Vous souhaitez assurer la prise en charge de votre veille réglementaire et la mesure de votre conformité ? Prenez rendez-vous avec l'un de nos experts.
Prendre rendez-vousQu’est-ce qu’un audit de conformité réglementaire ?
Distinguer veille réglementaire et audit de conformité réglementaire
Il est important d’opérer une distinction entre les notions de veille réglementaire et d’évaluation de la conformité. Les deux termes « exigences réglementaires et autres exigences » et « évaluation de la conformité », utilisés notamment dans les normes ISO mais aussi dans d’autres référentiels, répondent effectivement à deux principes différents bien que nécessairement complémentaires.
Le processus de veille réglementaire vise à identifier les exigences réglementaires applicables à un organisme à un instant T, mais également de s’informer de l’entrée en vigueur de nouvelles réglementations ou de leur changement. L’évaluation de la conformité, par la réalisation d’un audit de conformité réglementaire, n’intervient qu’après l'identification de l’ensemble de ces exigences réglementaires.
La distinction entre les deux notions est importante dans le cadre de l’organisation du système de management, au sein duquel le processus de veille réglementaire constitue une donnée d’entrée (les exigences) tandis que le processus d’évaluation de conformité va fournir une donnée de sortie : le niveau de conformité.
Quels sont les objectifs de l’audit de conformité réglementaire ?
L’audit de conformité réglementaire peut être défini comme un outil d’évaluation de la conformité d’un site par rapport aux exigences réglementaires qui lui sont applicables. Ces exigences peuvent être européennes, nationales mais également plus locales (conventions de rejet, PLU, etc.).
Il vise ainsi à déterminer le niveau de conformité d’une entreprise, collectivité ou association à la réglementation qui s’applique à ses activités et installations, selon un périmètre préalablement choisi (Santé-Sécurité au Travail, Environnement, énergie, Sécurité Informatique, etc.).
Ses objectifs sont :
- Mesurer l’écart entre ce qui est attendu (obligations légales) et ce qui est constaté (pratiques de l’entreprise)
- En cas de non-conformité, mettre en œuvre les actions correctives nécessaires
- Être en capacité de prendre les décisions nécessaires à la maitrise des risques, liées aux obligations réglementaires
Sur le long terme, le processus d’évaluation de la conformité réglementaire présente de nombreux bénéfices pour l’entreprise. Il lui permet notamment de mieux gérer et piloter ses activités en fonction de l’axe réglementaire, duquel elle ne peut se soustraire face aux enjeux financiers, aux exigences de ses clients, aux organismes de contrôle ou tribunaux, dans certains cas.
Quels sont les contextes possibles de l’audit de conformité réglementaire ?
Le choix de conduire un audit de conformité réglementaire peut résulter de contextes différents :
- Volonté de la direction d’établir et connaître le niveau de conformité de l’entreprise pour maitriser ses risques;
- Création d’une nouvelle structure nécessitant la validation en dimensionnement du projet technique, organisationnel et immobilier ;
- Vente/rachat d’une entreprise dont la valeur peut varier en fonction de son niveau de conformité à la réglementation (Due Diligence) ;
- Nécessite d’évaluer sa conformité en raison de la mise en place d’une norme ou d’un référentiel : de nombreuses normes fixent en effet l’obligation à toute entreprise certifiée (ou en cours de certification) de mesurer son niveau de conformité sur les thématiques de la norme pour concourir à l’amélioration du système de management.
- Détection préalable d’un risque réglementaire voire d’une non-conformité dans le cadre d’une inspection ou d'un accident ou pollution.
Notre équipe d'experts juridiques et d’auditeurs met à votre service une application complète pour votre veille et audit réglementaire ainsi qu'un accompagnement sur-mesure.
Découvrir la solutionComment réaliser un audit de conformité réglementaire ?
Constituer son profil réglementaire
Avant de conduire l’audit, l’organisme doit créer sa liste de textes applicables en fonction de ses activités, de la nature des produits utilisés sur site, du nombre de salariés, des équipements utilisés, etc.
Ce profil réglementaire doit contenir l’ensemble des références en vigueur, législatives et réglementaires applicables. Chaque référence faisant état d’une ou plusieurs exigences. Le profil réglementaire constitue donc à la fois :
- Le résultat de la veille réglementaire : l’ensemble des textes applicables doivent y être répertoriés ;
- Le support de l’audit réglementaire : pour faciliter la conduite de l’audit, chaque texte doit être « découpé » en grille d’audit, par exemple sous format Excel ou grâce à un outil de veille réglementaire dédié.
