ISO 37301 — Wikipédia
La norme ISO 37301[1] système de management de la conformité (compliance management systems) est une norme de système de management adoptée en par l'organisation internationale de normalisation ISO.
Historique
[modifier | modifier le code]La normalisation en matière de conformité n'est pas nouvelle.
Elle a commencé dès 1998 avec une norme australienne (AS 3806 – Compliance Programme).
Elle a ensuite été portée au sein de l'ISO ce qui lui a permis d'obtenir un statut de norme internationale en 2014 avec l'adoption de la norme ISO 19600. La norme ISO 37301 constitue une nouvelle étape importante, puisqu'elle propose des exigences et non plus uniquement des lignes directrices. Elle devient ainsi certifiable.
Cette norme est géré par le comité ISO/TC 309 de l'organisation ISO dédié aux normes relatives à la gouvernance à la conformité (ISO 37001 système de management anticorruption, ISO 37002 système de management des alertes, etc.).
À noter que la norme ISO 19600 a été supprimée avec la création de l'ISO 37301.
Contenu
[modifier | modifier le code]Norme de système de management
[modifier | modifier le code]Cette norme suit la structure HLS (High Level Structure) applicable aux normes de systèmes de management depuis 2015.
Le document est ainsi structuré en dix sections :
- Domaines d'application ;
- Références normatives ;
- Termes et définitions ;
- Contexte de l'organisme ;
- Leadership ;
- Planification ;
- Support ;
- Réalisation des activités opérationnelles ;
- Évaluation des performances ;
- Amélioration.
La traduction de « compliance » est (Mise/Maintien en) conformité. Il s'agit de l'exécution de toutes les obligations de conformité (exigences auxquelles un organisme doit obligatoirement se conformer, ainsi que celles auxquelles un organisme choisit volontairement de se conformer) dont l’organisme est tenu de respecter
Le principe général est d'identifier, sur la base d'une analyse détaillée de son contexte — reposant sur la cartographie des risques de conformité et l'analyse des attentes des parties intéressées — et de sa veille réglementaire, des objectifs adaptés. Devront ensuite être mis à disposition le support nécessaire (en termes de moyens, sensibilisation, formation, communication…), des procédures opérationnelles adaptées, une documentation appropriée du système ainsi qu'une évaluation de la performance.
Cette approche dite de système de management permet d'appréhender cette norme de façon indépendante ou intégrée avec d'autres système de management - tels que la qualité ou relevant du domaine de la conformité tels que les systèmes de management anticorruption. Une approche intégrée suppose la réalisation de revues de direction intégrées.
Particularités
[modifier | modifier le code]La norme prévoit en particulier :
- la nomination d'un responsable conformité ayant un accès directe à la direction et à la gouvernance de l'organisme ;
- le déploiement d'une culture conformité ;
- l'implication du management (y compris du « middle management ») en matière de conformité ;
- la mise à disposition d'un système d'alerte ;
- la possibilité de mener des investigations.
À noter que cette norme est très peu prescriptive en termes de contenu. C'est à chaque organisme de déterminer en fonction de ses particularités (secteurs d'activités, implantations, organisations, etc.), les enjeux conformité qui lui sont propres. Ainsi la norme ne spécifie rien en matière de gestion des entités sous contrôle, de due diligence ou encore des thématiques précises à aborder.
Principaux thèmes
[modifier | modifier le code]Si la norme ne décrit pas les sujets conformité qui doivent être couverts, les thématiques les plus fréquentes sont les suivantes : lutte contre la blanchiment et le financement du terrorisme, anticorruption, antitrust ou encore sanctions internationales. Certains associent également les aspects des droits humains et de toutes spécificités propre à leurs secteurs d'activités (relations avec les healthcare professionnals, protection des consommateurs, etc.).
Différentes sources externes proposent des définitions de la compliance. À noter désormais la première publication d'un Code de la Compliance en France[2].
Organismes de certification
[modifier | modifier le code]À ce jour[Quand ?], deux organismes de certification en France ont été identifiés comme proposant la certification selon la norme ISO 37301 :
Organismes certifiés
[modifier | modifier le code]Considérant la date d'adoption de la norme, la liste des organismes certifiés reste à construire. À date[Quand ?] une seule mention a été trouvée dans les sources publiques, celle du cabinet d'ingénierie néerlandais Royal HaskoningDHV[5].
Notes et références
[modifier | modifier le code]- « Site internet ISO », sur www.iso.org
- Ouvrage collectif - Code, Code de la Compliance, Paris, Dalloz, , 2483 p.
- « Référence à la certification ISO 37301 »
- « Référence certification ISO37001 »
- Royal HaskoningDHV