption et l’ampleur des conséquences si un cas de
corruption devait se produire;
b) évaluation des risques de corruption associés à la taille et à la structure de l’organisme. Un
petit organisme évoluant dans un seul lieu et disposant de moyens de contrôle du management
centralisés gérés par quelques personnes peut être en mesure de maîtriser ses risques de corruption
plus facilement qu’un organisme de très grande taille à la structure décentralisée opérant sur de
nombreux sites;
c) étude des lieux et secteurs dans lesquels l’organisme opère ou prévoit d’opérer et évaluation
du niveau de risque de corruption que ces lieux et secteurs peuvent représenter. Un indice de
corruption approprié peut être utilisé pour aider l’organisme dans cette évaluation. Les lieux ou
secteurs présentant un risque de corruption plus élevé peuvent être associés par l’organisme à un
risque «moyen» ou «élevé» par exemple, ce qui peut amener l’organisme à imposer des moyens de
contrôle plus complets pour les activités de l’organisme dans ces lieux ou secteurs;
d) étude de la nature, de l’échelle et de la complexité des types d’activités et d’opérations de
l’organisme:
1) il peut, par exemple, être plus facile de maîtriser un risque de corruption lorsqu’un organisme
entreprend une opération de fabrication de petite échelle dans un seul lieu que lorsqu’un
organisme prend part à de nombreux projets de construction de grande envergure dans
plusieurs lieux;
2) certaines activités peuvent donner lieu à des risques de corruption spécifiques, par exemple
des mécanismes de compensation par lesquels le gouvernement qui achète des produits ou des
services impose au fournisseur de réinvestir une certaine partie de la valeur du contrat dans
le pays d’achat. Il convient que l’organisme prenne des mesures appropriées pour éviter que les
mécanismes de compensation ne soient assimilés à de la corruption;
e) étude des types de partenaires commerciaux existants et potentiels de l’organisme par catégorie et
évaluation du risque de corruption qu’ils représentent en principe. Par exemple:
1) l’organisme peut disposer d’un grand nombre de clients qui lui achètent des produits de
très faible valeur et dont les pratiques représentent un risque de corruption minimal pour
l’organisme. Dans ce cas, l’organisme peut considérer ces clients comme représentant un
risque de corruption faible et peut déterminer que des moyens de contrôle anti-corruption
spécifiques ne sont pas nécessaires. L’organisme peut également disposer de clients qui lui
achètent des produits de très grande valeur et qui peuvent représenter un risque de corruption
significatif (par exemple: le risque de sollicitation de pots-de-vin en contrepartie de paiements,
d’approbations). Ces types de clients peuvent être considérés comme représentant un risque
de corruption «moyen» ou «élevé» et peuvent impliquer la mise en place de moyens de contrôle
anti-corruption plus complets par l’organisme;
2) différentes catégories de fournisseurs peuvent représenter différents niveaux de risques
de corruption. Par exemple, les fournisseurs dont le périmètre d’activité est très étendu, ou
qui pourraient être en contact avec les clients de l’organisme ou des représentants publics
pertinents, peuvent représenter un risque de corruption «moyen» ou «élevé». Certaines
catégories de fournisseurs peuvent être associées à un risque «faible», par exemple: les
fournisseurs basés dans des lieux à risque de corruption faible qui n’ont pas de contact avec
les représentants publics pertinents dans le cadre de la transaction ou avec les clients de

ISO 37001:2016(F)

l’organisme. Certaines catégories de fournisseurs peuvent être associées à un risque «très

faible», par exemple: les fournisseurs de petites quantités d’articles de faible valeur, les services
d’achat de billets d’avion ou de réservation d’hôtel en ligne. L’organisme pourrait ainsi conclure
que des moyens de contrôle anti-corruption spécifiques n’ont pas besoin d’être mis en œuvre
pour ces fournisseurs qui représentent un risque de corruption faible ou très faible;
3) les agents ou intermédiaires qui interagissent, pour le compte de l’organisme, avec les clients
de l’organisme ou des représentants publics sont susceptibles de représenter un risque de
corruption «moyen» ou «élevé», en particulier s’ils sont rémunérés à la commission ou en
fonction de leurs résultats;
f) étude de la nature et de la fréquence des interactions avec les représentants publics étrangers
ou nationaux qui peuvent représenter un risque de corruption. Par exemple, les interactions avec
des représentants publics responsables de l’émission de permis et des approbations peuvent
représenter un risque de corruption;
g) étude des obligations et devoirs statutaires, réglementaires, contractuels et professionnels
applicables, par exemple l’interdiction ou la limitation des avantages octroyés aux représentants
publics ou du recours à des agents;
h) prise en compte de la mesure dans laquelle l’organisme est capable d’influencer ou de maîtriser les
risques évalués.
Les facteurs de risques de corruption ci-dessus sont interdépendants. Par exemple, les fournisseurs
d’une même catégorie peuvent représenter un risque de corruption différent en fonction du lieu dans
lequel ils opèrent.
A.4.2 Après évaluation des risques de corruption pertinents, l’organisme peut déterminer le type et
le degré des moyens de contrôle anti-corruption appliqués à chaque catégorie de risque et peut évaluer
si les moyens de contrôle existants sont adéquats. Dans la négative, les moyens de contrôle peuvent être
améliorés de façon appropriée. Par exemple, un moyen de contrôle de niveau élevé est susceptible d’être
mis en œuvre pour les lieux présentant des risques de corruption élevés et les catégories de partenaires
commerciaux représentant des risques de corruption élevés. L’organisme peut déterminer qu’il est
acceptable de mettre en œuvre un moyen de contrôle de niveau faible pour les activités ou partenaires
commerciaux présentant des risques de corruption faibles. Certaines exigences du présent document
excluent expressément le besoin d’appliquer ces exigences à des activités ou partenaires commerciaux
présentant des risques de corruption faibles (même si l’organisme peut choisir de les appliquer si tel est
son souhait).
A.4.3 L’organisme peut modifier la nature de la transaction, du projet, de l’activité ou de la relation de

sorte que la nature et l’étendue du risque de corruption soient réduites à un niveau qui puisse être géré
de façon adéquate par des moyens de contrôle anti-corruption existants, améliorés ou additionnels.
A.4.4 L’exercice de l’évaluation des risques de corruption n’est pas destiné à être exhaustif ou trop
complexe, et l’exactitude des résultats de l’évaluation ne sera pas nécessairement avérée (par exemple,
une transaction évaluée comme représentant un risque de corruption faible peut tout de même impliquer
un acte de corruption). Dans la mesure du possible et du raisonnable, il convient que les résultats de
l’évaluation des risques de corruption reflètent les risques de corruption avérés auxquels l’organisme est
exposé. Il convient que l’exercice soit conçu comme un outil qui aide l’organisme à évaluer ses risques de
corruption et à établir des priorités, et qu’il soit régulièrement passé en revue et révisé en fonction des
changements ayant lieu au sein de l’organisme ou des circonstances (par exemple, nouveaux marchés ou
produits, exigences légales, expérience acquise).
NOTE Des préconisations supplémentaires sont données dans l’ISO 31000.

ISO 37001:2016(F)

A.5 Rôles et responsabilités de l’organe de gouvernance et de la direction
A.5.1 Nombre d’organismes disposent d’une certaine forme d’organe de gouvernance (par exemple un
conseil d’administration ou un conseil de surveillance) qui assume généralement des responsabilités de
supervision vis-à-vis des opérations de l’organisme. Ces responsabilités comprennent la supervision du
système de management anti-corruption de l’organisme. Néanmoins, l’organe de gouvernance n’exerce
généralement aucun contrôle quotidien sur les activités de l’organisme. Ce rôle incombe à la direction
générale (par exemple président-directeur général, directeur de l’exploitation), à laquelle il est fait
référence dans le présent document sous le terme «direction». Eu égard au système de management
anti-corruption, il convient que l’organe de gouvernance soit informé du contenu et du fonctionnement
du système de management et qu’il exerce une supervision raisonnable vis-à-vis de l’adéquation, de
l’efficacité et de la mise en œuvre du système de management. Il convient qu’il reçoive régulièrement
des informations relatives aux performances du système de management dans le cadre du processus
de la revue de direction (ce qui peut concerner l’ensemble de l’organe de gouvernance ou l’un de ses
comités comme le comité d’audit). À cet égard, il convient que la fonction de conformité anti-corruption
soit en mesure de rapporter des informations sur le système de management directement à l’organe de
gouvernance (ou au comité approprié).
A.5.2 Certains organismes, en particulier les plus petits d’entre eux, peuvent ne pas disposer d’un
organe de gouvernance indépendant ou il se peut que les attributions de l’organe de gouvernance et de la
direction générale soient confiées à un même groupe, voire à une seule personne. Dans ce cas, le groupe
ou la personne assumera les responsabilités que le présent document définit pour la direction et l’organe
de gouvernance.
NOTE Il est parfois fait référence à l’engagement des dirigeants sous le terme « l’exemple de la direction ».
A.6 Fonction de conformité anti-corruption
A.6.1 Le nombre de personnes travaillant au sein de la fonction de conformité anti-corruption dépend de

facteurs tels que la taille de l’organisme, l’étendue du risque de corruption auquel l’organisme est exposé
et la charge de travail qui en résulte pour la fonction. Dans un petit organisme, la fonction de conformité
anti-corruption sera susceptible d’être confiée à une personne responsable à temps partiel qui assume
d’autres responsabilités. Lorsque l’étendue du risque de corruption et la charge de travail qui en résulte
le justifient, la fonction de conformité anti-corruption peut être confiée à une personne responsable
à temps plein. Dans les grands organismes, la fonction réunira probablement plusieurs personnes.
Certains organismes peuvent attribuer cette responsabilité à un comité comprenant un éventail d’experts
pertinents. Certains organismes peuvent choisir de faire appel à une tierce partie pour qu’elle se charge
de tout ou partie de la fonction de conformité anti-corruption. Cela est acceptable sous réserve qu’un
dirigeant approprié appartenant à l’organisme conserve la responsabilité globale et l’autorité sur la
fonction de conformité anti-corruption, et supervise les services fournis par la tierce partie.
A.6.2 Le présent document exige que la fonction de conformité anti-corruption soit confiée à une ou des
personnes disposant des compétences, du statut, de l’autorité et de l’indépendance appropriés. À cet égard:
a) «compétence» signifie que la ou les personnes concernées disposent de l’éducation, de la formation

ou de l’expérience appropriées, d’une aptitude personnelle à gérer les exigences du rôle et de la
capacité à se former à ses attributions et à les honorer de façon appropriée;
b) «statut» signifie que les autres membres du personnel sont susceptibles d’écouter et de respecter
les opinions de la personne responsable de la conformité;
c) «autorité» signifie que l’organe de gouvernance (s’il existe) et la direction confèrent des pouvoirs
suffisants à la ou aux personnes pertinentes responsables de la conformité pour qu’elles puissent
assumer efficacement leurs responsabilités en matière de conformité;
d) «indépendance» signifie que la ou les personnes pertinentes responsables de la conformité ne sont
pas, autant que possible, personnellement impliquées dans les activités de l’organisme qui sont

