L'ISO 19600 fait peau neuve et devient l'ISO 37301
La mise en œuvre d'une conformité efficace est encore perçue comme un grand défi par de nombreuses entreprises. Une fois l'implémentation d'un système de gestion de la conformité réussie, la question se pose pour les entreprises de savoir comment le démontrer à l'extérieur. ISO 19600-Compliance Management System est la norme de conformité la plus courante. Elle fait actuellement l'objet d'une révision et s'appellera désormais ISO 37301. La nouvelle norme pourra être certifiée.
La norme ISO 19600 est une norme de conformité internationale et généralement reconnue. En tenant compte de l'adéquation et de la proportionnalité, ISO 19600 est applicable à toutes les organisations - indépendamment de la taille, de la structure et de la complexité de l'entreprise. Les lignes directrices définies dans l'ISO 19600 servent de guide pour le développement (conception), la mise en place et le maintien d'un système efficace de gestion de la conformité.
Certification
Lors de son lancement en 2014, la norme ISO 19600 était un système de management dit de type B. Elle n'a pas encore été adoptée. La certification des normes de type B n'est en principe pas prévue par l'ISO. Étant donné que les entreprises demandent un examen et une certification des systèmes de gestion de la conformité (CMS), la NAS 980¹ permet aux auditeurs de vérifier l'adéquation et l'efficacité d'un CMS.
La relation entre la norme PS 980 et la norme ISO 19600 est de nature complémentaire : ISO 19600 est une norme de mise en place ("Comment concevoir un CMS ? Comment mettre en place un CMS dans l'entreprise et assurer son maintien ?"), tandis que la NAS 980 est - comme son nom l'indique - une norme de contrôle ("Comment l'auditeur vérifie-t-il et certifie-t-il un système de gestion de la conformité ?)
Toutefois, le contenu de la norme ISO 19600 couvre largement les éléments de base mentionnés dans la norme PS 980. La PS 980 est explicitement mentionnée dans la norme ISO 19600 en tant que cadre conceptuel spécifique pour la mise en place d'un CMS.
ISO 37301 : certification directe possible
En réponse au besoin mentionné des entreprises de faire certifier leur système de gestion de la conformité, les comités locaux de normalisation révisent la norme ISO-19600. Ce changement débouchera sur une norme de type A, qui permettra une certification directe. La norme se voit également attribuer un nouveau numéro de référence : ISO 37301. Il est remarquable de constater, à partir des travaux des différents comités locaux de normalisation, que les membres du comité chinois sont particulièrement moteurs dans les changements.
La norme, qui se présente sous le nouvel habit de l'ISO 37301, définira désormais des exigences en plus des lignes directrices. Ce sont ces exigences qui la rendront directement certifiable. La publication de la norme ISO 37301 en anglais est prévue pour 2020.
Qu'est-ce qui change ?
Bien que les révisions soient encore en cours, on peut d'ores et déjà affirmer que l'ISO 37301 correspond dans les grandes lignes à son prédécesseur, en définissant le lege artis d'un CMS efficace. Ce qui a été ajouté, ce sont des définitions et des notes (explication de termes) ainsi que des précisions sur le libellé actuel. Cela facilite l'application pratique de la norme.
D'un point de vue linguistique, la norme ISO 37301 contient désormais des dispositions théoriques ("shall") lorsqu'il s'agit d'exigences. En comparaison, la version actuelle parle de "should", puisqu'il s'agit de lignes directrices ou de recommandations. En outre, la norme ISO 37301 contient une annexe avec un guide d'utilisation ("guidance for use") avec des explications pratiques.
Que contient concrètement la norme ISO 37301 ?
Les entreprises qui souhaitent commencer à mettre en œuvre une conformité efficace ou à développer leur CMS peuvent sans crainte s'orienter vers la norme ISO-19600 actuelle jusqu'à la publication de la norme ISO 37301. Le contenu essentiel de la norme révisée reste le même.
Lors du développement (conception) et de l'introduction du CMS, les objectifs de compliance sont fixés selon ISO 37301 en tenant compte de la taille, de la structure et de la complexité de l'entreprise. Sur la base des objectifs de compliance, l'entreprise doit procéder à une évaluation des risques de compliance (Compliance Risk Assessment). Ces risques sont alors analysés et évalués afin de pouvoir les pondérer en fonction de leur priorité. La priorité résulte de la probabilité d'occurrence et des conséquences d'une infraction ("probability and impact").
