Introduire la gestion de la conformité dans une PME

En raison de leur complexité perçue et des dépenses redoutées, les systèmes de gestion de la conformité n'ont pas encore trouvé leur place dans de nombreuses PME. Et ce, malgré le fait que l'environnement a considérablement changé en raison d'une application accrue de la loi à l'encontre des entreprises et des membres de la direction générale. Les violations de la loi peuvent entraîner des risques de responsabilité importants pour les entreprises et leur direction et menacer la réputation et l'existence d'une entreprise.

Assistance à la mise en conformité également pour les PME
La norme internationale ISO 19600 "Systèmes de gestion de la conformité - Lignes directrices", publiée en décembre 2014, aide les PME à mettre en œuvre et à maintenir un système de gestion de la conformité (SGC) efficace et performant. La norme ISO 19600:2014 (désormais également publiée en allemand par le DIN) est applicable à tous les organismes et, conformément au principe d'adéquation et de proportionnalité, constitue une ligne directrice appropriée, indépendamment de la taille, de la structure, du type et de la complexité de l'entreprise. Ainsi, un CMS conforme à la norme ISO 19600:2014 peut être adapté à l'entreprise sans trop de bureaucratie supplémentaire. L'expérience pratique montre que seules quelques mesures et procédures organisationnelles et une quinzaine de pages de textes originaux (décision du conseil d'administration sur les valeurs et la gouvernance, politique de conformité, instructions sur les risques fondamentaux, plan de formation, plan d'audit et de rapport) sont nécessaires pour construire un CMS simple et solide qui, si les bonnes mesures sont prises, sera probablement supérieur à de nombreux CMS d'une grande entreprise internationale en termes de cohérence du système et d'efficacité.

Grâce à un CMS efficace selon la norme ISO 19600:2014, une entreprise peut s'assurer avec un degré élevé d'efficacité que les obligations contraignantes sont respectées. Cela permet d'éliminer ou de réduire au minimum les risques de non-conformité et d'accroître la sécurité juridique.

Exemple d'application d'un CMS selon la norme ISO 19600:2014
À l'école d'ingénieurs ZHAW de Win-terthur, un mémoire de master en gestion intégrée des risques (MAS IRM) a examiné la structure, le développement, la mise en œuvre, l'évaluation, la maintenance et l'amélioration d'un CMS selon la norme ISO 19600:2014 en prenant l'exemple d'une entreprise internationale de moins de 20 employés.

Le système de gestion de l'entreprise était déjà basé sur la norme ISO 9001:2015, de sorte que la structure des normes (High Level Structure) était uniforme et que l'intégration de la nouvelle norme ISO dans le système de gestion intégré (IMS) était simplifiée.

Approche de la mise en œuvre de la norme ISO 19600:2014
La norme ISO 19600:2014 se compose de 7 éléments principaux et est essentiellement structurée en deux phases principales, la mise en place et le fonctionnement du CMS. Il est important de noter que tous les éléments de la norme ISO 19600:2014 doivent être mis en œuvre de manière cohérente afin de créer un CMS efficace et performant. Le CMS devrait également être fondé sur les principes d'une gouvernance d'entreprise bonne et responsable (par exemple, que les décisions de gestion soient orientées vers la création de valeur durable, qu'une communication d'entreprise transparente et ouverte soit encouragée, que les intérêts des parties intéressées soient sauvegardés, que les risques soient traités de manière appropriée, etc.)

Le Phase de développement contient principalement l'élément "contexte de l'organisation", dans lequel l'orientation stratégique du CMS est déterminée. Des objectifs de conformité clairs ont été définis et alignés sur les autres objectifs de l'entreprise. Le champ d'application du CMS a également été déterminé et documenté. Ensuite, le cadre organisationnel pourrait être défini. À cette fin, les facteurs d'influence internes et externes importants qui ont un impact sur les performances du CMS ont été déterminés. L'environnement extérieur a été analysé au moyen d'une analyse systématique de l'environnement. Les exigences des parties internes ou externes concernées (personnes ou organisations) ont également été prises en compte, ce qui a pu être vérifié au moyen d'une analyse des parties prenantes. La stratégie de conformité et la politique de conformité ont également été définies sur la base des informations obtenues lors de la phase de développement.

