Intéressé?

Souhaitez-vous avoir accès à de l'information pertinente en sécurité au travail, environnement et médecine du travail ?

Nouvelle norme ISO 37301 sur la gestion de la conformité : plus d’attention pour la culture et le comportement

Actualités - 12/07/2021
-
Auteur(s): 
Jan Dillen


La norme ISO 19600 a été récemment remplacée par la norme ISO 37301 « Compliance management system – Requirements with guidance for use ». Cette norme pour la gestion de la conformité est certifiable et basée sur l’Harmonized Structure (HS), anciennement la High Level Structure.

Avec ISO 37301, ISO a élaboré une norme qui vise à faciliter la gestion de la conformité dans une organisation. La conformité est évidemment une exigence minimale dans un système de gestion environnementale selon la norme ISO 14001 ou dans un système de gestion de la sécurité et de la santé selon la norme ISO 45001. Basée sur l’Harmonized Structure HS, la norme ISO 37301 est construite de la même manière que les normes de systèmes de gestion existantes comme ISO 14001 pour la gestion de l’environnement ou ISO 45001 pour la gestion de la sécurité et de la santé.

Exigences des parties prenantes dans la gestion de la conformité

Les obligations de conformité incluent les exigences auxquelles une organisation doit se conformer et celles auxquelles elle choisit de se conformer.
La conformité ne se limite donc pas au respect de la législation et de la réglementation en matière d’environnement, de sécurité et de santé. Les exigences propres de l’organisation et celles des parties prenantes en font également partie. La conformité est dès lors le point de départ de la responsabilité sociétale des entreprises (RSE). La conformité s’inscrit donc bien dans la nouvelle exigence du chapitre 4.2 des normes de systèmes de management : l’organisation doit déterminer quelles exigences et attentes identifiées des parties prenantes seront abordées dans le système de management. Toutes ces exigences font ensuite partie de la conformité qui est visée par le système.

Réflexion basée sur les risques

La réflexion basée sur les risques est également primordiale dans la norme ISO 37301. Selon ce principe, l’organisation donnera la priorité, dans le choix des mesures, aux risques les plus importants en matière de conformité. Dans son propre intérêt, mais aussi dans celui de la société, l’organisation accordera la plus grande attention aux règles dont le non-respect provoque le plus grand impact négatif. L’exigence minimale reste bien entendu la garantie du respect de toutes les exigences.

L’approche basée sur les risques dans la norme ISO 37301 est constituée de trois étapes.

Étape 1 : la définition des obligations de l’organisation en matière de conformité. L’organisation doit identifier les exigences, souhaits et attentes des parties prenantes qu’elle compte accepter et qui deviendront donc ses obligations de conformité (voir nouvelle exigence chapitre 4.2). En ce qui concerne les exigences légales, en matière d’environnement ou de sécurité et de santé, il n’y a pas de choix possible : l’organisation doit s’y conformer dans tous les cas. En ce qui concerne les autres exigences, l’organisation doit définir celles qui sont les plus importantes pour elle et plus spécifiquement les risques encourus en cas de non-respect de ces exigences. Songez aux risques commerciaux de clients mécontents qui vont voir ailleurs ou aux risques pour l’image de marque.

Étape 2 : la définition des risques en matière de conformité. L’organisation identifie les risques de conformité liés aux obligations de conformité : quelle est la probabilité que ces risques se produisent en cas de non-respect, et dans quelle mesure les conséquences sont-elles graves ? Il est logique que l’organisation accorde la plus grande attention aux obligations associées aux risques de conformité les plus élevés. Les conséquences du non-respect peuvent être financières (amendes, perte financière), physiques (dégâts environnementaux, dommages à la santé des travailleurs) ou nuire à l’image de marque (informations négatives dans la presse, motivation des travailleurs en baisse), etc.

Étape 3 : l’analyse des risques de conformité. Ces risques sont-ils importants ou plutôt minimes ? Pour ce faire, l’organisation peut avoir recours à une méthode d’analyse des risques. Ces méthodes sont généralement basées sur les probabilités d’événements indésirables et sur leurs conséquences.

