Gouvernance, risque et conformité: les normes à maîtriser
Les normes ISO sont de véritables atouts pour les entreprises et organisations de tous secteurs et de toutes tailles. Elles ont pour objectif de définir un ensemble de méthodes et de pratiques communes qui sont évaluées et certifiées dans différents domaines. Quelles sont les normes à maîtriser en matière de gouvernance, gestion des risques, continuité et conformité ?
Continuité : la norme ISO 22301
Les entreprises ou organisations doivent parfois faire face à des sinistres (cyberattaque, incendie, etc.) qui peuvent mettre à mal la structure et les relations avec ses clients. C'est pour pallier ce problème que la norme ISO 22301 a été créée. Il s'agit d'une norme de système de management de la continuité d'activité qui accompagne les organismes dans leurs enjeux commerciaux et opérationnels. Elle a été conçue pour permettre de se protéger contre les perturbations, diminuer la probabilité de leur survenance, s'y préparer, et lorsqu'elles se produisent, d'y répondre et de s'en remettre.
La norme est applicable à tous les organismes sans aucune distinction de taille, de secteur ou d'activité. Les organisations qui possèdent un système de management de la continuité d'activité efficace ont la capacité de détecter les menaces, d'estimer leurs impacts sur leurs activités et de les prévenir. Avec la norme pour la continuité des activités ISO 22301, ces organismes peuvent réagir de façon rapide et efficace en accord avec les procédures qui sont appliquées avant, pendant et après la survenue de l'évènement.
Mettre en œuvre un plan de continuité d'activité au sein de votre entreprise ou organisation signifie que vous êtes suffisamment préparé à l'imprévu. Même si un incident perturbateur survenait, l'organisme continuera à fonctionner normalement et elle ne subira aucun impact ou perte considérable.
Gouvernance, risque et conformité
La gouvernance, la gestion des risques et la conformité (GRC) constituent des piliers indissociables grâce auxquels les organismes peuvent réussir à atteindre leurs différents objectifs. Différentes normes sont applicables dans ces trois domaines.
La norme ISO 31000
L'ISO 31000 est la norme établie pour le management des risques en entreprise ou dans d'autres organisations que celles-ci soient privées ou publiques. Elle donne aux organismes les lignes directrices pour une gestion efficace de toute forme de risques. Il s'agit d'une norme reconnue à l'international qui est utilisée pour la gestion des risques au niveau de l'entreprise ou de l'organisation. Elle sert également pour la gestion des risques aux niveaux opérationnels et stratégiques dans le fonctionnement quotidien ou dans les projets.
Elle a pour objectif de préserver la valeur des organismes et de leur permettre de développer des stratégies efficaces pour optimiser leur performance. La norme ISO 31000 est applicable à tous les organismes indépendamment de leur taille, de leur type et de leur nature. Les organisations qui l'appliquent ont plus de chance d'atteindre leurs objectifs. Elles sont également en mesure de mieux identifier les menaces, ainsi que les opportunités et utiliser de manière efficace les ressources pour la gestion des risques.
La norme ISO 37001
La confiance et la transparence sont deux éléments fondamentaux sur lesquels repose la crédibilité d'une organisation. C'est en cela que la norme internationale ISO 37001 est incontournable pour les entreprises et autres organisations équitables qui ne veulent pas entacher leur image par la corruption. Elle précise les exigences pour élaborer, mettre en œuvre, mettre à jour et l'amélioration d'un SMAC (système de management anticorruption). Les organisations qui ont recours à cette norme peuvent prévenir, identifier et faire face à tous problèmes en lien avec la corruption. Pour y arriver, elles procèdent à :
- la mise en œuvre d'une politique de lutte contre les actes de corruption,
- la sélection d'une personne qui s'occupera de superviser la conformité aux mesures de lutte contre la corruption,
- l'évaluation des risques,
- l'élaboration de procédures d'enquête et de signalement,
- la réalisation de contrôles commerciaux et financiers.
Les exigences prévues par cette norme sont applicables aux organisations de tous types et de toutes tailles.
La norme ISO 37301
La norme ISO 37301 concerne les systèmes de management de la conformité (SMC). Elle définit les exigences et donne les lignes directrices pour l'établissement, le développement, l'analyse, la tenue à jour et l'amélioration continue d'un SMC au sein d'un organisme. En réalité, le SMC donne aux organismes, une approche structurée. Cela leur permet de répondre aux exigences auxquelles elles ont pour obligation de se conformer et celles avec lesquelles ont choisi de manière volontaire de s'accorder.
Le SMC s'appuie sur les principes de bonne gouvernance, d'intégrité, de transparence, de responsabilité, de proportionnalité et de durabilité. L'ISO 37301 est applicable à toutes les organisations, quels que soient leur taille, leur secteur et la nature de leurs activités.
Le RGPD
Texte réglementaire européen, le règlement général sur la protection des données (RGPD) est entré en application depuis le 25 mai 2018. Ce règlement a rapport à la protection des personnes physiques en ce qui concerne le traitement des données personnelles et à leur libre circulation. Le RGPD concerne toutes les organisations indépendamment de leur taille, de leur activité, de leur secteur (public ou privé) et de leur pays d'implantation.
Ce règlement s'applique ainsi aux organismes qui traitent des données à caractères personnels et qui sont établis sur le territoire de l'UE ou dont l'activité vise les résidents européens. Les sous-traitants, qui effectuent le traitement des données à caractères personnel pour le compte d'autres entreprises ou organisations, sont également concernés par le RGPD.