ISO 37001:2016(F)

exposées à un risque de corruption. Elle peut être plus facilement garantie lorsque l’organisme
désigne une personne pour occuper le poste à temps plein, mais elle est plus difficile pour un petit
organisme qui désigne une personne responsable du rôle de conformité et d’autres fonctions.
Lorsque la fonction de conformité anti-corruption est assumée à temps partiel, il convient que le
rôle ne soit pas confié à une personne qui peut être exposée à la corruption dans le cadre de sa
fonction principale. Pour les organismes de très petite taille où il peut être plus difficile d’assurer
l’indépendance de la fonction, il convient que la personne concernée distingue, au mieux de ses
capacités, ses responsabilités de conformité de ses autres responsabilités afin d’être impartiale.
A.6.3 Il est important que la fonction de conformité anti-corruption puisse contacter directement la
direction et l’organe de gouvernance (s’il existe), afin de communiquer les informations pertinentes. Il est
recommandé que la fonction n’ait pas à rendre compte uniquement à un autre dirigeant de la chaîne qui
rendrait par la suite compte à la direction, cette approche augmentant le risque que le message transmis
par la fonction de conformité anti-corruption ne soit pas complètement ou clairement entendu par la
direction. Il convient également que la fonction de conformité anti-corruption entretienne des relations
de communication directe avec l’organe de gouvernance (s’il existe) sans avoir à passer par la direction.
Il peut s’agir de l’organe de gouvernance dans son intégralité (par exemple: le conseil d’administration
ou un conseil de surveillance) ou d’un comité de délégation spécifique de l’organe de gouvernance ou de
la direction (par exemple: un comité d’audit ou de déontologie).
A.6.4 La responsabilité première de la fonction de conformité anti-corruption est de superviser

la conception et la mise en œuvre du système de management anti-corruption. Il convient de ne pas
confondre avec la responsabilité directe des performances anti-corruption de l’organisme et avec la
conformité aux lois anti-corruption applicables. Chacun est responsable de se comporter de façon
déontologique et conforme, y compris en respectant les exigences du système de management anti-
corruption et des lois anti-corruption. Il est particulièrement important que les dirigeants encouragent
la conformité pour les domaines d’activité de l’organisme dont ils sont responsables.
NOTE Des préconisations supplémentaires sont données dans l’ISO 19600.
A.7 Ressources
Les ressources nécessaires dépendent de facteurs tels que la taille de l’organisme, la nature de ses
opérations et les risques de corruption auxquels il est exposé. Les ressources comprennent les exemples
suivants:
a) ressources humaines: Il convient d’avoir suffisamment de personnel en mesure de consacrer
suffisamment de temps à ses responsabilités anti-corruption respectives afin de garantir le
fonctionnement efficace du système de management anti-corruption. Cela inclut la désignation d’un
nombre suffisant de personnes (internes ou externes) au sein de la fonction de conformité anti-
corruption;
b) ressources physiques: Il convient que l’organisme dispose des ressources physiques nécessaires,
y compris pour la fonction de conformité anti-corruption, afin que le système de management
anti-corruption fonctionne efficacement, par exemple: bureau, mobilier, matériel et logiciels
informatiques, supports de formation, téléphones, papeterie;
c) ressources financières: Il convient de prévoir un budget suffisant, y compris pour la fonction
de conformité anti-corruption, afin que le système de management anti-corruption fonctionne
efficacement.

ISO 37001:2016(F)

A.8 Procédures liées à l’emploi

A.8.1 Diligences raisonnables vis-à-vis du personnel
Lors de la réalisation de diligences raisonnables vis-à-vis du personnel avant son embauche, l’organisme,
conformément aux fonctions proposées au candidat et au risque de corruption associé, peut prendre
des mesures, comme:
a) aborder la politique anti-corruption de l’organisme avec les candidats lors de l’entretien et conclure
s’ils comprennent et acceptent l’importance de son respect;
b) prendre des mesures raisonnables pour vérifier que les qualifications des candidats sont exactes;
c) prendre des mesures raisonnables pour obtenir des références satisfaisantes auprès des
employeurs précédents du candidat;
d) prendre des mesures raisonnables pour déterminer si le candidat prend part à des cas de
corruption;
e) prendre des mesures raisonnables pour vérifier que l’organisme n’offre pas un poste à un candidat
pour avoir favorisé, de façon inadéquate, l’organisme dans le cadre d’un emploi précédent;
f) vérifier que la finalité de l’offre d’emploi au candidat n’est pas de garantir un traitement favorable
inapproprié de l’organisme;
g) prendre des mesures raisonnables pour identifier les relations du candidat avec les représentants
publics.
A.8.2 Primes de performance

Les mécanismes de rémunération, y compris les bonus et les primes, peuvent encourager, même
involontairement, le personnel à prendre part à des cas de corruption. Par exemple, si un dirigeant
reçoit une prime fondée sur la conclusion d’un contrat pour l’organisme, il pourrait être tenté de verser
un pot-de-vin ou de fermer les yeux sur le versement d’un pot-de-vin par un agent ou un partenaire
d’entreprise commune afin de garantir la conclusion du contrat. Le même cas de figure pourrait se
produire si une pression trop élevée est exercée sur le dirigeant vis-à-vis de ses performances (par
exemple: si le dirigeant risque d’être licencié s’il n’atteint pas des objectifs de ventes trop ambitieux).
L’organisme doit accorder une attention particulière à ces aspects de la rémunération pour s’assurer,
dans la mesure du raisonnable, qu’ils n’encouragent pas la corruption.
Les évaluations, les promotions, les primes et autres récompenses du personnel peuvent être utilisés
comme mécanismes d’incitation pour encourager ce dernier à se comporter conformément à la
politique anti-corruption et au système de management anti-corruption de l’organisme. Néanmoins,
l’organisme doit être prudent sur cette question, car les menaces portant sur la perte d’une prime, etc.
peuvent inciter le personnel à dissimuler son manque de performances dans le cadre du système de
Il convient que le personnel soit informé que la violation du système de management anti-corruption
dans le but d’améliorer l’évaluation de ses performances relatives à d’autres domaines (par exemple:
l’atteinte d’objectifs de ventes) n’est pas acceptable et qu’il convient que cela donne lieu à des actions
correctives et/ou des sanctions disciplinaires.
A.8.3 Conflits d’intérêts

Il convient que l’organisme identifie et évalue le risque de conflits d’intérêts internes et externes. Il est
recommandé que l’organisme informe clairement l’ensemble du personnel de son obligation de rendre
compte de tout conflit d’intérêts avéré ou potentiel relatif (par exemple: familial, financier ou autre)
directement ou indirectement lié à son domaine d’activité. Cette approche aide l’organisme à identifier

ISO 37001:2016(F)

les situations dans lesquelles le personnel pourrait faciliter ou ne pas parvenir à prévenir ou à rapporter
un cas de corruption, par exemple:
a) si le dirigeant commercial de l’organisme fait partie de la famille du responsable des achats d’un
client; ou
b) si un cadre hiérarchique de l’organisme exerce un intérêt financier personnel dans les activités
d’un concurrent.
Il convient que l’organisme conserve, de préférence, un enregistrement des cas de conflit d’intérêts
avérés ou potentiels, indiquant également si des actions ont été entreprises pour atténuer le conflit.
A.8.4 Corruption du personnel de l’organisme
A.8.4.1 Les mesures nécessaires pour prévenir, détecter et lutter contre le risque de corruption par
le personnel de l’organisme pour le compte de l’organisme («corruption active») peuvent différer des
mesures utilisées pour prévenir, détecter et lutter contre la corruption du personnel de l’organisme
(«corruption passive»). Par exemple, la capacité à identifier et à atténuer le risque de corruption passive
peut être significativement limitée par la disponibilité des informations que l’organisme ne contrôle
pas (par exemple: comptes bancaires personnels de l’employé et données transactionnelles de sa carte
bancaire), par la loi applicable (par exemple: loi sur la confidentialité) ou par d’autres facteurs. Par
conséquent, le nombre et les types de moyens de contrôle à disposition de l’organisme pour atténuer le
risque de corruption active peuvent être plus nombreux que les moyens de contrôle qu’il peut mettre en
œuvre pour atténuer le risque de corruption passive.
A.8.4.2 La corruption du personnel de l’organisme est plus susceptible de se produire pour le

personnel en mesure de prendre ou d’influencer des décisions pour le compte de l’organisme (par
exemple: un responsable des achats qui peut attribuer des contrats; un superviseur qui peut approuver
le travail effectué; un dirigeant qui peut affecter le personnel ou approuver les salaires ou les primes; un
assistant juridique qui prépare les documents pour l’octroi de licences et de permis). La corruption étant
susceptible d’être acceptée par le personnel non couvert par le périmètre des systèmes ou des moyens
de contrôle de l’organisme, la capacité de l’organisme à prévenir ou à détecter ces cas de corruption peut
être limitée.
A.8.4.3 Outre les étapes mentionnées en A.8.1 et A.8.3, le risque de corruption passive peut être atténué
par les exigences suivantes du présent document:
a) il convient que la politique anti-corruption de l’organisme (voir 5.2) interdise clairement la

sollicitation et l’acceptation de pots-de-vin par le personnel de l’organisme et quiconque travaillant
pour le compte de l’organisme;
b) il est recommandé que les guides et les supports de formation (voir 7.3) renforcent l’interdiction
portant sur la sollicitation et l’acceptation de pots-de-vin et incluent:
1) des conseils sur la façon de rendre compte des préoccupations relatives à la corruption
(voir 8.9); et
2) une mise en exergue de la politique de l’organisme en matière d’absence de représailles
(voir 8.9);
c) il convient que la politique de l’organisme en matière de cadeaux et de marques d’hospitalité
(voir 8.7) limite l’acceptation de cadeaux et de marques d’hospitalité par le personnel;
d) la publication sur le site Web de l’organisme de la politique anti-corruption de l’organisme et des
détails sur la façon de rapporter les cas de corruption aide à définir les attentes vis-à-vis des
partenaires commerciaux afin de diminuer la probabilité que des partenaires commerciaux offrent
ou que le personnel de l’organisme sollicite ou accepte un pot-de-vin;

