La conformité signifie "l'adhésion aux règles" - quel que soit le type de règle et qui l'établit. En cas de violation, la direction de l'entreprise est directement responsable. Les organisations doivent donc décider si elles doivent mettre en œuvre un système de management de la conformité (SMC) interentreprises pour garantir le respect des règles. Mais les choses ne s'arrêtent pas là. Comment vérifier l'efficacité d'un CMS ?
En ce qui concerne le management de la conformité dans les petites et moyennes entreprises (PME), la conception et l'application d'un système de management de la conformité (SMC) peuvent à première vue apparaître comme une charge économique chronophage pour toute entreprise. Cependant, si l'on regarde plus en profondeur, on trouve des perspectives intéressantes : soutenue par l'organe de direction, mais aussi par un examen de l'adéquation et de l'efficacité du CMS par des auditeurs internes et externes, la culture de la conformité se développe durablement et ouvre la possibilité d'accroître le succès de l'entreprise et donc d'augmenter sa valeur.
Quelles sont les principales motivations pour la mise en place d'un CMS ?
La majorité des PME considèrent la prévention de la responsabilité et la prévention de la corruption comme les principales raisons de la mise en place d'un CMS. Cependant, les exigences des partenaires commerciaux et la protection de la réputation prennent de plus en plus d'importance. La corruption, les infractions au droit de la concurrence et la protection des données figurent régulièrement en tête de liste des questions de conformité pertinentes. Les normes sociales et de travail au sein de l'entreprise constituent également des questions importantes.
D'autre part, les PME craignent la charge supplémentaire pour l'organisation associée à la conformité, sous la forme de ce que l'on appelle la bureaucratie de la conformité. Une approche raisonnable pour les PME devra donc différer sensiblement de celle des grandes entreprises.
Identifier les risques
Tout d'abord, il est important que l'entreprise clarifie ses risques de conformité individuels au moyen d'une analyse des risques. Ce n'est que dans ces domaines de risques importants identifiés que les réglementations et les comportements existants doivent ensuite être examinés et, si nécessaire, complétés. Par exemple : les entreprises peuvent d'abord examiner si les sous-domaines critiques de l'entreprise (par exemple, la protection des données dans les ressources humaines) ou les types individuels de conformité sont couverts, par exemple, le respect des obligations légales en matière de santé et de sécurité au travail. En d'autres termes : Les mesures de conformité sont finalement raisonnables et nécessaires si elles se fondent précisément sur cette évaluation des risques.
Management de la conformité dans les PME : Normes pertinentes
Publiée en avril 2021, la première norme à mentionner ici est bien sûr la norme ISO 37301:2021-04. Cette norme formule des exigences pour les systèmes de management de la conformité avec des lignes directrices pour l'application. Cette norme est disponible auprès de Beuth. Entre-temps, l'ISO 19600:2016-12 (Systèmes de management de la conformité - Lignes directrices) a été retirée.
La norme ISO 31000:2018-10 est également intéressante du point de vue de l'orientation vers le risque. La norme définit des lignes directrices pour traiter les risques auxquels les entreprises sont confrontées. La norme est disponible auprès de Beuth.
Des audits pour garantir l'efficacité ?
En particulier en raison du devoir de management des représentants légaux, un audit d'efficacité continu doit être placé à côté du CMS proprement dit. La raison en est la jurisprudence. En effet, la direction doit remplir deux tâches dans le cadre de son devoir de surveillance : D'une part, elle doit contrôler les mesures établies dans l'entreprise pour assurer la conformité. D'autre part, elle doit contrôler de manière critique leur efficacité - et ce régulièrement, et pas seulement de manière ponctuelle. Cette obligation s'applique aux membres du conseil d'administration des sociétés anonymes ainsi qu'aux directeurs généraux des sociétés à responsabilité limitée.
"L'examen de l'efficacité du CMS par un tiers indépendant est la preuve objective que les obligations de surveillance sont remplies."
La surveillance a pour but de s'assurer que les principes mis en œuvre (directives comportementales, politiques, etc.) et les mesures (formation, contrôles, etc.) du CMS conviennent pour prévenir, entraver de manière significative ou détecter à temps les violations des règles telles que définies par le CMS. L'efficacité du CMS peut être vérifiée par des contrôles internes et externes :
- Contrôle de l'efficacité par des contrôles internes : Le contrôle qui est interne au système est appelé "contrôle interne". Ce contrôle est une composante essentielle d'un CMS, que l'on peut également qualifier de management de la qualité (MQ). La MQ comprend ainsi toutes les mesures qui contribuent en préparation, en accompagnement et en aval à créer ou à maintenir une qualité préalablement définie du CMS.
- Contrôle de l'efficacité par des contrôles externes : Le contrôle externe au système est appelé "examen" ou "audit". Dans cette forme de contrôle, l'entité de contrôle est indépendante du système et ne participe pas à la réalisation de son état réel. Il y a ici un avantage en termes d'indépendance. Le CMS est contrôlé par des auditeurs externes (par exemple des avocats, des auditeurs, des certificateurs accrédités tels que DQS ou d'autres experts externes).
