Ce que votre conseil d'administration attend réellement de la conformité

Lutte contre la corruption, conformité et normes ISO
Écrit par Scott Lane

La conformité n'est plus seulement une préoccupation opérationnelle : elle figure désormais à l'ordre du jour du conseil d'administration. Les administrateurs ne se contentent plus d'un simple tour d'horizon des politiques ; ils veulent la preuve que le système fonctionne, que les risques sont bien pris en charge et qu'un organisme indépendant a procédé à une vérification. C'est précisément ce que cela leur apporte. 

La responsabilité du conseil d'administration en matière de conformité n'est pas une idée nouvelle. Ce qui est nouveau, c'est le niveau de scrutiny auquel cette responsabilité est désormais soumise. Les autorités de régulation attendent des conseils d'administration qu'ils soient en mesure de démontrer comment ils supervisent le risque de conformité. Les investisseurs attendent des informations sur la gouvernance qui aillent au-delà de simples déclarations de principe. Les tribunaux et les autorités chargées de l'application de la loi s'intéressent de plus en plus au comportement du conseil d'administration lorsqu'ils évaluent si une organisation a pris ses obligations de conformité au sérieux. 

Dans ce contexte, la question pour les administrateurs n'est plus de savoir s'ils sont responsables de la supervision de la conformité – ils le sont. La question est de savoir comment s'y prendre efficacement : comment s'assurer que le système fonctionne, où se situent les risques et quelles questions poser lorsque les rapports sont présentés. Un système certifié de gestion de la conformité, fondé sur la norme ISO 37301, constitue l'un des moyens les plus concrets d'apporter une réponse à ces questions. 

Quelles sont les attentes réelles vis-à-vis des conseils d'administration ? 

La tendance est la même dans toutes les juridictions. Les conseils d'administration sont censés donner le ton en matière de conformité, garantir des ressources suffisantes, superviser la fonction de conformité, évaluer son efficacité et prendre les mesures qui s'imposent. Les détails varient : le Code britannique de gouvernance d'entreprise, les critères d'évaluation du ministère américain de la Justice pour les programmes de conformité des entreprises, le régime français Sapin II, le code singapourien de gouvernance d'entreprise et bien d'autres encore expriment tous, à des degrés divers, la même attente. 

Aucun de ces cadres ne dicte au conseil d'administration la manière de s'y prendre. Ils décrivent ce à quoi doit ressembler une bonne pratique, sans préciser les modalités. C'est là qu'intervient la norme ISO 37301. 

Ce dont les conseils d'administration ont réellement besoin – et comment l'obtenir 

Les conseils d'administration n'ont pas besoin de connaître en détail le fonctionnement d'un système de gestion de la conformité. Ils doivent savoir qu'il repose sur une structure de gouvernance solide : des lignes hiérarchiques clairement définies, des preuves d'efficacité, une assurance indépendante et un langage commun à l'ensemble de l'organisation. La norme ISO 37301 intègre chacun de ces éléments dès sa conception. 

Une ligne hiérarchique bien définie 

La norme exige la mise en place d'une fonction de conformité ayant un accès direct à la direction générale et à l'organe de gouvernance. Elle impose des rôles clairement définis, des compétences documentées et un système de reporting régulier au conseil d'administration. Pour les administrateurs qui ont eu du mal à obtenir des rapports de conformité cohérents, comparables et communiqués en temps opportun, cette structure constitue une avancée significative. 

Des preuves d'efficacité, et pas seulement d'activité 

Les rapports de conformité décrivent souvent les actions menées : formations dispensées, politiques mises à jour, enquêtes clôturées. Or, il ne faut pas confondre activité et efficacité. La norme ISO 37301 exige un suivi des résultats, un audit interne du système lui-même et un examen par la direction visant à déterminer si le système est performant. Le conseil d'administration reçoit des informations permettant de savoir si la conformité est efficace, et pas seulement si les responsables de la conformité sont occupés. 

Assurance indépendante 

Une certification indépendante délivrée par un organisme tiers apporte au conseil d'administration la confirmation externe que le système de gestion de la conformité répond à une norme internationale. Il ne s'agit pas d'un avis sur chacune des décisions prises par l'organisation en matière de conformité, mais d'une preuve indépendante attestant que le système qui sous-tend ces décisions est structuré, contrôlé et amélioré. Pour les administrateurs chargés d'approuver les déclarations relatives à la gouvernance, cette preuve revêt une grande importance. 

Un langage commun à l'ensemble de l'organisation 

Dans les grandes organisations ou celles de structure complexe, le conseil d'administration reçoit souvent des rapports sur la conformité qui varient selon les différents services de l'entreprise. La norme ISO 37301 impose une structure commune – un vocabulaire unique pour le contexte, les risques, les contrôles, le suivi et l'amélioration –, utilisé de manière cohérente, quelle que soit l'unité opérationnelle ou la juridiction qui établit le rapport. Il en résulte des informations que le conseil d'administration peut réellement comparer et sur lesquelles il peut se fonder pour agir. 

Les cinq questions auxquelles tout directeur devrait pouvoir répondre 

En général, les dirigeants doivent être en mesure de répondre à un petit nombre de questions relatives à la conformité – celles qui comptent lorsqu'un organisme de réglementation, un investisseur ou un auditeur les pose. Un système de gestion de la conformité certifié correspond presque parfaitement à ces questions. 