ISO 37001:2016(F)

e) les moyens de contrôle (voir 8.3 et 8.4) requérant, par exemple, l’utilisation de fournisseurs
agréés, la mise en place d’un appel d’offres, la signature d’au moins deux personnes sur un contrat,
l’approbation des travaux, etc. réduisent le risque de contrats, d’approbations, de paiements ou
d’avantages frauduleux.
A.8.4.4 L’organisme peut également mettre en œuvre des procédures d’audit pour identifier les moyens
que le personnel peut exploiter pour tirer personnellement profit des lacunes des moyens de contrôle
existants. Ces procédures peuvent par exemple comprendre:
a) le passage en revue des fichiers de paie pour identifier les dossiers fantômes et dupliqués du
personnel;
b) le passage en revue des notes de frais du personnel pour identifier des dépenses anormales;
c) la comparaison des informations du fichier de paie du personnel (comme les numéros de compte
bancaire personnel et les adresses) avec les informations de compte bancaire et les coordonnées du
fichier de référence des fournisseurs de l’organisme pour identifier les conflits d’intérêts potentiels.
A.8.5 Contractuels ou personnel intérimaire

Dans certains cas, les contractuels ou le personnel intérimaire peuvent être fournis à l’organisme
par une agence de travail intérimaire ou un autre partenaire commercial. Dans ce cas, il convient que
l’organisme détermine si le risque de corruption que représentent ces contractuels ou ce personnel
intérimaire (s’il y a lieu) est géré de façon appropriée en traitant les contractuels ou le personnel
intérimaire de la même façon que son propre personnel en matière de formation et de contrôle, ou s’il
impose des moyens de contrôle appropriés au partenaire commercial qui fournit les contractuels ou le
personnel intérimaire.
A.9 Sensibilisation et formation
A.9.1 L’intention de la formation est de contribuer à garantir que le personnel concerné comprend,
dans le cadre de son rôle ou au sein de l’organisme, les éléments suivants:
a) les risques de corruption auxquels lui-même et l’organisme sont exposés;

b) la politique anti-corruption;
c) les aspects du système de management anti-corruption relatifs à son rôle; et
d) toute action de prévention et de rapport nécessaire à entreprendre vis-à-vis d’un risque de
corruption ou d’un cas de corruption suspecté.
A.9.2 Le format et l’étendue de la formation dépendent de la taille de l’organisme et des risques de

corruption auxquels l’organisme est exposé. Elle peut prendre la forme d’un module en ligne ou en
présentiel (par exemple: sessions collectives, ateliers, tables rondes avec le personnel concerné ou
sessions individuelles). La méthode de formation est moins importante que le résultat, c’est-à-dire la
compréhension par l’ensemble du personnel concerné des problématiques mentionnées en A.9.1.
A.9.3 La formation en présentiel est recommandée pour l’organe de gouvernance (s’il existe), ainsi
que pour tout personnel (indépendamment de son poste ou de son niveau hiérarchique au sein de
l’organisme) et partenaire commercial qui prend part à des opérations et des processus représentant un
risque de corruption plus que faible.
A.9.4 Si la ou les personnes affectées à la fonction de conformité anti-corruption ne disposent pas

de suffisamment d’expérience en la matière, il convient que l’organisme fournisse toute formation
nécessaire afin qu’elles remplissent leurs attributions en matière de conformité anti-corruption de façon
appropriée.

ISO 37001:2016(F)

A.9.5 La formation peut se dérouler sous la forme d’une formation dédiée à la corruption ou faire
partie du programme d’intégration ou de formation global de l’organisme en matière de conformité et de
déontologie.
A.9.6 Le contenu de la formation peut être adapté au rôle que le personnel occupe. Le personnel qui
n’est pas exposé à un risque de corruption significatif dans le cadre de ses fonctions peut suivre une
formation très simple sur la politique de l’organisme afin qu’il comprenne la politique et sache quoi faire
s’il est confronté à une violation potentielle. Il est recommandé que le personnel dont le rôle implique un
risque de corruption élevé suive une formation plus approfondie.
A.9.7 Il convient que la formation soit organisée aussi souvent que nécessaire afin de garantir que le
personnel reste informé des politiques et procédures de l’organisme, de toute évolution relative à son
rôle et de toute modification réglementaire.
A.9.8 L’application des exigences de formation et de sensibilisation aux partenaires commerciaux

identifiés dans le cadre des exigences de 7.3 entraîne des difficultés particulières, car les employés de ces
partenaires commerciaux ne travaillent généralement pas directement pour l’organisme et l’organisme
ne sera, en général, pas en contact direct avec ces employés pour ses exigences de formation. La
formation des employés travaillant pour des partenaires commerciaux sera habituellement dispensée
par les partenaires commerciaux ou par d’autres parties sélectionnées à cette fin. Il est important que
les employés qui travaillent pour des partenaires commerciaux qui peuvent représenter un risque de
corruption plus que faible pour l’organisme soient informés de la problématique et suivent une formation
raisonnablement orientée sur la réduction de ce risque. Le contenu de 7.3 requiert que l’organisme, au
minimum, identifie les partenaires commerciaux dont les employés devraient suivre une formation anti-
corruption, le contenu minimal de la formation et la nécessité de la formation. La formation en elle-même
peut être dispensée par le partenaire commercial, par d’autres parties désignées ou, si l’organisme le
souhaite, par l’organisme. L’organisme peut communiquer ces obligations à ses partenaires commerciaux
de plusieurs manières, y compris dans le cadre d’un accord contractuel.
A.10 Diligences raisonnables
A.10.1 La finalité d’exercer des diligences raisonnables vis-à-vis de certain(e)s transactions, projets,
activités, partenaires commerciaux ou personnel de l’organisme est d’évaluer de façon plus approfondie
le périmètre, l’échelle et la nature des risques de corruption plus que faibles identifiés dans le cadre
de l’évaluation des risques de l’organisme (voir 4.5). Cette approche permet également d’appliquer
un moyen de contrôle additionnel et ciblé pour la prévention et la détection du risque de corruption,
et d’orienter la décision de l’organisme sur la nécessité de différer, d’interrompre ou de revoir ces
transactions, projets ou relations avec ses partenaires commerciaux ou son personnel.
A.10.2 Les facteurs qui peuvent se révéler utiles pour évaluer les projets, les transactions et les activités
comprennent:
a) la structure, la nature et la complexité (par exemple: vente directe ou indirecte, niveau de rabais,
attribution d’un contrat et procédures d’appel d’offres);
b) les modalités de financement et de paiement;
c) le périmètre de la mission de l’organisme et les ressources disponibles;
d) le niveau de contrôle et de visibilité;
e) les partenaires commerciaux et autres tierces parties impliqués (y compris les représentants
publics);
f) les liens entre les parties mentionnées en e) ci-dessus et les représentants publics;
g) la compétence et les qualifications des parties impliquées;

ISO 37001:2016(F)

h) la réputation du client;
i) le lieu;
j) les rapports disponibles sur le marché ou dans la presse.
A.10.3 En ce qui concerne les diligences raisonnables possibles vis-à-vis des partenaires commerciaux:
a) les facteurs qui peuvent se révéler utiles pour évaluer un partenaire commercial comprennent:
1) si le partenaire commercial est une entité commerciale légitime, comme démontré par des
indicateurs tels que les documents d’enregistrement d’entreprise, le dépôt des comptes annuels,
le numéro d’identification fiscale, la cotation en bourse;
2) si le partenaire commercial dispose des qualifications, de l’expérience et des ressources
nécessaires pour honorer ses engagements contractuels;
3) si le partenaire commercial dispose d’un système de management anti-corruption et à quel
périmètre il s’applique;
4) si le partenaire commercial est connu pour son implication dans des cas de corruption, de
fraude, de malversation ou des comportements similaires, ou s’il fait l’objet d’une enquête,
d’une décision de justice, d’une sanction ou d’une interdiction suite à un cas de corruption ou
un agissement criminel similaire;
5) l’identité des actionnaires (y compris le ou les bénéficiaires ultimes) et des membres de la
direction du partenaire commercial et s’ils:
i) sont connus pour leur implication dans des cas de corruption, de fraude, de malversation
ou des comportements similaires;
ii) font l’objet d’une enquête, d’une décision de justice, d’une sanction ou d’une interdiction
suite à un cas de corruption ou un agissement criminel similaire;
iii) entretiennent des liens directs ou indirects avec un client de l’organisme ou un
représentant public impliqué qui pourraient déboucher sur un cas de corruption (ce qui
inclut les personnes qui ne sont pas elles-mêmes des représentants publics, mais qui
peuvent directement ou indirectement avoir une relation avec des représentants publics,
des candidats à un poste public, etc.);
6) la structure des accords transactionnels et de paiement;
b) la nature, le type et l’étendue des diligences raisonnables réalisées dépendront de facteurs tels
que la capacité de l’organisme à obtenir des informations suffisantes, le coût de l’obtention des
informations et l’étendue du risque de corruption possible associé à la relation;
c) il convient que les procédures de diligences raisonnables mises en œuvre par l’organisme vis-à-vis
de ses partenaires commerciaux soient cohérentes pour tous les niveaux de risques de corruption
(des partenaires commerciaux représentant un risque de corruption élevé dans des lieux ou sur
des marchés où un risque de corruption élevé existe sont susceptibles de nécessiter un degré de
diligences raisonnables supérieur à celui exercé vis-à-vis de partenaires commerciaux représentant
un risque de corruption plus faible dans des lieux ou sur des marchés associés à un risque de
corruption plus faible);
d) différents types de partenaires commerciaux sont susceptibles de nécessiter différents degrés de
diligences raisonnables, par exemple:
1) concernant la responsabilité juridique et financière potentielle de l’organisme, les partenaires
commerciaux représentent un risque de corruption plus élevé pour l’organisme lorsqu’ils
agissent pour le compte de l’organisme ou dans son intérêt que lorsqu’ils fournissent des
produits ou des services à l’organisme. Par exemple, un agent qui assiste un organisme dans
le cadre de l’obtention d’un contrat pourrait verser un pot-de-vin au dirigeant d’un client de

