Conformité : la norme ISO 19600 fait peau neuve
La mise en œuvre d'une conformité efficace est encore perçue par de nombreuses entreprises comme un défi majeur. Une fois qu'un système de gestion de la conformité a été mis en œuvre avec succès, les entreprises sont confrontées à la question de savoir comment elles peuvent le démontrer au monde extérieur. Le système de gestion de la conformité à la norme ISO 19600 est la norme de conformité la plus courante. Elle est actuellement en cours de modification et sera à l'avenir appelée ISO 37301. La nouvelle norme sera certifiable.
La norme ISO 19600 est une norme de conformité internationale et généralement reconnue. En tenant compte de l'adéquation et de la proportionnalité, l'ISO 19600 est applicable à toutes les organisations - indépendamment de la taille, de la structure et de la complexité de l'entreprise. Les lignes directrices définies dans la norme ISO 19600 servent de guide pour le développement (conception), l'introduction et le maintien d'un système efficace de gestion de la conformité.
Certification
Lorsqu'elle a été introduite en 2014, la norme ISO 19600 était un système de gestion dit de type B. En principe, l'ISO ne prévoit pas la certification des normes de type B. Comme les entreprises exigent un examen et une certification des systèmes de gestion de la conformité (SGC), la norme PS 980¹ permet aux auditeurs d'examiner l'adéquation et l'efficacité d'un SGC.
La relation entre la norme PS 980 et la norme ISO 19600 est complémentaire : La norme ISO 19600 est une norme de configuration ("Comment concevoir un CMS ? Comment mettre en œuvre un système de gestion de la conformité dans l'entreprise et comment en assurer la maintenance"), tandis que la norme PS 980 - comme son nom l'indique - est une norme d'audit ("Comment l'auditeur examine-t-il et certifie-t-il un système de gestion de la conformité ?)
Cependant, le contenu de la norme ISO 19600 couvre largement les éléments de base mentionnés dans la norme PS 980. La norme PS 980 est explicitement citée dans la norme ISO 19600 comme cadre spécifique pour la mise en place d'un CMS.
ISO 37301 : certification directe possible
En réponse au besoin susmentionné des entreprises de faire certifier leur système de gestion de la conformité, les comités locaux de normalisation révisent actuellement la norme ISO-19600. Le changement aboutira à une norme de type A, qui permettra une certification directe. La norme recevra également un nouveau numéro de référence : ISO 37301. Il est intéressant de noter, d'après les travaux des différents comités locaux de normalisation, que les membres du comité chinois sont particulièrement à l'origine de ces changements.
La norme, qui se présente sous la nouvelle forme de la norme ISO 37301, définira désormais également des exigences en plus des lignes directrices. Ce sont ces exigences qui la rendent directement certifiable. La norme ISO 37301 devrait être publiée en anglais en 2020.
Qu'est-ce qui change ?
Bien que les révisions soient encore en cours, on peut déjà dire que la norme ISO 37301 correspond pour l'essentiel à son prédécesseur en précisant le niveau de performance d'un CMS efficace. Ce qui est ajouté sont des définitions et des notes (explication des termes) ainsi que des clarifications de la formulation actuelle. Cela facilite l'application pratique de la norme.
En termes de langue, la norme ISO 37301 contient maintenant des dispositions "doit" lorsqu'il s'agit d'exigences. En comparaison, la version actuelle utilise le terme "devrait", car il s'agit de lignes directrices ou de recommandations. En outre, la norme ISO 37301 contient une annexe avec des "conseils d'utilisation" assortis d'explications pratiques.
Que contient concrètement la norme ISO 37301 ?
Les entreprises qui souhaitent commencer à mettre en œuvre une conformité efficace ou développer davantage leur CMS peuvent utiliser en toute confiance la norme ISO 19600 actuelle comme guide jusqu'à la publication de la norme ISO 37301. Le contenu essentiel de la norme révisée reste le même.
Lors du développement (conception) et de l'introduction du CMS, les objectifs de conformité sont définis conformément à la norme ISO 37301, en tenant compte de la taille, de la structure et de la complexité de l'entreprise. Sur la base des objectifs de conformité, l'entreprise doit procéder à une évaluation des risques de conformité (évaluation des risques de conformité). Dans ce processus, ces risques sont analysés et évalués afin de les classer par ordre de priorité. La priorité est déterminée par la probabilité d'occurrence et l'impact d'une violation ("probabilité et impact").