Notez-le : en pratique, il est important que le processus de veille réglementaire et d’évaluation de la conformité soient liés. Cela permet d’assurer que l’audit réglementaire soit conduit sur un profil réglementaire à jour et dont les références sont toujours en vigueur.
Conduire l’audit de conformité réglementaire
Pour la conduite de l’audit de conformité, l’organisme peut choisir soit d’utiliser ses ressources internes (désigner un ou plusieurs responsables d’audit) soit de déléguer l’audit à un prestataire extérieur proposant ce type de prestations.
Une fois le profil réglementaire établi, il s’agit alors d’évaluer pour chaque exigence son état de conformité (conforme ou non-conforme). Ce travail doit être effectué avec sérieux. Seule une telle approche peut effectivement permettre d’aboutir à un niveau de conformité représentatif de la réalité.
En ce sens, faire appel à un prestataire extérieur peut représenter une plus-value pour l’entreprise dans le sens où il s’agit d’une personne indépendante et externe à l’entreprise et dès lors apte à faire preuve de davantage de rigueur dans l’évaluation de la conformité (par exemple : en demandant des éléments de justification).
Définir et hiérarchiser les actions correctives
Pour chaque non-conformité identifiée, une ou plusieurs actions correctives doivent être définies pour répondre à l'obligation ou exigence. Le choix de son délai de mise en œuvre dépendra de plusieurs facteurs et besoins:
- financiers;
- ressources humaines;
- axes stratégiques et pilotage/gouvernance ;
- niveau de risque encouru par les salariés (intégrité physique et mentale) ou impacts sur l’environnement ;
- niveau de risque de sanctions administratives, pénales ou de ruptures assurantielles.
En particulier lors du premier audit réglementaire, le nombre de non-conformités peut être important. Ainsi et pour faciliter la mise en conformité, il est aussi souhaitable de hiérarchiser les actions selon une grille préalablement définie contenant les critères de gravité d’une non-conformité (exemples : enjeux pénaux/assurantiels, impacts sur l’environnement, etc.).
Les actions doivent être reportées dans un plan d’actions spécifique ou générique. La méthode du « PDCA » (Plan – Do – Check – Act) doit être privilégiée pour mettre en place et suivre l’avancement des actions correctives dans le cadre du système de management.
Synthétiser et établir des graphiques
Afin de pouvoir définir le niveau de conformité de l’entreprise, il est nécessaire de regrouper l’ensemble des données collectées sous forme de synthèse et de graphiques. L’objectif étant de mettre en évidence le nombre d’exigences pour lesquelles l’organisme est conforme ou non-conforme, au regard du nombre total d’exigences contenues dans le profil réglementaire.
Ces outils doivent permettre de suivre la mise en conformité de l’entreprise et faciliteront la communication entre le(s) responsable(s) de la conduite de l’audit réglementaire et la direction ou tout autre service concerné, les non-conformités majeures devant être bien identifiées.
La conduite d’un audit réglementaire constitue un travail exigeant de longue haleine et il est parfois difficile de ne pas ressentir l’ampleur de la tâche. Le suivi de la progression du niveau de conformité d'année en année, grâce à des données graphiques, par exemple, peuvent permettre également de valoriser les efforts de l’organisation en identifiant les non-conformités passées conformes dans l’année.
Toutes les astuces pour réaliser un bon rapport d’audit de conformité réglementaire
Comment préparer son audit au mieux ?
Le secret d'un bon rapport d'audit, c'est une bonne préparation de ses supports et des sujets abordés.
Avant de conduire son audit, les exigences réglementaires applicables seront rattachées par services ou activités de l'entreprise, afin de pouvoir programmer à l'avance les moments de questionnement ou d'observations avec les personnes les plus "sachantes".
Lors de sa conduite, la recherche systématique de preuves factuelles pour trancher entre la conformité ou la non conformité est indispensable. Un statut intermédiaire peut aussi être utilisé en cas de réponse ou de preuve non satisfaisante: le statut "à vérifier". Il déclenchera aussi une action (comme une non-conformité) pour collecter l'information nécessaire au choix du statut de l'exigence.
Comment réaliser un audit de conformité réglementaire ?