ISO 37001:2016(F)

l’organisme afin d’aider l’organisme à remporter le contrat, une situation qui pourrait engager
la responsabilité de l’organisme vis-à-vis de la corruption initiée par l’agent. Par conséquent,
les diligences raisonnables réalisées par l’organisme vis-à-vis de l’agent sont donc susceptibles
d’être les plus complètes possible. En outre, un fournisseur qui vend un équipement ou du
matériel à l’organisme et qui n’entretient aucune relation avec les clients de l’organisme ou
les représentants publics concernés par les activités de l’organisme est moins susceptible de
verser un pot-de-vin pour le compte de l’organisme ou dans son intérêt. Le degré de diligences
raisonnables vis-à-vis du fournisseur peut ainsi être moindre;
2) le degré d’influence que l’organisme exerce sur ses partenaires commerciaux affecte également
la capacité de l’organisme à obtenir des informations directement de ces mêmes partenaires
commerciaux dans le cadre de ses diligences raisonnables. Il peut être relativement simple
pour un organisme d’imposer à ses agents et à ses partenaires d’entreprise commune de fournir
des informations exhaustives sur eux-mêmes dans le cadre des diligences raisonnables avant
que l’organisme ne s’engage à travailler avec eux, l’organisme ayant la capacité de choisir avec
qui il s’engage contractuellement dans cette situation. Néanmoins, il peut être plus difficile
pour un organisme d’imposer à un client de fournir des informations qui le concernent ou de
remplir des questionnaires de diligences raisonnables. Cette situation peut découler du fait
que l’organisme ne dispose pas d’une influence suffisante sur le client pour y parvenir (par
exemple, lorsque l’organisme prend part à un appel d’offres pour fournir des services au client);
e) les diligences raisonnables réalisées par l’organisme vis-à-vis de ses partenaires commerciaux
peuvent inclure, par exemple:
1) un questionnaire envoyé au partenaire commercial dans lequel il est invité à répondre aux
questions mentionnées en A.10.3 a);
2) une recherche sur Internet sur le partenaire commercial, ses actionnaires et les membres de sa
direction pour identifier toute information liée à la corruption;
3) l’étude des ressources gouvernementales, judiciaires et internationales appropriées pour
obtenir des informations pertinentes;
4) la vérification des listes d’exclusion publiquement disponibles des organismes qui font l’objet
de restrictions ou d’interdictions de s’engager contractuellement avec des entités publiques
ou gouvernementales tenues par les gouvernements nationaux ou locaux, ou les institutions
multilatérales, comme la Banque mondiale;
5) la formulation de demandes auprès d’autres parties appropriées sur la réputation déontologique
du partenaire commercial;
6) la désignation d’autres personnes ou organismes disposant de l’expertise pertinente pour
assister l’organisme dans sa procédure de diligences raisonnables;
f) le partenaire commercial peut être invité à répondre à d’autres questions en fonction des résultats
de la procédure de diligences raisonnables initiale (par exemple, expliquer toute information
défavorable).
A.10.4 Les diligences raisonnables ne sont pas un outil parfait. L’absence d’informations négatives ne
signifie pas nécessairement qu’aucun risque de corruption n’est associé au partenaire commercial. Des
informations négatives ne signifient pas nécessairement que le partenaire commercial représente un
risque de corruption. Néanmoins, les résultats doivent être appréciés avec prudence et l’organisme doit
porter un jugement rationnel en fonction des faits à sa disposition. L’intention générale est la suivante:
l’organisme formule des demandes raisonnables et proportionnées sur le partenaire commercial, en
tenant compte des activités que ce dernier assurerait et du risque de corruption inhérent à ces activités,
de sorte qu’un jugement raisonnable du niveau de risque de corruption auquel l’organisme est exposé
s’il travaille avec le partenaire commercial soit formulé.
A.10.5 Les diligences raisonnables vis-à-vis du personnel sont définies en A.8.1.

ISO 37001:2016(F)

A.11 Moyens de contrôle financiers

Les moyens de contrôle financiers sont les systèmes de management et les processus mis en œuvre
par l’organisme afin de gérer ses transactions financières de façon adéquate et d’enregistrer ces
transactions avec exactitude, de manière complète, en temps et en heure. En fonction de la taille de
l’organisme et de la transaction, les moyens de contrôle financiers mis en œuvre par un organisme
pouvant réduire le risque de corruption peuvent comprendre, par exemple:
a) mise en œuvre d’une séparation des pouvoirs, afin que la même personne ne puisse pas initier et
approuver un paiement;
b) mise en œuvre des niveaux d’autorité appropriés pour l’autorisation de paiements (de sorte que les
transactions les plus élevées soient approuvées par un membre hiérarchiquement plus gradé);
c) vérification que la désignation du bénéficiaire du paiement et le travail ou les services qu’il réalise
ont été approuvés par le biais des mécanismes d’approbation pertinents de l’organisme;
d) obligation d’apposer au moins deux signatures sur les autorisations de paiement;
e) obligation de joindre les justificatifs appropriés aux autorisations de paiement;
f) restriction de l’utilisation d’espèces et mise en œuvre de méthodes de contrôle efficace pour les
espèces;
g) obligation que la catégorisation et la description des paiements dans la comptabilité soient précises
et claires;
h) mise en œuvre d’une revue de direction périodique des transactions financières importantes;
i) mise en œuvre d’audits financiers périodiques et indépendants et changement régulier de la
personne ou de l’organisme chargé(e) de réaliser l’audit.
A.12 Moyens de contrôle non financiers

Les moyens de contrôle non financiers sont les systèmes de management et les processus mis en
œuvre par l’organisme qui l’aident à s’assurer de la bonne gestion des aspects de ses activités relatifs
aux achats, aux opérations, aux ventes et aux autres aspects non financiers. En fonction de la taille de
l’organisme et de la transaction, les moyens de contrôle relatifs aux achats, aux opérations, aux ventes
et aux autres aspects non financiers mis en œuvre par un organisme pouvant réduire le risque de
corruption, peuvent comprendre, par exemple, les moyens de contrôle suivants:
a) recours à des contractants, sous-traitants, fournisseurs et consultants agréés qui ont fait l’objet
d’une procédure de préqualification dans le cadre de laquelle la vraisemblance de leur participation
à des cas de corruption est évaluée. Cette procédure est susceptible d’inclure des procédures de
diligences raisonnables sous la forme définie en A.10;
b) évaluation:
1) de la nécessité et de la légitimité des services sur le point d’être fournis par un partenaire
commercial (à l’exclusion des clients) à l’organisme;
2) de la réalisation correcte des services;
3) de la nature raisonnable et proportionnée des paiements à effectuer au partenaire commercial
eu égard auxdits services. Ce point est particulièrement important afin d’éviter le risque que
le partenaire commercial utilise une partie du paiement effectué par l’organisme pour verser
un pot-de-vin pour le compte ou dans l’intérêt de l’organisme. Par exemple, si un agent a été
désigné par l’organisme pour contribuer aux performances de vente et doit percevoir une
commission ou des honoraires à la signature d’un contrat pour l’organisme, l’organisme doit
être raisonnablement satisfait du montant raisonnable et proportionné de la commission par
rapport aux services légitimes fournis par l’agent, en tenant compte du risque pris par l’agent

ISO 37001:2016(F)

si le contrat n’est pas signé. Si une commission ou des honoraires disproportionnément élevés
doivent être versés, il existe un risque accru qu’une partie de ce dernier soit utilisée de façon
inappropriée par l’agent afin d’inciter un représentant public ou un employé d’un client de
l’organisme à confier le contrat à l’organisme. L’organisme peut également demander que ses
partenaires commerciaux fournissent des documents démontrant que les services ont été
fournis;
c) attribution des contrats, lorsque cela est possible et raisonnable, uniquement après qu’un processus
d’appel d’offres équitable, approprié et transparent impliquant au moins trois concurrents a été
réalisé;
d) obligation d’évaluation des participants à l’appel d’offres et approbation de l’attribution du contrat
par au moins deux personnes;
e) mise en œuvre d’une séparation des pouvoirs afin que le personnel qui approuve l’attribution
d’un contrat diffère de celui qui en fait la demande et appartienne à un service ou à une fonction
différent(e) de celui qui gère le contrat ou approuve le travail effectué dans le cadre du contrat;
f) obligation qu’au moins deux personnes signent les contrats et les documents qui modifient les
dispositions contractuelles ou qui valident le travail effectué ou l’approvisionnement objet du
contrat;
g) mise en œuvre d’une supervision plus complète de la part de la direction sur les transactions
représentant potentiellement un risque de corruption élevé;
h) protection de l’intégrité des participants à l’appel d’offres et des autres informations sensibles
concernant les tarifs en limitant l’accès aux personnes appropriées;
i) mise à disposition des outils et modèles appropriés pour assister le personnel (par exemple:
guide pratique, liste des choses à faire et à ne pas faire, chaîne d’approbation, listes de contrôle,
formulaires, flux de travail informatiques).
NOTE Des exemples supplémentaires de moyens de contrôle et de préconisations sont donnés dans
l’ISO 19600.
A.13 Mise en œuvre du système de management anti-corruption par les entités

sur lesquelles l’organisme exerce un contrôle et par les partenaires commerciaux
A.13.1 Généralités
A.13.1.1 L’exigence en 8.5 est justifiée par le fait que les entités sur lesquelles l’organisme exerce un
contrôle et les partenaires commerciaux peuvent représenter un risque de corruption pour l’organisme.
Les types de risques de corruption que l’organisme vise à éviter dans ces situations sont, par exemple:
a) une filiale de l’organisme versant un pot-de-vin pouvant engager la responsabilité de l’organisme;

b) une entreprise commune ou un partenaire d’entreprise commune versant un pot-de-vin pour
remporter un contrat pour une entreprise commune dont fait partie l’organisme;
c) un responsable des achats d’un client sollicitant un pot-de-vin auprès de l’organisme en contrepartie
de l’attribution d’un contrat;
d) un client de l’organisme requérant que l’organisme désigne un sous-traitant ou un fournisseur
spécifique dans des circonstances où un dirigeant du client ou un représentant public pourrait
personnellement tirer parti de cette désignation;
e) un agent de l’organisme versant un pot-de-vin à un dirigeant d’un client de l’organisme pour le
compte de l’organisme;

