5 signes indiquant que votre système de gestion de la conformité a besoin d'une certification
La plupart des organisations disposent de ce qu’elles appellent un programme de conformité. Elles sont toutefois bien moins nombreuses à posséder un système de gestion de la conformité capable de résister à un examen minutieux. Voici cinq signes qui indiquent que cette lacune commence à se faire sentir – et pourquoi la norme ISO 37301 a été conçue pour y remédier.
La conformité a évolué. Il y a dix ans, il suffisait de disposer d'un code de conduite, d'une ligne d'assistance téléphonique et d'un module de formation annuel. Aujourd'hui, les autorités de régulation, les investisseurs, les clients et les tribunaux attendent un dispositif plus structuré : un système pouvant être documenté, audité et amélioré. La norme ISO 37301 définit les caractéristiques de ce système.
Cette norme est, par nature, très large. Elle s'applique aux sanctions, à la lutte contre la corruption, à la protection des données, au droit de la concurrence, aux droits de l'homme, au respect des normes environnementales et à tout autre domaine dans lequel votre organisation a des obligations. La question n'est pas de savoir si la norme ISO 37301 est pertinente – elle l'est très certainement. La question est de savoir si vous devez vous y conformer dès maintenant.
Si l'une des situations suivantes vous semble familière, la réponse est probablement oui.
1. Votre travail en matière de conformité repose sur des politiques, et non sur un système
Vous disposez de politiques. Vous en avez peut-être même beaucoup. Mais lorsqu’on vous demande comment ces politiques se traduisent concrètement en contrôles quotidiens, en suivi et en preuves, la réponse est plus difficile à donner. Les politiques décrivent une intention. Un système de gestion, lui, décrit comment cette intention est mise en œuvre : qui est responsable de chaque obligation, comment celle-ci est contrôlée, quelles preuves sont recueillies, comment les exceptions sont gérées et comment l’ensemble s’améliore au fil du temps.
La norme ISO 37301 impose cette évolution. Elle ne se contente pas de demander ce que vous dites vouloir faire, mais comment vous démontrez que vous le faites. Les organisations qui passent d'un simple ensemble de politiques à un système géré découvrent presque toujours des lacunes dont elles ignoraient l'existence : des obligations sans responsable, des contrôles sans suivi, des formations dont personne ne rend compte.
2. Vous ne pouvez pas répondre à la question « Comment savez-vous que ça marche ? »
Les conseils d'administration, les autorités de régulation et les auditeurs posent de plus en plus souvent une question similaire : comment savez-vous que votre programme de conformité est efficace ? Les anecdotes et les rapports d'audit sans réserve ne suffisent pas. On attend désormais des indicateurs, un suivi et un cycle de retour d'information qui permettent de démontrer l'efficacité du programme au fil du temps.
La norme ISO 37301 intègre cette exigence. Les clauses relatives à l'évaluation des performances, à l'audit interne, à la revue de direction et à l'amélioration continue imposent aux organisations de suivre les résultats, de mettre en évidence les problèmes et d'y remédier. Il en résulte un programme capable de répondre à la question de l'efficacité à l'aide de données, et non de simples affirmations.
3. On ne s'intéresse à la conformité que lorsque quelque chose tourne mal
Dans de nombreuses organisations, la conformité est une démarche réactive. Il suffit d'un événement médiatique majeur, d'une mesure coercitive des autorités de régulation ou d'un signalement d'un lanceur d'alerte pour que l'équipe chargée de la conformité retienne soudainement l'attention de la direction. Puis, une fois le calme revenu, la conformité retombe dans l'oubli.
Un système de gestion de la conformité (CMS) bien conçu n'a pas besoin d'une crise pour se faire remarquer. La norme ISO 37301 exige l'engagement de la direction, la définition claire des rôles et des responsabilités, l'intégration aux processus opérationnels et la présentation régulière de rapports aux instances de gouvernance. Elle fait passer la conformité d'une approche ponctuelle à une approche intégrée, ce qui correspond d'ailleurs de plus en plus aux attentes des autorités de régulation.