Savons-nous à quelles exigences nous devons nous conformer ? La norme ISO 37301 impose la mise en place d'un processus systématique visant à identifier et à documenter les obligations de conformité. Le conseil d'administration dispose d'une réponse défendable. 

Avons-nous identifié les sources de risque ? La norme exige une évaluation des risques qui établisse un lien entre les obligations et les activités, les processus et les juridictions concernés. Le conseil d'administration sait quels risques l'organisation a jugé prioritaires et pourquoi. 

Avons-nous mis en place les contrôles adéquats ? La norme exige des contrôles proportionnés aux risques identifiés, dont la responsabilité et le suivi doivent être documentés. Le conseil d'administration peut poser des questions sur des contrôles spécifiques et obtenir des réponses. 

Comment savons-nous que cela fonctionne ? La norme exige un suivi des performances, un audit interne, un examen par la direction et une amélioration continue. Le conseil d'administration reçoit des données sur les résultats, et pas seulement des descriptions des processus. 

Que se passe-t-il en cas de problème ? La norme exige la mise en place de procédures pour la gestion des non-conformités, les mesures correctives et les enseignements tirés. Le conseil d'administration souhaite un système conçu pour absorber les défaillances et y faire face, et non un système qui fait comme si celles-ci n'existaient pas. 

Pour les administrateurs, cette discussion est plus utile que celle que la plupart des conseils d'administration mènent actuellement au sujet de la conformité. 

Ce qu'une certification ne peut pas apporter au conseil d'administration 

Cela ne décharge pas les administrateurs de leurs obligations en matière de conformité. La certification atteste de l'existence d'un système bien géré, mais ne constitue pas un bouclier contre la responsabilité personnelle. Un conseil d'administration qui adopte la norme ISO 37301 puis se désengage du contrôle de la conformité passe à côté de l'essentiel – et risque de constater que les autorités de régulation ou les tribunaux ne sont pas impressionnés. 

Elle ne réduit pas non plus la conformité à une simple formalité administrative. La norme exige un contrôle de fond, et non un respect formel de la norme elle-même. Les conseils d'administration qui considèrent la norme ISO 37301 comme une simple formalité administrative plutôt que comme un outil de gouvernance n'en tirent que peu de bénéfices. Ceux qui l'utilisent comme un moyen structuré de poser de meilleures questions en tirent en revanche un grand profit. 

Le rôle du conseil d'administration 

La norme ISO 37301 s'adresse explicitement aux instances de gouvernance. La direction générale est tenue de faire preuve d'engagement, de garantir les ressources nécessaires, d'intégrer la conformité dans les processus opérationnels et de rendre compte à l'instance de gouvernance. Cette dernière, quant à elle, est chargée d'assurer la supervision. La norme n'exige pas du conseil d'administration qu'il effectue lui-même le travail de conformité, mais qu'il supervise les activités menées à cet effet. 

Concrètement, cela implique trois choses pour les administrateurs. Premièrement, assurez-vous que la fonction de conformité dispose de la structure, des ressources et des pouvoirs nécessaires. Deuxièmement, impliquez-vous dans le processus d'examen par la direction : posez des questions, remettez en question les hypothèses, assurez le suivi des conclusions. Troisièmement, considérez les rapports de conformité comme des documents à lire attentivement, et non comme des informations à accepter sans réserve. 

L'angle stratégique 

Au-delà de la gestion des risques, la norme ISO 37301 comporte une dimension stratégique qui est souvent moins mise en avant qu'elle ne le mérite. La maturité en matière de conformité constitue de plus en plus un atout commercial. Les clients privilégient les partenaires sur lesquels ils peuvent compter. Les investisseurs tiennent compte du risque lié à la gouvernance. Les régulateurs récompensent les systèmes crédibles. Les talents préfèrent les organisations qui prennent leurs obligations au sérieux. 

Les conseils d'administration qui considèrent la norme ISO 37301 comme une simple question de coûts passent à côté de l'essentiel. Ceux qui l'intègrent dans la manière dont l'organisation crée et préserve sa valeur au fil du temps en tirent davantage profit – et dirigent généralement des organisations pour lesquelles la mise en conformité est plus facile qu'autrement. 

En résumé

La surveillance de la conformité est une responsabilité que les conseils d'administration ne peuvent déléguer – et qui fait l'objet d'une attention croissante d'année en année. Un système certifié de gestion de la conformité, fondé sur la norme ISO 37301, offre aux administrateurs un cadre structuré et reconnu à l'échelle internationale pour s'acquitter de cette responsabilité. Il ne s'agit ni d'une stratégie, ni d'un substitut à l'engagement. Mais pour les conseils d'administration qui cherchent une réponse crédible à la question « comment savoir si notre programme de conformité fonctionne ? », c'est l'outil le plus pratique actuellement disponible. 

Vous envisagez de mettre en place la norme ISO 37301 au sein de votre organisation ? Speeki certifie les organisations selon la norme ISO 37301 et dispense des formations aux conseils d'administration, aux équipes de conformité et aux auditeurs internes via Speeki Executive Education

Contactez-nous pour discuter de la certification ou de la formation.

Scott Lane
Précédent

Une conformité qui résiste : ce qu'un système doit faire lorsqu'il est mis à l'épreuve 
Suivant

À quoi cela ressemble-t-il ? Mettre en place un programme de gouvernance environnementale pour un examen rigoureux, à la hauteur d'un écocide