ISO 37001:2016(F)

f) un fournisseur ou un sous-traitant de l’organisme versant un pot-de-vin au responsable des achats

de l’organisme en contrepartie de l’attribution d’un contrat.
A.13.1.2 Si l’entité sur laquelle l’organisme exerce un contrôle ou le partenaire commercial a mis en
œuvre des moyens de contrôle anti-corruption associés à ces risques, le risque de corruption qui en
découle pour l’organisme est en général réduit.
A.13.1.3 L’exigence en 8.5 fait la distinction entre les entités sur lesquelles l’organisme exerce un contrôle
et celles sur lesquelles il n’exerce pas de contrôle. Pour les besoins de cette exigence, un organisme
exerce un contrôle sur une autre entité s’il contrôle directement ou indirectement la gestion de l’entité.
Un organisme peut exercer un contrôle, par exemple, sur une filiale, une entreprise commune ou un
consortium par le biais d’un vote majoritaire ou d’une détention majoritaire de capital. Si l’organisme
confie simplement un nombre élevé de travaux à réaliser à une entité, il n’exerce pas de contrôle sur cette
dernière eu égard à cette exigence.
A.13.2 Entités sur lesquelles l’organisme exerce un contrôle
A.13.2.1 Il est raisonnable d’attendre de l’organisme qu’il demande que toute autre entité sur
laquelle il exerce un contrôle mette en œuvre des moyens de contrôle anti-corruption raisonnables et
proportionnés. Cela peut prendre la forme soit de la mise en œuvre par l’entité du même système de
management anti-corruption que celui mis en œuvre par l’organisme lui-même, ou de la mise en œuvre
par l’entité de ses propres moyens de contrôle anti-corruption spécifiques. Il convient que ces moyens
de contrôle soient raisonnables et proportionnés eu égard aux risques de corruption auxquels fait face
l’entité sur laquelle l’organisme exerce un contrôle, en tenant compte de l’évaluation des risques de
corruption réalisée conformément à 4.5.
A.13.2.2 Lorsque l’organisme exerce un contrôle sur un partenaire commercial (par exemple: une
entreprise commune sur laquelle l’organisme exerce un contrôle de direction), ce partenaire commercial
est visé par les exigences en 8.5.1.
A.13.3 Partenaires commerciaux sur lesquels l’organisme n’exerce pas de contrôle
A.13.3.1 Pour les partenaires commerciaux sur lesquels l’organisme n’exerce pas de contrôle,
l’organisme peut ne pas avoir besoin de prendre les mesures définies en 8.5.2 pour imposer la mise
en œuvre par le partenaire commercial de moyens de contrôle anti-corruption, dans les circonstances
suivantes:
a) lorsque le partenaire commercial ne représente aucun risque de corruption ou représente un

risque de corruption faible; ou
b) lorsque le partenaire commercial représente un risque de corruption plus que faible, mais
que les moyens de contrôle qui pourraient être mis en œuvre par le partenaire commercial ne
permettraient pas d’atténuer le risque de corruption identifié (il n’y a aucun intérêt à insister sur la
mise en œuvre de moyens de contrôle inefficaces par le partenaire commercial; néanmoins, dans
ce cas, il serait attendu de l’organisme qu’il tienne compte de ce facteur dans son évaluation des
risques pour orienter sa décision d’établir ou non la relation et la façon de l’établir).
Cela reflète la nature raisonnable et proportionnée du présent document.
A.13.3.2 Si l’évaluation des risques de corruption (voir 4.5) ou la réalisation de diligences raisonnables
(voir 8.2) permet de conclure que le partenaire commercial sur lequel l’organisme n’exerce pas de
contrôle représente un risque de corruption plus que faible et que les moyens de contrôle anti-corruption
mis en œuvre par le partenaire commercial permettraient d’atténuer ce risque de corruption, il convient
que l’organisme prenne les mesures supplémentaires suivantes conformément à 8.5.
a) l’organisme détermine si le partenaire commercial a mis en place les contrôles anti-corruption

appropriés applicables au risque de corruption identifié. Il convient que l’organisme exerce des

ISO 37001:2016(F)

diligences raisonnables appropriées eu égard à cette détermination (voir A.10). L’organisme tente
de vérifier que ces moyens de contrôle permettent de gérer le risque de corruption relatif à la
transaction entre l’organisme et le partenaire commercial. L’organisme n’a pas besoin de vérifier
que le partenaire commercial dispose de moyens de contrôle sur des risques de corruption plus
étendus. Il faut noter qu’il convient que l’étendue des moyens de contrôle et les étapes devant être
mises en place par l’organisme dans le but de vérifier ces moyens de contrôle soient raisonnables
et proportionnées au risque de corruption en question. Si l’organisme détermine dans la mesure
du raisonnable que le partenaire commercial ne dispose pas de moyens de contrôle appropriés,
l’exigence en 8.5 est applicable à ce partenaire commercial. Voir A.13.3.4 pour des commentaires
sur les types de moyens de contrôle appropriés;
b) si l’organisme identifie que le partenaire commercial ne dispose pas de moyens de contrôle anti-
corruption appropriés applicables aux risques de corruption identifiés ou s’il est impossible
de vérifier la mise en œuvre effective de ces moyens de contrôle, l’organisme prend les mesures
supplémentaires suivantes:
1) si possible (voir A.13.3.3), l’organisme impose au partenaire commercial de mettre en œuvre
des moyens de contrôle anti-corruption (voir A.13.3.4) pertinents pour la transaction, le projet
ou l’activité visés;
2) lorsqu’il est impossible (voir A.13.3.3) d’exiger du partenaire commercial qu’il mette en œuvre
des contrôles anti-corruption, l’organisme tient compte de ce facteur lors de l’évaluation des
risques de corruption que représente le partenaire commercial et la façon dont l’organisme
gère ces risques. Cela ne signifie pas que l’organisme ne peut pas poursuivre la relation ou
procéder à la transaction. Néanmoins, il convient que l’organisme tienne compte, dans le
cadre de son évaluation des risques de corruption, de la vraisemblance de l’implication du
partenaire commercial dans un cas de corruption et il convient que l’organisme tienne compte
de l’absence de tels moyens de contrôle lors de son évaluation du risque de corruption global.
Si l’organisme pense que les risques de corruption que représente le partenaire commercial
sont inacceptablement élevés et si ces derniers ne peuvent pas être réduits par d’autres moyens
(par exemple en restructurant la transaction), les dispositions en 8.8 s’appliqueront.
A.13.3.3 La décision qu’il est possible ou impossible pour l’organisme d’imposer aux partenaires
commerciaux sur lesquels il n’exerce pas de contrôle de mettre en œuvre des moyens de contrôle, dépend
des circonstances. Par exemple:
a) Cela sera normalement possible lorsque l’organisme exerce un niveau d’influence significatif sur le
partenaire commercial. Par exemple, lorsque l’organisme désigne un agent pour agir en son nom
dans le cadre d’une transaction ou un sous-traitant disposant d’un périmètre de travail étendu.
Dans ce cas, l’organisme sera généralement en mesure de conditionner cette désignation par la
mise en œuvre des moyens de contrôle anti-corruption.
b) Cela sera normalement impossible lorsque l’organisme n’exerce pas un niveau d’influence
significatif sur le partenaire commercial, par exemple:
1) le client d’un projet;
2) un sous-traitant ou un fournisseur spécifique désigné par le client; ou
3) un sous-traitant ou un fournisseur important lorsque le pouvoir de négociation du fournisseur
ou du sous-traitant est beaucoup plus élevé que celui de l’organisme (par exemple, lorsque
l’organisme achète des composants auprès d’un fournisseur important d’après les conditions
standard du fournisseur).
c) Cela sera normalement impossible lorsque le partenaire commercial manque de ressources ou
d’expertise pour mettre en œuvre des moyens de contrôle.
A.13.3.4 Les types de moyens de contrôle requis par l’organisme dépendent des circonstances. Il
convient qu’ils soient raisonnables et proportionnés au risque de corruption, et il convient qu’ils couvrent,
au minimum, le risque de corruption identifié. En fonction de la nature du partenaire commercial et de

ISO 37001:2016(F)

la nature du risque de corruption qu’il représente, l’organisme peut, par exemple, prendre les mesures
suivantes:
a) dans le cas d’un partenaire commercial présentant un risque de corruption élevé disposant d’un
périmètre de travail étendu et complexe, l’organisme peut demander au partenaire commercial
de mettre en œuvre des moyens de contrôle équivalents à ceux que spécifié le présent document
conformément aux risques de corruption qu’il représente pour l’organisme;
b) dans le cas d’un partenaire commercial de taille moyenne présentant un risque de corruption
moyen, l’organisme peut demander au partenaire commercial de mettre en œuvre certaines
exigences anti-corruption minimales pertinentes pour la transaction, par exemple une politique
anti-corruption, la formation de ses employés concernés, la désignation d’un dirigeant responsable
de la conformité de la transaction, des moyens de contrôle pour les principaux paiements et une
chaîne de rapport;
c) dans le cas d’un partenaire commercial de petite taille disposant d’un périmètre de travail très
spécifique (par exemple, un agent ou un fournisseur secondaire), l’organisme peut imposer la
formation des employés concernés et la mise en place de moyens de contrôle pour les principaux
paiements et pour les cadeaux et marques d’hospitalité.
Les moyens de contrôle doivent uniquement être appliqués pour la transaction entre l’organisme et le
partenaire commercial (même si, en pratique, il se peut que le partenaire commercial ait mis en œuvre
des moyens de contrôle pour l’ensemble de ses activités).
Il ne s’agit donc que d’exemples. La question importante pour l’organisme est d’identifier les principaux
risques de corruption associés à la transaction et de demander, dans la mesure du possible, que
le partenaire commercial mette en œuvre des moyens de contrôle raisonnables et proportionnés
applicables à ces principaux risques de corruption.
A.13.3.5 L’organisme imposera normalement ces exigences au partenaire commercial sur lequel il
n’exerce pas de contrôle sous la forme d’une condition préalable à sa collaboration avec le partenaire
commercial et/ou dans le document contractuel.
A.13.3.6 L’organisme n’est pas obligé de vérifier l’entière conformité du partenaire commercial à ces
exigences. Néanmoins, il convient que l’organisme prenne des mesures raisonnables pour vérifier la
conformité du partenaire commercial (par exemple, en demandant au partenaire commercial qu’il
fournisse des copies des documents pertinents de sa politique). Pour les risques de corruption élevés
(par exemple, pour un agent), l’organisme peut mettre en œuvre des procédures de surveillance, de
rapport et/ou d’audit.
A.13.3.7 Les moyens de contrôle anti-corruption pouvant nécessiter du temps à mettre en œuvre, il est
susceptible d’être raisonnable pour un organisme de laisser du temps à ses partenaires commerciaux
pour mettre en œuvre de tels moyens de contrôle. L’organisme peut continuer à travailler avec le
partenaire commercial dans l’intervalle, mais l’absence de tels moyens de contrôle représente un
facteur à prendre à compte dans la réalisation de l’évaluation des risques et des diligences raisonnables.
Néanmoins, il convient que l’organisme envisage de demander un droit de résiliation du contrat ou
de l’accord en question si le partenaire commercial ne met pas effectivement en œuvre les moyens de
contrôle requis en temps utile.
A.14 Engagements anti-corruption
A.14.1 Cette exigence visant à obtenir des engagements anti-corruption s’applique uniquement aux
partenaires commerciaux qui représentent un risque de corruption plus que faible.
A.14.2 Le risque de corruption associé à une transaction est susceptible d’être faible, par exemple:
a) lorsque l’organisme achète un petit nombre d’articles de très faible valeur;

