ISO 37301

La norme ISO 37301[1] système de management de la conformité (compliance management systems) est une norme de système de management adoptée en avril 2021 par l'organisation internationale de normalisation ISO.

Historique

La normalisation en matière de conformité n'est pas nouvelle.

Elle a commencé dès 1998 avec une norme australienne (AS 3806 – Compliance Programme).

Elle a ensuite été portée au sein de l'ISO ce qui lui a permis d'obtenir un statut de norme internationale en 2014 avec l'adoption de la norme ISO 19600. La norme ISO 37301 constitue une nouvelle étape importante, puisqu'elle propose des exigences et non plus uniquement des lignes directrices. Elle devient ainsi certifiable.

Cette norme est géré par le Comité ISO/TC 309 de l'organisation ISO dédié aux normes relatives à la gouvernance à la conformité (ISO 37001 système de management anticorruption, ISO 37002 système de management des alertes etc.).

A noter que la norme ISO 19600 a été supprimée avec la création de l'ISO 37301.

Contenu

Norme de système de management

Cette norme suit la structure HLS (High Level Structure) applicable aux normes de systèmes de management depuis 2015.

Le document est ainsi structuré en 10 sections :

  1. domaines d'application
  2. références normatives
  3. termes et définitions
  4. contexte de l'organisme
  5. leadership
  6. planification
  7. support
  8. réalisation des activités opérationnelles
  9. évaluation des performances
  10. amélioration

La traduction de "compliance" est (Mise/Maintien en) Conformité. Il s'agit de l'exécution de toutes les obligations de conformité (exigences auxquelles un organisme doit obligatoirement se conformer, ainsi que celles auxquelles un organisme choisit volontairement de se conformer) dont l’organisme est tenu de respecter

Le principe général est d'identifier, sur la base d'une analyse détaillée de son contexte - reposant sur la cartographie des risques de conformité et l'analyse des attentes des parties intéressées - et de sa veille réglementaire, des objectifs adaptés. Devront ensuite être mis à disposition le support nécessaire (en termes de moyens, sensibilisation, formation, communication...); des procédures opérationnelles adaptées ; une documentation appropriée du système ainsi qu'une évaluation de la performance.

Cette approche dite de système de management permet d'appréhender cette norme de façon indépendante ou intégrée avec d'autres système de management - tels que la qualité ou relevant du domaine de la conformité tels que les systèmes de management anticorruption. Une approche intégrée suppose la réalisation de revues de direction intégrées.

Particularités

La norme prévoit en particulier :

  • la nomination d'un responsable conformité ayant un accès directe à la direction et à la gouvernance de l'organisme;
  • le déploiement d'une culture conformité;
  • l'implication du management (y compris du middle management) en matière de conformité;
  • la mise à disposition d'un système d'alerte; ou encore,
  • la possibilité de mener des investigations.

A noter que cette norme est très peu prescriptive en termes de contenu. C'est à chaque organisme de déterminer en fonction de ses particularités (secteurs d'activités, implantations, organisations etc.), les enjeux conformité qui lui sont propres. Ainsi la norme ne spécifie rien en matière de gestion des entités sous contrôle, de due diligence ou encore des thématiques précises à aborder.

Principaux thèmes

Si la norme ne décrit pas les sujets conformité qui doivent être couverts, les thématiques les plus fréquentes sont les suivantes : lutte contre la blanchiment et le financement du terrorisme, anticorruption, antitrust ou encore sanctions internationales. Certains associent également les aspects droits humains et toutes spécificités propre à leurs secteurs d'activités (relations avec les healthcare professionnals, protection des consommateurs etc.).

Différentes sources externes proposent des définitions de la compliance. A noter désormais la première publication d'un Code de la Compliance en France.[2]

Organismes de certification

A date, deux organismes de certification en France ont été identifiés comme proposant la certification selon la norme ISO 37301 :

  • EuroCompliance[3]
  • ETHIC Intelligence[4]

Organismes certifiés

Considérant la date d'adoption de la norme, la liste des organismes certifiés reste à construire. A date[Quand ?] une seule mention a été trouvée dans les sources publiques, celle du cabinet d'ingénierie néerlandais Royal HaskoningDHV[5].

Notes et références

  1. « Site internet ISO », sur www.iso.org
  2. Ouvrage collectif - Code, Code de la Compliance, Paris, Dalloz, , 2483 p.
  3. « Référence à la certification ISO 37301 »
  4. « Référence certification ISO37001 »
  5. Royal HaskoningDHV
  • Portail du management
Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.