Whitepaper
ISO 45001 - Sécurité et conformité du lieu de travail
- Quatre différences importantes entre BS OHSAS et ISO 45001
- Une conformité ciblée sur des sujets pertinents pour la SST
- Que faire en cas de non-conformité ?
- Sept étapes pour mettre en œuvre la norme ISO 45001
Examens réguliers - Bien planifiés
Pour garantir l'efficacité des révisions indépendantes du système, les intervalles doivent être bien planifiés. Une révision peut être utile chaque fois qu'un CMS est nouvellement mis en œuvre. En outre, les audits externes devraient être répétés régulièrement tous les trois à cinq ans. Des examens occasionnels sont effectués après que des violations de la conformité ont été identifiées. Cependant, même avec un CMS établi, il devient de plus en plus évident que les audits réguliers sont considérés comme obligatoires de facto. Outre les contrôles liés aux processus, la conception, l'adéquation et l'efficacité des CMS devraient être régulièrement examinées et des audits ou certifications de systèmes indépendants devraient idéalement avoir lieu une fois par an et au moins tous les trois ans.
Avantages des audits de conformité
En ce qui concerne le management de la conformité dans les PME, on peut généralement attendre des audits de conformité la valeur ajoutée suivante :
- Optimisation des processus existants
- Perception des faiblesses du CMS
- Augmentation de l'efficience et de l'efficacité du CMS
- Introduction de normes modernes
- Mise en place d'une culture de la conformité
- Augmentation de la compétitivité
- Sécurité pour l'activité opérationnelle
- Assurer le succès durable de l'entreprise
- Augmentation de la valeur de l'entreprise
Le bon auditeur - Le critère de décision le plus important :
Les audits d'efficacité de la CMS impliquent des exigences multidisciplinaires.Par conséquent, l'expertise professionnelle de l'auditeur doit passer en premier.→ Par exemple, l'auditeur doit avoir des connaissances juridiques et commerciales pertinentes ainsi qu'une expérience du secteur . → L'indépendance de l'auditeur doit être garantie (indépendance dans les faits mais aussi vis-à-vis du public indépendance en apparence).→ Enfin, il est important que l'audit jouisse d'une grande réputation sur le marché.→ Un exemple de normes d'audit et de certification établies est, par exemple, la norme d'audit IDW "Principes d'audit approprié des systèmes de management de la conformité" (IDW PS 980).→ Les résultats des audits externes du CMS peuvent être utilisés pour "certifier" un CMS audité. Le certificat à délivrer représente la preuve externe de la conformité aux exigences définies pour le CMS. Il définit la période de validité et le champ d'application du certificat, l'objet cible et la procédure d'audit (sujet, type et portée de l'audit), ainsi que les exigences en matière d'indépendance et de compétence de l'organisme d'audit ("accréditation").
En savoir plus sur les audits de conformité de DQS
- Analyse valide des risques de conformité dans votre entreprise
- Respect systématique des dispositions légales
- Réduction efficace des risques de responsabilité
- Amélioration de l'image de l'entreprise
Conclusion
La gestion d'un système de management de la conformité efficace et économique peut également être soutenue et développée par un audit externe. L'auditeur aide la direction de l'entreprise à établir et à consolider la culture de conformité.
La condition préalable est la sélection consciencieuse de l'expert externe. Avec ses possibilités de comparaison supérieures, son expérience d'autres entreprises et sa vision des choses en tant que tiers neutre, il doit pouvoir représenter un partenaire de discussion précieux. Il est également important de choisir un ensemble de règles appropriées comme base pour les audits externes.
DQS : Simply leveraging Quality.
En tant que certificateur internationalement reconnu pour les systèmes et processus de management, DQS effectue plus de 30 000 jours d'audit par an. Notre affirmation commence là où les listes de contrôle d'audit se terminent : Prenez-nous au mot ! Nous sommes impatients de vous parler et serons heureux de vous montrer sur quoi reposent la performance et la qualité de nos audits, à savoir :
- Des auditeurs compétents, intègres et expérimentés dans le secteur
- Des solutions sur mesure, adaptées à votre organisation et à votre système de management
- Une identification ciblée des faiblesses et des risques potentiels
- Des résultats objectifs et compréhensibles et des aides à la décision substantielles
- Des certificats reconnus au niveau international et très bien acceptés par le marché
- Le suivi des résultats des audits/analyses, y compris le contrôle de l'efficacité des mesures prises
- Le développement individuel et la création de catalogues de critères et de systèmes d'évaluation
Avez-vous des questions ?
Contactez-nous - sans engagement et gratuitement.
Bulletin d'information DQS
Viola Beecken
Viola Beecken est auditrice et conseillère fiscale avec son propre bureau à Hambourg, en Allemagne, ainsi qu'auditrice de DQS pour la norme d'audit IDW PS 980 "Principes d'un audit correct des systèmes de management de la conformité". En outre, elle est active dans le domaine des systèmes d'assurance qualité pour les auditeurs ("Peer Review") et les consultants fiscaux (ISO 9000:2015).