ISO 37001:2016(F)

b) lorsque l’organisme réserve des billets d’avion ou réserve des chambres d’hôtel en ligne, directement
auprès de compagnies aériennes ou d’hôtels;
c) lorsque l’organisme fournit des biens ou des services de faible valeur, directement à un client (par
exemple aliments, places de cinéma).
Dans ces circonstances, l’organisme n’est pas obligé d’obtenir des engagements anti-corruption de la
part de ces fournisseurs ou de ces clients représentant un risque de corruption faible.
A.14.3 Pour un partenaire commercial qui représente un risque de corruption plus que faible, il convient
que l’organisme, dans la mesure du possible, obtienne des engagements anti-corruption de la part de ce
partenaire commercial.
a) Il sera normalement possible d’exiger ces engagements lorsque l’organisme a une influence sur
le partenaire commercial et peut insister auprès du partenaire commercial pour obtenir ces
engagements. L’organisme est susceptible d’exiger ces engagements, par exemple, lorsqu’il désigne
un agent pour agir en son nom dans le cadre d’une transaction ou un sous-traitant disposant d’un
périmètre de travail étendu.
b) L’organisme peut ne pas disposer d’une influence suffisante pour exiger ces engagements dans le
cadre, par exemple, de ses négociations avec des clients de premier plan, ou lorsque l’organisme
achète des composants auprès d’un fournisseur important d’après les conditions standard du
fournisseur. Dans ces circonstances, l’absence de telles dispositions ne signifie pas que le projet
ou la relation ne devrait pas se poursuivre, mais il convient que l’absence d’un tel engagement soit
considérée comme un facteur pertinent dans le cadre de l’évaluation des risques de corruption et
des diligences raisonnables réalisées conformément à 4.5 et 8.2.
A.14.4 Il convient que ces engagements soient, dans la mesure du possible, obtenus par écrit. Il peut
s’agir d’un document d’engagement distinct ou d’une partie du contrat entre l’organisme et le partenaire
commercial.
A.15 Cadeaux, marques d’hospitalité, dons et avantages similaires
A.15.1 L’organisme doit savoir que les cadeaux, les marques d’hospitalité, les dons et autres avantages
peuvent être perçus par une tierce partie (par exemple, un concurrent, la presse, un procureur ou un
juge) comme induisant une corruption, même si ni le donateur ni le bénéficiaire n’en avait l’intention.
Un mécanisme de contrôle utile consiste à éviter, dans la mesure du possible, les cadeaux, les marques
d’hospitalité, les dons et autres avantages qui pourraient être raisonnablement considérés comme un
acte de corruption par une tierce partie.
A.15.2 Les avantages auxquels il est fait référence en 8.7 peuvent, par exemple, comprendre:
a) cadeaux, divertissements et marques d’hospitalité;

b) dons à des organisations politiques ou caritatives;
c) déplacement de représentants de clients ou de représentants publics;
d) frais promotionnels;
e) mécénat;
f) avantages pour la communauté;
g) formation;
h) adhésion à un club;
i) avantages personnels;

ISO 37001:2016(F)

j) informations confidentielles et protégées.
A.15.3 Concernant les cadeaux et marques d’hospitalité, les procédures mises en œuvre par l’organisme
peuvent, par exemple, être conçues pour:
a) contrôler l’étendue et la fréquence des cadeaux et marques d’hospitalité en:

1) interdisant totalement les cadeaux et marques d’hospitalité; ou
2) autorisant les cadeaux et marques d’hospitalité, mais en les limitant en accord avec des facteurs
tels que:
i) un montant maximal (qui peut varier en fonction du lieu et du type de cadeau et de marque
d’hospitalité);
ii) la fréquence (des cadeaux et marques d’hospitalité relativement petits peuvent s’accumuler
et représenter une valeur importante s’ils se répètent);
iii) le moment (par exemple, hors ou pas immédiatement avant ou après les négociations
relatives à un appel d’offres);
iv) la nature raisonnable (en tenant compte du lieu, du secteur et de l’âge du donateur ou du
bénéficiaire);
v) l’identité du bénéficiaire (personnes en mesure d’attribuer un contrat ou d’approuver des
permis, des certificats ou des paiements par exemple);
vi) la réciprocité (personne au sein de l’organisme ne peut recevoir un cadeau ou une marque
d’hospitalité d’une valeur supérieure à celle que le bénéficiaire est autorisé à offrir);
vii) l’environnement légal et réglementaire (certains pays et organismes peuvent avoir mis en
œuvre des interdictions ou des moyens de contrôle);
b) imposer d’obtenir une approbation avant d’accepter un cadeau ou une marque d’hospitalité d’une
valeur ou à une fréquence supérieure à celle définie par un dirigeant compétent;
c) imposer de documenter ouvertement et de façon efficace (par exemple, dans un registre ou dans un
livre comptable) et de faire superviser un cadeau ou une marque d’hospitalité d’une valeur ou à une
fréquence supérieure à celle définie.
A.15.4 Concernant les dons à des organisations politiques ou caritatives, le sponsorat, les frais
promotionnels et les avantages à la communauté, les procédures mises en œuvre par l’organisme
peuvent, par exemple, être conçues pour:
a) prohiber les paiements qui visent à influencer, ou pourraient être raisonnablement considérés
comme influençant, un appel d’offres ou une autre décision en faveur de l’organisme;
b) réaliser des diligences raisonnables au sujet d’un parti politique, d’une œuvre caritative ou d’un autre
bénéficiaire afin de déterminer s’ils sont légitimes et non utilisés comme moyen de corruption (ce
qui peut comprendre, par exemple, des recherches sur Internet ou d’autres demandes appropriées
destinées à vérifier si les dirigeants du parti politique ou de l’œuvre caritative sont connus pour
leur implication dans des cas de corruption ou des comportements criminels similaires ou non, ou
s’ils entretiennent des liens avec les projets ou les clients de l’organisme);
c) imposer que le dirigeant approprié autorise le paiement;
d) imposer la divulgation publique du paiement;
e) s’assurer que le paiement est permis par la loi et les réglementations applicables;
f) éviter toute contribution immédiatement avant, pendant ou immédiatement après les négociations
contractuelles.

ISO 37001:2016(F)

A.15.5 Concernant les déplacements de représentants publics ou de représentants de clients, les

procédures mises en œuvre par l’organisme peuvent, par exemple, être conçues pour:
a) autoriser uniquement les paiements permis par les procédures du client ou de l’organisme public et
par la loi et les réglementations applicables;
b) autoriser uniquement les déplacements nécessaires pour la bonne réalisation des obligations du
représentant du client ou du représentant public (par exemple pour l’inspection des procédures
qualité de l’organisme dans son usine);
c) imposer qu’un dirigeant approprié de l’organisme autorise le paiement;
d) imposer, si possible, que le superviseur ou l’employeur du représentant public ou la fonction de
conformité anti-corruption soient informés du déplacement et des marques d’hospitalité sur le
point d’être offerts;
e) restreindre les paiements aux dépenses nécessaires en termes de déplacement, d’hébergement et
de repas directement associées à un itinéraire de déplacement raisonnable;
f) limiter les divertissements associés à un niveau raisonnable conformément à la politique de
l’organisme en matière de cadeaux et de marques d’hospitalité;
g) interdire le paiement des frais de membres de la famille ou d’amis;
h) interdire le paiement des dépenses liées aux vacances ou aux loisirs.
A.16 Audit interne
A.16.1 L’exigence en 9.2 ne signifie pas qu’un organisme ait l’obligation de disposer d’une fonction
propre et séparée d’audit interne. Elle exige que l’organisme désigne une fonction ou une personne
appropriée, compétente et indépendante pour réaliser cet audit. Un organisme peut faire appel à une
tierce partie pour gérer l’intégralité de son programme d’audits internes ou confier la mise en œuvre de
certaines parties d’un programme existant à une tierce partie.
A.16.2 La fréquence de l’audit dépendra des exigences de l’organisme. En général, un échantillon de

certain(e)s projets, contrats, procédures, moyens de contrôle et systèmes sera sélectionné pour audit
chaque année.
A.16.3 La sélection de cet échantillon peut se baser sur les risques de sorte que, par exemple, un projet
présentant un risque de corruption élevé soit sélectionné pour audit en priorité par rapport à un projet
présentant un risque de corruption faible.
A.16.4 Les audits devront en général être planifiés de façon anticipée afin que les parties concernées
disposent des documents et du temps nécessaires. Néanmoins, dans certains cas, l’organisme peut
trouver utile de mettre en œuvre un audit auquel les parties auditées ne s’attendront pas.
A.16.5 Si un organisme dispose d’un organe de gouvernance, ce dernier peut également orienter la
sélection et la fréquence des audits de l’organisme qu’il juge nécessaires, afin d’exercer son indépendance
et d’aider à garantir que les audits sont ciblés sur les principaux domaines de risques de corruption de
l’organisme. L’organe de gouvernance peut également demander à accéder à tous les rapports et résultats
des audits, et à ce que tout audit identifiant certains types de problématiques associés à un risque de
corruption élevé ou à des indicateurs de risques de corruption lui soit rapporté après réalisation de
l’audit.
A.16.6 L’intention de l’audit est d’offrir l’assurance raisonnable à l’organe de gouvernance (s’il existe) et
à la direction que le système de management anti-corruption a été mis en œuvre et fonctionne de façon
efficace pour aider à prévenir et détecter les cas de corruption et fournir un moyen de dissuasion pour