4. Vous exercez vos activités dans plusieurs juridictions sans disposer d'un cadre harmonisé
Si votre organisation exerce ses activités dans plusieurs pays, vous êtes très certainement confronté à des obligations de conformité qui se chevauchent et sont parfois contradictoires. Les régimes de sanctions varient. Les lois sur la protection des données diffèrent. Les priorités en matière de lutte contre la corruption ne sont pas uniformes. En l'absence d'un cadre global, la conformité se transforme en un ensemble disparate de mesures locales, sans méthode cohérente pour comparer, hiérarchiser ou rendre compte.
La norme ISO 37301 fournit ce cadre. Elle ne remplace pas les exigences légales locales, mais vous offre une méthode structurée pour les identifier, les attribuer, les contrôler et les synthétiser. Pour les organisations présentes dans plusieurs juridictions, c'est souvent le principal avantage pratique de la certification.
5. Vous devez prouver votre conformité à l'extérieur, et pas seulement en interne
Les clients exigent des garanties. Les investisseurs s'interrogent sur les critères ESG et la gouvernance. Les régulateurs veulent savoir comment vous gérez les risques. Les partenaires posent des questions avant de signer un contrat. La demande externe de preuves de conformité a fortement augmenté, et une simple validation interne n'a plus le même poids qu'auparavant.
La certification ISO 37301 constitue une attestation indépendante délivrée par un organisme tiers, garantissant que votre système de gestion de la conformité (CMS) répond à une norme internationale. Elle ne garantit pas une bonne conduite, mais elle apporte la réponse structurée et vérifiée en externe que les parties prenantes exigent de plus en plus. Pour les organisations qui se trouvent régulièrement amenées à prouver leur maturité en matière de conformité à des tiers, la certification s'avère souvent rentable en réduisant les frictions.
Ce que la norme ISO 37301 n'est pas
Il convient de préciser clairement ce que cette norme ne fait pas. La norme ISO 37301 ne vous indique pas quelles lois s'appliquent à votre entreprise : c'est à vous qu'il revient de le déterminer. Elle ne remplace pas les conseils d'experts en matière de sanctions, de lutte contre la corruption, de protection des données ou de tout autre domaine technique. Et elle n'élimine pas le risque de non-conformité. Elle fournit simplement une structure éprouvée et reconnue à l'échelle internationale pour gérer ce risque.
Les organisations qui ont déjà mis en place des programmes de conformité bien rodés constatent souvent que la norme ISO 37301 ne fait que formaliser ce qu’elles font déjà. Celles qui en sont encore aux prémices de ce processus y voient un modèle utile qui leur évite d’avoir à en élaborer un elles-mêmes. Quoi qu’il en soit, cette norme s’adapte à votre situation actuelle.
Par où commencer
Si l'un des cinq signes ci-dessus vous interpelle, la prochaine étape ne consiste pas nécessairement à s'engager dans une démarche de certification. Il s'agit plutôt de mieux comprendre en interne ce qu'exige réellement la norme – et dans quelle mesure vos activités actuelles y répondent. La plupart des organisations sont plus avancées qu'elles ne le pensent sur certaines clauses, et plus en retard qu'elles ne le pensent sur d'autres. Savoir distinguer les unes des autres, c'est ce qui fait la différence entre un parcours ISO 37301 fructueux et un parcours frustrant.
La manière la plus efficace de développer cette vision interne consiste à former une petite équipe à la norme elle-même. Une équipe interne formée est capable de lire la norme ISO 37301, de déterminer dans quelle mesure votre programme actuel y est conforme et d’identifier les écarts, sans avoir à supporter les coûts ni à dépendre de tiers. À partir de là, la voie à suivre dépend de votre ambition, de vos parties prenantes et de votre calendrier. Certaines organisations optent directement pour la certification. D’autres utilisent la norme en interne pour faire mûrir leur programme avant de solliciter une assurance externe. Les deux approches sont valables.
Prêt à vous lancer dans la certification ISO 37301 ? Speeki certifie les organisations selon la norme ISO 37301 et dispense des formations d'auditeur interne et d'auditeur principal par l'intermédiaire de Speeki Executive Education.
Contactez-nous pour discuter de la certification ou de la formation.