L'entreprise définit ensuite, dans le cadre de ce que l'on appelle l'organisation de la conformité, les rôles et les responsabilités ("Qui est responsable de quel risque de conformité ?") ainsi que les mesures qui doivent être prises en premier lieu. En application d'une approche basée sur les risques, les mesures contre les risques à forte probabilité d'occurrence et aux conséquences graves doivent être traitées en priorité. ISO 37301 prévoit également la création d'une fonction de compliance indépendante.
Dans le cadre du maintien du CMS une fois mis en place, la conformité à la norme ISO 37301 doit être surveillée et améliorée en permanence.
Enfin, ISO 37301 mentionne également la communication et la culture de la conformité. La communication en matière de conformité concerne les mesures internes telles que la formation des collaborateurs et les directives, mais aussi la communication avec les parties prenantes externes. Le thème de la culture est le fil rouge de la norme ISO 37301 : dès le premier paragraphe de l'introduction, la norme parle d'une culture de l'intégrité et de la conformité aux règles. Selon la norme ISO 37301, ces points "ne constituent pas seulement une base, mais aussi une opportunité pour une organisation durablement performante". Mais la norme s'exprime également sur la culture par des exigences concrètes et cite des exemples de facteurs qui favorisent le développement d'une culture de la conformité.
En résumé, la norme ISO 37301 définit comment un système de gestion de la conformité est développé, mis en place et maintenu par l'entreprise. A cela s'ajoutent des définitions et des notes (explication des termes) ainsi qu'un guide d'application qui aident à utiliser la norme. Ces explications ne sont en aucun cas nouvelles, mais grâce à la norme, le thème de la conformité devient délimitable et l'utilisateur obtient un aperçu complet dans la qualité ISO fiable.
A quoi les entreprises doivent-elles faire attention ?
Les attentes envers les entreprises en matière de conformité sont une réalité indéniable. S'y ajoutent diverses exigences issues de domaines apparentés à la compliance (compliance au sens large) comme la gouvernance d'entreprise, la responsabilité sociale des entreprises, les principes éthiques et les attentes de la société. Dans ce contexte, la mise en œuvre d'une compliance efficace est perçue comme un grand défi par de nombreuses entreprises.
ISO 19600 (bientôt ISO 37301), en tant que norme de conformité généralement reconnue, définit la manière de développer (concevoir), d'introduire et de maintenir un CMS efficace dans l'entreprise. Grâce au degré élevé de concrétisation de la norme, celle-ci peut servir de guide à l'entreprise - indépendamment de sa taille, de sa structure et de sa complexité - pour mettre en œuvre une compliance efficace. L'expérience montre que cela peut être réalisé à peu de frais et avec peu de mesures organisationnelles, en particulier dans les petites entreprises.
Une fois la mise en place du CMS réussie, les entreprises se demandent souvent comment le démontrer à leurs partenaires commerciaux et autres parties prenantes - par exemple lorsqu'un client souhaite ou attend de ses fournisseurs qu'ils mettent en place et documentent un CMS. Il peut également s'agir de montrer à un partenaire commercial (potentiel) ou à d'autres parties prenantes que la conformité est prise au sérieux dans l'entreprise.
Pour de nombreuses entreprises, l'effet d'un CMS n'est pas négligeable en ce qui concerne les risques de responsabilité en cas d'infraction aux règles. En cas d'éventuelle infraction aux règles, un CMS robuste permet d'apporter la preuve de l'absence de faute d'organisation (cf. art. 102 du Code pénal).
Conclusion
ISO 19600, qui deviendra bientôt ISO 37301, constitue une aide concrète pour la mise en œuvre d'une compliance efficace. Une certification de conformité est déjà possible aujourd'hui grâce à l'interaction entre la norme ISO 19600 et la norme PS 980. À l'avenir (probablement à partir de 2020), la norme ISO 37301 permettra une certification directe. Les raisons pour lesquelles les entreprises s'occupent et devraient s'occuper de la conformité sont multiples. Les attentes correspondantes envers les entreprises sont toutefois une réalité. Même les meilleurs CMS ne permettent pas d'éviter les infractions, mais leur traitement systématique et approprié est devenu une exigence. Les auteurs sont notamment d'accord avec la norme ISO 37301 sur le fait que l'intégrité et la conformité ne constituent pas seulement une base générale, mais contribuent de manière déterminante à une organisation durablement performante.
Norme de contrôle PS 980
¹ Norme d'audit suisse PS 980 "Principes d'audit des systèmes de gestion de la conformité" ; cf. Allemagne : IDW PS 980 "Principes d'audit réguliers des systèmes de gestion de la conformité".
Auteurs
Philipp Lüttmann, président national du comité SNV "Governance of Organizations".
Alexander Rey, avocat, BDO AG