À l'adresse suivante : Transition entre la phase de déploiement et la phase opérationnelle Des procédures ont été établies pour identifier systématiquement tous les engagements juridiques et volontaires contraignants et pour examiner leur impact avec les activités, les produits et les services de l'entreprise. Cela a permis d'identifier les risques découlant d'une violation des obligations contraignantes. Comme la norme ISO 19600:2014 est une norme basée sur le risque, l'évaluation et la gestion des risques ont fait l'objet d'une attention particulière.

Comme la structure commune des normes ISO, l'approche fondée sur le risque est devenue une interface globale et centrale dans le monde de l'ISO. Dans un système de gestion intégré où les risques de différents domaines doivent être évalués, il est donc logique d'appliquer une approche systématique selon la norme ISO 31000:2009 Gestion des risques. De cette manière, les risques liés à la conformité pourraient être identifiés, analysés, évalués et gérés de manière optimale.

Dans le Phase de fonctionnement traite de la mise en place, du développement, de la mise en œuvre, de l'évaluation, du maintien et de l'amélioration d'un CMS efficace et performant. Grâce au cycle de gestion du PDCA (Plan-Do-Check-Act), les processus de conformité sont continuellement améliorés. Premièrement, le CMS a été stratégiquement planifié dans l'élément "Planification" afin de garantir que les objectifs du CMS soient atteints et que les effets imprévus soient prévenus, détectés ou réduits. À cette fin, des concepts, des mesures et des actions ont été définis pour faire face aux risques de non-conformité identifiés lors de la phase de mise en place. Des objectifs de conformité clairs, mesurables et vérifiables ont également été définis pour les fonctions et les domaines concernés. Celles-ci découlent notamment de la politique de conformité.

Grâce à l'élément "leadership et engagement", il a été possible de montrer comment les organes de gestion peuvent, par leurs actions, influencer de manière significative l'importance et la performance du CMS : La norme ISO 19600:2014 souligne l'importance centrale d'un bon leadership et d'une culture fondée sur les valeurs pour l'efficacité d'un SGC. Cela reflète les conclusions empiriques selon lesquelles une culture de l'éthique et de la conformité ne peut se développer sans l'exemple de la direction générale ("tone at the top"), sans valeurs et sans bonne gouvernance, et - même si un code de conduite et un "programme de conformité" sont en place - une gestion efficace de la conformité n'est pas possible.

La même structure de gestion que le système de gestion existant pourrait être utilisée pour les responsabilités et les obligations de conformité. Une structure indépendante aurait dépassé les capacités de l'entreprise et aurait occupé la direction et les employés avec des tâches administratives au lieu de consacrer des ressources au CMS. Toutefois, on a veillé à ce que la fonction de contrôle soit indépendante et dispose d'une autorité suffisante et d'un accès direct à l'organe de contrôle (principes de bonne gouvernance).

Dans l'élément "Support", les ressources internes et externes nécessaires à un CMS efficace ont été identifiées afin qu'elles puissent être mises à disposition et utilisées efficacement par l'entreprise. La formation, l'éducation et le développement ont également été prévus pour s'assurer que les employés ont les compétences nécessaires et peuvent apporter la contribution requise par la norme pour un CMS efficace. Un concept de communication a également été élaboré pour assurer une communication active sur la conformité interne et externe. Ensuite, les processus, les lignes directrices, les procédures et leurs mesures de contrôle et de pilotage, qui sont nécessaires à la réalisation du CMS, pourraient être mis en œuvre dans l'élément "Opération". Les processus externes et les tierces parties ont également été pris en compte.

Afin de garantir l'efficacité du CMS, des procédures ont été établies dans l'élément "évaluation des performances" pour suivre, analyser et évaluer régulièrement le CMS lui-même et ses performances. À cette fin, des indicateurs mesurables ont été identifiés pour quantifier les performances de l'entreprise en matière de conformité. Il s'agissait de l'efficacité de la formation, des mesures correctives évaluées (indicateurs d'activité), du nombre de violations de la conformité signalées, de l'impact financier des violations de la conformité (indicateurs rétrospectifs), de l'impact des risques de conformité (indicateur prospectif).