Ensuite, l'entreprise définit les rôles et les responsabilités ("Qui est responsable de quel risque de non-conformité ?") ainsi que les mesures à prendre en premier lieu dans le cadre de l'organisation dite de conformité. En appliquant une approche fondée sur les risques, la priorité doit être donnée aux mesures contre les risques ayant une forte probabilité d'occurrence et un impact grave. La norme ISO 37301 prévoit également la création d'une fonction de conformité indépendante.
Dans le cadre du maintien du CMS une fois qu'il a été introduit, la conformité doit être continuellement contrôlée et améliorée conformément à la norme ISO 37301.
Enfin, la norme ISO 37301 mentionne également la communication et la culture de conformité. La communication sur la conformité concerne les mesures internes telles que la formation des employés et les directives, mais aussi la communication avec les parties prenantes externes. Le thème de la culture est un fil conducteur de la norme ISO 37301 : dans le tout premier paragraphe de l'introduction, la norme parle d'une culture d'intégrité et de conformité. Selon la norme ISO 37301, ces points sont "non seulement la base mais aussi l'opportunité d'une organisation durablement performante". Toutefois, la norme s'exprime également par des exigences concrètes en matière de culture et donne des exemples de facteurs qui favorisent le développement d'une culture de la conformité.
En résumé, la norme ISO 37301 spécifie comment un système de gestion de la conformité est développé, mis en œuvre et maintenu par l'entreprise. En outre, il y a des définitions et des notes (explication des termes) ainsi que des conseils d'application, qui aident à l'utilisation de la norme. Ces explications ne sont en aucun cas nouvelles, mais grâce à la norme, le sujet de la conformité devient délimitable et l'utilisateur obtient une vue d'ensemble complète de la qualité ISO fiable.
Que doivent envisager les entreprises ?
L'attente des entreprises en matière de conformité est une réalité incontestable. En outre, il existe diverses demandes provenant de domaines liés à la conformité (compliance au sens large) tels que la gouvernance d'entreprise, la responsabilité sociale des entreprises, les principes éthiques et les attentes sociales. Dans ce contexte, la mise en œuvre d'une conformité efficace est perçue par de nombreuses entreprises comme un défi majeur.
La norme ISO 19600 (bientôt ISO 37301), en tant que norme de conformité généralement reconnue, spécifie comment un CMS efficace est développé (conçu) et introduit et maintenu dans l'entreprise. En raison du degré élevé de concrétisation de la norme, elle peut servir de guide à l'entreprise - indépendamment de sa taille, de sa structure et de sa complexité - pour mettre en œuvre une conformité efficace. L'expérience montre que cela peut être réalisé avec peu d'efforts et peu de mesures organisationnelles, en particulier dans les petites entreprises.
Une fois que la mise en œuvre du CMS est réussie, les entreprises doivent souvent se demander comment le démontrer à leurs partenaires commerciaux et aux autres parties prenantes - par exemple, lorsqu'un client souhaite ou attend de ses fournisseurs qu'ils mettent en œuvre et documentent un CMS. Il peut également s'agir de démontrer à un partenaire commercial (potentiel) ou à une autre partie prenante que la conformité est prise au sérieux au sein de l'entreprise.
Pour de nombreuses entreprises, l'effet d'un CMS en rapport avec les risques de responsabilité en cas de violation des règles n'est pas négligeable. En cas de violation des règles, un CMS robuste peut apporter la preuve de l'absence de culpabilité organisationnelle (cf. art. 102 StGB).
Conclusion
La norme ISO 19600, qui sera bientôt connue sous le nom de norme ISO 37301, fournit une aide concrète à la mise en œuvre d'une conformité efficace. La certification de conformité est déjà possible aujourd'hui grâce à l'interaction entre la norme ISO 19600 et la norme PS 980. À l'avenir (probablement à partir de 2020), la norme ISO 37301 permettra une certification directe. Les raisons pour lesquelles les entreprises sont et doivent se préoccuper du respect des règles sont nombreuses et variées. Cependant, les attentes correspondantes à l'égard des entreprises sont une réalité. Les violations ne peuvent être évitées même avec le meilleur CMS, mais leur traitement systématique et adéquat est devenu une exigence. Les auteurs sont d'accord avec la norme ISO 37301, en particulier, sur le fait que l'intégrité et la conformité ne sont pas seulement une base générale, mais contribuent de manière significative à une organisation durablement performante.
Notes de bas de page :
Norme d'essai PS 980
¹ Norme d'audit suisse PS 980 "Principes pour l'audit des systèmes de gestion de la conformité" ; cf. Allemagne : IDW PS 980 "Principes pour un audit approprié des systèmes de gestion de la conformité".
Auteurs : Philipp Lüttmann, président national du comité SNV "Gouvernance des organisations" ; Alexander Rey, avocat, BDO AG