ISO 37001:2016(F)

tout le personnel potentiellement corrompu (il sera ainsi informé que son projet ou son service peut être
sélectionné pour audit).
A.17 Informations documentées

Les informations documentées définies en 7.5.1 peuvent comprendre:
a) signature de la politique anti-corruption par le personnel;
b) mise à disposition de la politique anti-corruption aux partenaires commerciaux qui représentent
un risque de corruption plus que faible;
c) politiques, procédures et moyens de contrôle du système de management anti-corruption;
d) résultats de l’évaluation des risques de corruption (voir 4.5);
e) formation anti-corruption dispensée (voir 7.3);
f) réalisation de diligences raisonnables (voir 8.2);
g) mesures prises pour mettre en œuvre le système de management anti-corruption;
h) approbation et enregistrement des cadeaux, marques d’hospitalité, dons et avantages similaires
offerts et reçus (voir 8.7);
i) actions et répercussions des préoccupations formulées en relation avec:
1) toute lacune du système de management anti-corruption;
2) l’occurrence de tentatives de corruption, de cas de corruption avérés ou de cas de corruption
suspectés;
j) les résultats de la surveillance, de l’enquête ou de l’audit réalisé(e) par l’organisme ou une tierce partie.
A.18 Enquête et traitement des cas de corruption
A.18.1 Le présent document préconise que l’organisme mette en œuvre des procédures appropriées sur
la façon d’enquêter et de gérer tout problème lié à la corruption ou toute violation des moyens de contrôle
anti-corruption rapporté(e), détecté(e) ou raisonnablement suspecté(e). La façon dont l’organisme
enquête et gère un problème particulier dépendra des circonstances. Chaque situation est différente et il
convient que la réaction de l’organisme soit raisonnable et proportionnée aux circonstances. Le rapport
d’un problème majeur de corruption suspectée requiert une action beaucoup plus rapide, significative
et détaillée qu’une violation mineure des moyens de contrôle anti-corruption. Les suggestions ci-
dessous sont fournies à titre de préconisation uniquement. Il convient par ailleurs qu’elles ne soient pas
considérées comme normatives.
A.18.2 Il convient que la fonction de conformité reçoive, de préférence, tout rapport de cas de corruption
suspecté ou avéré ou de toute violation des moyens de contrôle anti-corruption. Si les rapports
parviennent en premier lieu à une autre personne, il convient que les procédures de l’organisme
imposent que le rapport soit transmis à la fonction de conformité aussi rapidement que possible. Dans
certains cas, la fonction de conformité identifiera elle-même un cas suspecté ou une violation.
A.18.3 Il convient que la procédure détermine le responsable chargé de décider de la façon dont le
problème est étudié et géré. Par exemple:
a) un petit organisme peut mettre en œuvre une procédure dans le cadre de laquelle tous les
problèmes, de n’importe quelle ampleur, doivent être rapportés sans délai par la fonction de
conformité à la direction pour que la direction décide de la réponse à apporter;

ISO 37001:2016(F)

b) un grand organisme peut mettre en œuvre une procédure dans le cadre de laquelle:
1) les problèmes de moindre importance sont gérés par la fonction de conformité, avec
transmission à la direction d’un rapport synthétique périodique de tous les problèmes de
moindre importance;
2) les problèmes majeurs sont rapportés sans délai par la fonction de conformité à la direction
pour que la direction décide de la réponse à apporter.
A.18.4 Après identification d’un problème, il convient que la direction ou la fonction de conformité (le
cas échéant) apprécie les faits connus et la gravité potentielle du problème. Si elle ne dispose pas de faits
suffisants pour prendre une décision, il convient qu’elle diligente une enquête.
A.18.5 Il convient que l’enquête soit menée par une personne qui n’est pas impliquée dans le problème.
Il peut s’agir de la fonction de conformité, d’un audit interne, d’un autre dirigeant compétent ou d’une
tierce partie appropriée. Il convient que la direction octroie à la personne qui réalise l’enquête l’autorité,
les ressources et l’accès nécessaires à la réalisation efficace de l’enquête. Il est recommandé que la
personne qui réalise l’enquête ait suivi une formation ou dispose d’une expérience antérieure dans la
réalisation d’enquêtes. Il convient que l’enquête établisse promptement les faits et recueille toute preuve
nécessaire, par exemple en:
a) formulant des demandes pour établir les faits;

b) réunissant tous les documents et autres preuves pertinents;
c) obtenant des témoignages;
d) dans la mesure du possible et du raisonnable, demandant à ce que les rapports sur le problème
soient rédigés et signés par les auteurs.
A.18.6 Lors de la réalisation de l’enquête et pour toute action de suivi, l’organisme doit tenir compte de
facteurs pertinents, par exemple:
a) les lois applicables (il peut être nécessaire de faire appel à un conseiller juridique);
b) la sécurité du personnel;
c) le risque de diffamation lors des déclarations;
d) la protection des auteurs des rapports et des autres personnes impliquées ou mentionnées dans le
rapport (voir 8.9);
e) la responsabilité pénale, civile et administrative, les pertes financières et les dommages à la
réputation potentiels pour l’organisme et les individus;
f) toute obligation légale, ou faveur accordée à l’organisme, à rapporter aux autorités;
g) la confidentialité du problème et de l’enquête jusqu’à l’établissement des faits;
h) la nécessité pour la direction d’exiger l’entière coopération du personnel dans le cadre de l’enquête.
A.18.7 Il convient que les résultats de l’enquête soient rapportés à la direction ou à la fonction de
conformité le cas échéant. Si les résultats sont rapportés à la direction, il convient qu’ils soient également
communiqués à la fonction de conformité anti-corruption.
A.18.8 Lorsque l’organisme a terminé son enquête et/ou dispose de suffisamment d’informations
pour prendre une décision, il convient que l’organisme mette en œuvre les actions de suivi appropriées.
En fonction des circonstances et de la gravité du problème, ces dernières peuvent comprendre un ou
plusieurs des éléments suivants:

ISO 37001:2016(F)

a) fin, retrait ou modification de l’implication de l’organisme dans un projet, une transaction ou un

contrat;
b) remboursement ou recouvrement de tout avantage obtenu de façon inappropriée;
c) sanctions disciplinaires à l’encontre du personnel responsable (qui, en fonction de la gravité du
problème, peuvent aller d’un avertissement pour une infraction mineure à un licenciement pour
une infraction sérieuse);
d) signalement du problème aux autorités;
e) si un cas de corruption se produit, mise en œuvre d’actions pour éviter ou gérer toute infraction
légale possible en découlant (par exemple, la falsification de comptabilité qui peut avoir lieu
lorsqu’un pot-de-vin est décrit de façon incorrecte dans la comptabilité, une infraction fiscale
lorsqu’un pot-de-vin est déduit à tort du chiffre d’affaires ou le blanchiment d’argent lorsqu’il s’agit
de la gestion d’avoirs d’origine criminelle).
A.18.9 Il convient que l’organisme revoie ses procédures anti-corruption pour étudier si le problème est
survenu en raison d’une certaine inadéquation de ses procédures et, dans ce cas, il convient qu’il prenne
des mesures immédiates et appropriées pour améliorer ses procédures.
A.19 Surveillance
La surveillance du système de management anti-corruption peut, par exemple, comprendre les
domaines suivants:
a) efficacité de la formation;
b) efficacité des moyens de contrôle, par exemple en réalisant des essais échantillonnés des résultats;
c) efficacité de la répartition des responsabilités pour satisfaire aux exigences du système de
d) efficacité de la gestion des lacunes en matière de conformité précédemment identifiées;
e) occurrences où les audits internes ne sont pas réalisés comme prévu.
La surveillance des performances de conformité peut, par exemple, comprendre les domaines suivants:
— non-conformités et quasi-incidents (incident sans effet préjudiciable);
— occurrences où les exigences anti-corruption ne sont pas satisfaites;
— occurrences où des objectifs ne sont pas atteints;
— état de la culture de la conformité.
NOTE Voir l’ISO 19600.
L’organisme peut réaliser des auto-évaluations de façon périodique, portant sur l’organisme dans son
ensemble ou sur des parties de celui-ci, afin d’évaluer l’efficacité du système de management anti-
corruption (voir 9.4).
A.20 Planification et mise en œuvre des modifications du système de management

anti-corruption
A.20.1 Il convient que l’adéquation et l’efficacité du système de management soient évaluées de façon
continue et régulière au moyen de plusieurs méthodes, par exemple revues par des audits internes
(voir 9.2), le management (voir 9.3) et la fonction de conformité anti-corruption (voir 9.4).