Étape 4 : le choix des mesures de gestion. Le secteur ne souscrit à aucun code de conduite en matière de RSE. Les choix sont donc effectués sur la base d’une évaluation des risques et des risques de conformité. Parallèlement aux mesures, le contrôle du respect des exigences et de l’efficacité des mesures de gestion adoptées sur place est aussi une option. Ces mesures de réduction des risques en matière de conformité peuvent être des mesures « douces » qui portent par exemple sur les compétences, l’attitude ou le comportement. Mais il peut aussi s’agir de mesures « dures » comme des procédures, des protocoles, des codes, etc.



Ces étapes sont dérivées des étapes du processus de gestion des risques selon la norme ISO 31000. L’identification des risques de conformité peut donc aussi bien être intégrée dans la gestion globale des risques d’une organisation. Dans de nombreuses entreprises, la conformité est dès lors confiée au département de gestion des risques.

Comportement et culture


Le respect de la législation et de la réglementation d’une part, et des exigences propres à l’entreprise d’autre part, est indissociable de la culture de conformité. La culture de conformité correspond aux normes et valeurs, aux convictions et comportements qui existent dans une organisation et interagissent avec les structures et systèmes de gestion de cette organisation, pour mettre en place des normes comportementales qui favorisent la conformité.

Le comportement et la culture sont importants, car le respect de la législation, de la réglementation et des codes de conduite est souvent une question de comportement approprié des individus. La fraude, la corruption ou les accords sur les prix sont tous des comportements indésirables des individus. Pour que ceux-ci adoptent le bon comportement, il est important que la culture de l’organisation favorise et récompense ce bon comportement et que les travailleurs soient interpellés en cas de comportement indésirable. Il convient donc d’être attentif aux « hard controls » (procédures, protocoles, systèmes), mais les « soft controls » (compétences, attitude, comportement) méritent eux aussi la plus grande attention.
La valeur ajoutée de la norme existante ISO 37301 est l’attention explicite portée au comportement et à la culture, ainsi que l’approche basée sur les risques afin d’établir les priorités et définir les orientations. ISO 37301 peut aider l’organisation à se recentrer sur les risques en matière de conformité et faire en sorte que la maîtrise de ces risques redevienne l’affaire de tous, car la conformité est une question de comportement, et pas (uniquement) de listes avec des cases à cocher.

ISO 37301 et la relation avec les services d’inspection

ISO 37301 peut servir de base dans la relation entre une organisation et ses services d’inspection de l’environnement et/ou de la sécurité et la santé, à propos de ce qu’on attend d’une organisation en matière de bonne gestion du respect de la législation et de la réglementation. Le caractère « basé sur les risques » peut également s’avérer utile à cet égard. De nombreux services d’inspection appliquent une approche du risque dans le cadre de la surveillance : ils se concentrent sur les organisations dans lesquelles les conséquences et les risques de non-conformité sont les plus grands. Par conséquent, les services d’inspection et les entreprises procèdent à des analyses de risques comparables, et si les conclusions tirées sont différentes, cela permet d’avoir des points de repère pour une concertation ciblée et éventuellement une meilleure compréhension du point de vue de chacun. Idéalement, cela conduit à une approche commune des règles les plus importantes, celles qui font l’objet de la plus grande attention de la part de l’inspection. Plus l’inspection a confiance dans le fait que l’entreprise fixe les bonnes priorités et organise bien le respect, moins le contrôle est nécessaire.
Enfin, l’attention portée à la culture et au comportement dans la norme ISO 37301 peut contribuer positivement à l’attention accordée à ces aspects dans d’autres domaines de management comme la qualité et la sécurité. Ces « soft controls » généraux contribuent à ce que les individus fassent les bonnes choses dans les « hard controls » d’un système.

Conclusion

La nouvelle norme ISO 37301 peut aider les organisations en matière de respect de la législation et de la réglementation. Ce respect dépend fortement de la bonne gouvernance des organisations tant publiques que privées. Parallèlement aux risques de conformité, le comportement et la culture de conformité reçoivent également l’attention qu'ils méritent dans la norme ISO 37301.

ISO


Source:  Quentic Whitepaper