Un système de rapport a également été mis en place pour informer la direction sur l'efficacité et la pertinence du CMS. Les résultats de la surveillance continue pourraient être intégrés aux rapports déjà disponibles dans l'entreprise. Pour les événements qui doivent être signalés rapidement, tels que les violations de la conformité, un système de notification des exceptions a été mis en place afin que celles-ci puissent être signalées aux services, fonctions et autorités nécessaires.

Afin d'améliorer le CMS et de découvrir les points faibles, l'élément "Amélioration". le traitement par l'entreprise des violations de la conformité. De cette manière, il convient d'identifier les mesures visant à éliminer les causes et à prévenir autant que possible une récurrence. Sanctionner les employés à tous les niveaux en cas de violation délibérée ou négligente de la conformité est un élément central d'un CMS qui fonctionne. De nombreuses entreprises hésitent à exiger des responsabilités et à imposer des sanctions. Cependant, sans culture de la responsabilité et des sanctions, l'exigence de respect des valeurs et de respect des engagements contraignants reste lettre morte ("conformité papier"). Le diagramme montre comment le cycle de gestion de l'APDC est représenté dans la norme.

La norme ISO 19600:2014 est également adaptée aux PME
Les recherches menées dans le cadre de la thèse de master susmentionnée ont permis de conclure qu'un système de gestion de contenu conforme à la norme ISO 19600:2014 est également parfaitement adapté à une PME de moins de 20 employés et crée les conditions nécessaires pour répondre aux exigences actuelles et futures d'un système de gestion de contenu efficace selon les règles de l'art (lege artis).

• L'intégration du CMS selon la norme ISO 19600:2014 dans les systèmes de gestion existants selon la norme ISO est simple et pratique grâce à la structure uniforme de tous les systèmes de gestion ISO, aux termes définis de manière uniforme et aux gains d'efficacité dus aux connaissances de base existantes en matière de gestion des cycles de gestion PDCA et à l'audit plus simple réalisé par les auditeurs internes et externes. Il en résulte un outil de gestion solide et un système de gestion plus efficace, car davantage d'aspects sont pris en compte et le système de gestion est de plus en plus aligné sur les objectifs généraux de l'entreprise. De cette manière, les processus de l'entreprise peuvent être conçus, dirigés et contrôlés de manière plus efficace et plus efficiente. Cela a un effet positif sur la gestion des risques et donc sur le succès de l'entreprise, comme le fait toute bonne gestion professionnelle.
• Lors de l'intégration du CMS, il est essentiel d'analyser et de maintenir de manière proactive les interfaces avec les autres systèmes de gestion de l'organisme : gestion de la qualité (ISO 9001:2015), gestion des risques (ISO 31000:2009), gestion environnementale (ISO 14001:2015), gestion de la sécurité de l'information (ISO 27001:2013), gestion de la santé et de la sécurité au travail (ISO 45001:2016) et gestion de la continuité des activités (BCM, ISO 22301 : 2010). Ce n'est que si ce défi est relevé qu'un système de gestion intégré (SGI) efficace et efficient peut être créé, qui apporte un maximum d'avantages à l'organisation.
• Les éléments de la norme ISO 19600:2014 suivent le cycle de gestion bien connu de l'ACDC. Dans cette séquence logique, le CMS peut être mis en œuvre et amélioré de manière méthodique et efficace. Cela conduit à une solution de conformité durable et efficace.
• Les risques de conformité ou les activités qui peuvent conduire à la non-conformité aux obligations de conformité peuvent être identifiés, analysés, évalués et gérés de manière optimale grâce à l'interaction avec la norme ISO 31000:2009 (approche fondée sur le risque selon la norme ISO 31000:2009).
• En cas de violation des règles, une entreprise peut prouver qu'il n'y a pas de faute organisationnelle (droit pénal des sociétés, article 102 du code pénal) et ainsi également protéger la direction contre les risques de responsabilité et l'exonérer en cas de violation individuelle. En outre, un CMS efficace favorise également la confiance des parties intéressées, en particulier des employés et des clients.