ISO 37001:2016(F)

A.20.2 Il convient que l’organisme prenne en compte les résultats et les éléments résultants de ces
évaluations pour déterminer s’il existe un besoin ou une opportunité d’apporter des modifications au
système de management anti-corruption.
A.20.3 Afin de contribuer à garantir que l’intégrité du système de management anti-corruption et

son efficacité sont préservées, il convient que les modifications apportées aux éléments individuels
du système de management tiennent compte de la dépendance et de l’impact d’un tel changement par
rapport à l’efficacité du système de management dans son ensemble.
A.20.4 Lorsque l’organisme identifie un besoin de modification du système de management anti-

corruption, il convient que ces changements soient réalisés de manière planifiée en tenant compte des
éléments suivants:
a) la finalité des changements et leurs conséquences potentielles;

b) l’intégrité du système de management anti-corruption;
c) les ressources disponibles;
d) l’affectation ou la réaffectation des responsabilités et de l’autorité;
e) la rapidité, l’étendue et le calendrier de mise en œuvre des changements.
A.20.5 Il convient que les améliorations du système de management anti-corruption découlant des
mesures prises en réaction à toute non-conformité (voir 10.1) et résultant de l’amélioration continue
(voir 10.2) soient mises en œuvre en adoptant la même approche que celle définie en A.20.4 ci-dessus.
A.21 Représentants publics

Le terme «représentant public» (voir 3.27) est défini au sens large dans de nombreuses lois anti-
corruption.
La liste suivante n’est pas exhaustive et tous les exemples donnés ne s’appliquent pas à tous les pays.
Lors de l’évaluation des risques de corruption, il convient qu’un organisme tienne compte des catégories
de représentants publics avec qui il traite ou peut traiter.
Le terme «représentant public» peut comprendre:
a) les représentants publics au niveau national, fédéral/provincial ou municipal, y compris les
membres des organes législatifs, exécutifs et judiciaires;
b) les représentants officiels des partis politiques;
c) les candidats à un poste public;
d) les employés gouvernementaux, y compris les employés de ministères, agences gouvernementales,
tribunaux administratifs et administrations publiques;
e) les représentants officiels d’organisations internationales publiques, par exemple la Banque
mondiale, les Nations Unies, le Fonds monétaire international;
f) les employés d’entreprises publiques, à moins que l’entreprise opère sous une forme commerciale
normale sur le marché en question, c’est-à-dire sous une forme substantiellement équivalente à
celle d’une entreprise privée, sans filiales préférentielles ou autres privilèges (voir Référence[17]).
Dans nombre de pays, les membres de la famille des représentants publics et les associés qui
entretiennent des relations étroites avec ces derniers sont également considérés comme des
représentants publics dans le cadre des lois anti-corruption.

ISO 37001:2016(F)

A.22 Initiatives anti-corruption

Même si cela ne fait pas partie des exigences du présent document, l’organisme peut trouver utile de
prendre part à toute initiative sectorielle ou à toute autre initiative qui promeut ou publie des bonnes
pratiques anti-corruption pertinentes par rapport aux activités de l’organisme, ou tenir compte de leurs
recommandations.

ISO 37001:2016(F)

Bibliographie
[1] ISO 9000, Systèmes de management de la qualité — Principes essentiels et vocabulaire

[2] ISO 9001, Systèmes de management de la qualité — Exigences
[3] ISO 19011, Lignes directrices pour l’audit des systèmes de management
[4] ISO 14001, Systèmes de management environnemental — Exigences et lignes directrices pour son
utilisation
[5] ISO/IEC 17000, Évaluation de la conformité — Vocabulaire et principes généraux
[6] ISO 19600, Systèmes de management de la compliance — Lignes directrices
[7] ISO 22000, Systèmes de management de la sécurité des denrées alimentaires — Exigences pour tout
organisme appartenant à la chaîne alimentaire
[8] ISO 26000, Lignes directrices relatives à la responsabilité sociétale
[9] ISO/IEC 27001, Technologies de l’information — Techniques de sécurité — Systèmes de management
de la sécurité de l’information — Exigences
[10] ISO 31000, Management du risque — Principes et lignes directrices
[11] Guide ISO 73, Management du risque — Vocabulaire
[12] Guide ISO/IEC 2, Normalisation et activités connexes — Vocabulaire général
[13] BS 10500, Specification for an anti-bribery management system
[14] Convention des Nations Unies contre la corruption, New York, 2004. Disponible sur: http://www.
unodc.org/documents/treaties/UNCAC/Publications/Convention/08-50027_F.pdf
[15] Organisation de Coopération et de Développement Économiques, Convention sur la lutte contre
la corruption d’agents publics étrangers dans les transactions commerciales internationales et
documents connexes, Paris, 2010
[16] Organisation de Coopération et de Développement Économiques, Guide de bonnes pratiques
pour les contrôles internes, la déontologie et la conformité, Paris, 2010
[17] Organisation de Coopération et de Développement Économiques, Commentaires relatifs à la
Convention sur la lutte contre la corruption d’agents publics étrangers dans les transactions
commerciales internationales, 21 novembre 1997
[18] Pacte mondial des Nations Unies/Transparency International, Reporting guidance on the 10th
principle against corruption, 2009
[19] Chambre de commerce internationale, Transparency International, Pacte mondial des
Nations Unies et Forum économique mondial, RESIST: Résister aux extorsions de fonds et
aux sollicitations dans le cadre des transactions internationales, Un outil d’entreprise pour la
formation des salariés, 2010
[20] Chambre de commerce internationale, Règles pour combattre la corruption, Paris, 2011
[21] Transparency International, Business Principles for Countering Bribery and associated tools,
Berlin, 2013
[22] Transparency International, Indice de perception de la corruption
[23] Transparency International, Indice de corruption des pays exportateurs

ISO 37001:2016(F)

[24] Banque mondiale, Indicateurs de gouvernance mondiaux

[25] International Corporate Governance Network, ICGN Statement and Guidance on Anti-Corruption
Practices, Londres, 2009
[26] Forum économique mondial, Partnering Against Corruption Principles for Countering Bribery,
An Initiative of the World Economic Forum in Partnership with Transparency International and
the Basel Institute on Governance, Genève
[27] Committee of the Sponsoring Organizations of the Treadway Commission (COSO): Contrôle
Interne — Une Approche Intégrée, mai 2013

NF ISO 37001 v.2017 FR

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

NF ISO 37001 v.2017 FR

Transféré par

Droits d'auteur :

Formats disponibles

NF X50-104, NF ISO 37001

Pour : VINCI CONSTRUCTION Grands Projets

FA185423 ISSN 0335-3931

Indice de classement : X 50-104

Systèmes de management anti-corruption —

E : Anti-bribery management systems — Requirements with guidance for use

Norme française homologuée

Correspondance Le présent document reproduit intégralement la Norme internationale

Descripteurs Thésaurus International Technique : gestion, processus, exigence, organisation,

© AFNOR — Tous droits réservés Version de 2017-03-P

NF ISO 37001 —2—

—3— NF ISO 37001

Composition de la commission de normalisation

M BARATIN AFNOR CERTIFICATION

M BASSET-CHERCOT BOLLORE LOGISTICS SERVICES

MME BELLINI UNIV PARIS OUEST NANTERRE LA DEFENSE — BDIC

MME BRAGA MEDEF

MME BRULE SCE CENTRAL PREVENTION CORRUPTION

MME CHARTREL MBDA FRANCE

MME CORNU SGS CTS

MME GIESEN INSERM

M HUGUET ALLDC — ASSO LEO LAGRANGE DEF CONSOMMATEURS

M JONQUIÈRES ASSOCIATION ACADEMIE DE L ETHIQUE

M LESOING SGS ICS

MME MANIERE ETHIC INTELLIGENCE

MME MINARD MEDEF

MME PLOMB DGAFP-DION GLE ADMINISTRATION ET FONCTION PUB

M SECRETARIAT BUREAU 3A DGCCRF

MME TETART ETHIC INTELLIGENCE

© ISO 2016 – Tous droits réservés ﻿ iii

9.3.2 Revue de l’organe de gouvernance................................................................................................................. 22

iv ﻿ © ISO 2016 – Tous droits réservés

© ISO 2016 – Tous droits réservés ﻿ v

vi ﻿ © ISO 2016 – Tous droits réservés

d’autres normes de systèmes de management (par exemple l’ISO 9001, l’ISO 14001, l’ISO/IEC 27001 et

© ISO 2016 – Tous droits réservés ﻿ vii

NORME INTERNATIONALE ISO 37001:2016(F)

Systèmes de management anti-corruption — Exigences et

© ISO 2016 – Tous droits réservés ﻿ 1

2 ﻿ © ISO 2016 – Tous droits réservés

© ISO 2016 – Tous droits réservés ﻿ 3

Note 2 à l’article: Les informations documentées peuvent se rapporter:

— au système de management (3.5), y compris les processus (3.15) connexes;

— aux informations créées en vue du fonctionnement de l’organisme (documentation);

— aux preuves des résultats obtenus (enregistrements).

4 ﻿ © ISO 2016 – Tous droits réservés

© ISO 2016 – Tous droits réservés ﻿ 5

4.1 Compréhension de l’organisme et de son contexte

6 ﻿ © ISO 2016 – Tous droits réservés

c) la nature, l’échelle et la complexité des activités et des opérations de l’organisme;

4.2 Compréhension des besoins et attentes des parties intéressées

4.3 Détermination du périmètre d’application du système de management anti-

4.4 Système de management anti-corruption

© ISO 2016 – Tous droits réservés ﻿ 7

4.5 Évaluation des risques de corruption

5.1 Leadership et engagement

5.1.1 Organe de gouvernance

8 ﻿ © ISO 2016 – Tous droits réservés

5.2 Politique anti-corruption

© ISO 2016 – Tous droits réservés ﻿ 9

5.3 Rôles, responsabilités et autorités au sein de l’organisme

5.3.1 Rôles et responsabilités

La direction doit assumer la responsabilité globale de la mise en œuvre et de la conformité du système

5.3.2 Fonction de conformité anti-corruption

© ISO 2016 – Tous droits réservés iii

iv © ISO 2016 – Tous droits réservés

© ISO 2016 – Tous droits réservés v

vi © ISO 2016 – Tous droits réservés

© ISO 2016 – Tous droits réservés vii

NORME INTERNATIONALE ISO 37001:2016(F)

© ISO 2016 – Tous droits réservés 1

2 © ISO 2016 – Tous droits réservés

© ISO 2016 – Tous droits réservés 3

4 © ISO 2016 – Tous droits réservés

© ISO 2016 – Tous droits réservés 5

6 © ISO 2016 – Tous droits réservés

© ISO 2016 – Tous droits réservés 7

8 © ISO 2016 – Tous droits réservés

© ISO 2016 – Tous droits réservés 9

10 © ISO 2016 – Tous droits réservés

© ISO 2016 – Tous droits réservés 11

12 © ISO 2016 – Tous droits réservés

© ISO 2016 – Tous droits réservés 13

14 © ISO 2016 – Tous droits réservés

© ISO 2016 – Tous droits réservés 15

16 © ISO 2016 – Tous droits réservés

© ISO 2016 – Tous droits réservés 17

18 © ISO 2016 – Tous droits réservés

© ISO 2016 – Tous droits réservés 19

20 © ISO 2016 – Tous droits réservés

© ISO 2016 – Tous droits réservés 21

22 © ISO 2016 – Tous droits réservés

© ISO 2016 – Tous droits réservés 23

24 © ISO 2016 – Tous droits réservés

© ISO 2016 – Tous droits réservés 25

26 © ISO 2016 – Tous droits réservés

© ISO 2016 – Tous droits réservés 27