L’audit réglementaire HSE peut être réalisé en interne, par exemple par le responsable QSE, ou par un prestataire extérieur. En fonction du nombre de références réglementaires applicables, un temps plus ou moins long peut être nécessaire pour sa réalisation.
Avant de conduire l’audit, l’organisme doit d’abord s'assurer que sa liste de textes applicables est à jour des dernières évolutions réglementaires et cohérente en fonction d'éventuels changements de ses activités, de la nature des produits utilisés, du nombre de salariés, des équipements utilisés, etc.
Une fois le profil réglementaire validé, il s’agit d’évaluer pour chaque exigence son application ou état de conformité (conforme ou non-conforme). Ce travail doit être effectué avec sérieux, sur la base de constats factuels effectués in situ ou sur la base de documents en lien avec les exigences évaluées. Seule une telle approche peut effectivement permettre d’aboutir à un niveau de conformité représentatif de la réalité.
Quel style rédactionnel adopter pour le rapport ?
Une fois l’audit terminé, un rapport d’audit de conformité réglementaire peut être idéalement rédigé. Il s’agit d’un document essentiel qui formalise les résultats de l’audit et doit permettre à la direction de cerner rapidement les principaux écarts rencontrés et les axes d’amélioration nécessaires, gradués selon leur niveau de risque ou de gravité. Les pourcentages de références conformes ou non conformes, ainsi que le plan d'actions, relatifs aux non-conformités détectées, peuvent être des éléments suffisants dans le cadre d'une certification ISO (informations documentées, au sens des normes ISO).
Pour remplir pleinement son rôle, il est important que le rapport d’audit respecte certaines règles, comme pour tout autre type d'audit :
- Adopter un ton neutre et impartial : il ne s’agit pas de critiquer ou de louer les bons résultats, mais plutôt de constater des faits ;
- Être synthétique : pour viser l'efficacité de la lecture du rapport, il est important d’être concis et d’éviter les formulations évasives ;
- Privilégier le contenu « utile » : l’entreprise doit pouvoir utiliser directement les résultats du rapport pour définir ses actions ;
- Vulgariser : il est préférable d’éviter les termes trop techniques ou juridiques afin de le rendre le contenu compréhensible par des personnes non-expertes.
Comment structurer un rapport d’audit de conformité réglementaire ?
Il n’existe pas de structure imposée pour la rédaction d’un rapport d’audit de conformité réglementaire. Toutefois, une structuration en trois parties est généralement privilégiée (cf. schéma ci-dessous) présentant successivement le contexte, les résultats de l’audit et enfin les pistes de progrès.
Pourquoi rédiger un rapport d’audit de conformité réglementaire ?
La rédaction d’un rapport d’audit réglementaire permet d’officialiser ses résultats.
Premièrement, il s’agit d’un support de communication important qui doit permettre d’informer la direction comme à tout autre service concerné, de façon synthétique et aisément compréhensible, des non-conformités détectées lors de l’audit et des pistes de progrès souhaitables devant être mises en place. L'existence d'un plan d'actions sera bien le garant d'un suivi formel des corrections apportées.
Deuxièmement, dans le cadre d'un système de management certifié (HSE, Energie, sécurité sanitaire des aliments, sécurité informatique, ...), ce rapport fait partie des informations documentées fixées par les normes ISO. Pour chaque année de suivi, ces données seront donc conservées et permettront de nourrir les analyses conduites au moment de la revue annuelle ou de direction sur ce chapitre "Veille et conformité réglementaires".
Quelles sont les principales étapes de l'évaluation de la conformité réglementaire ?
Les principales étapes de l'évaluation de la conformité réglementaires sont :
- L'identification de la réglementation applicable (constitution du profil réglementaire) ;
- La préparation des supports d'audit par services ou responsables d'activité ( questionnaires, planning d'audit)
- La mesure de l’état de conformité de l'entreprise pour chaque exigence réglementaire (conduite de l’audit réglementaire) ;
- La définition d’une ou plusieurs actions correctives pour chaque non-conformité identifiée.
FAQ : Assurer sa conformité réglementaire
Qu’est-ce qu’un audit de conformité réglementaire ?
L’évaluation de la conformité réglementaire, par la réalisation d’un audit de conformité, n’intervient qu’après l'identification de l’ensemble de ces exigences réglementaires applicables. La distinction avec la notion de veille réglementaire est importante dans le cadre de l’organisation du système de management, au sein duquel le processus de veille constitue une donnée d’entrée (les exigences réglementaires) tandis que le processus d’évaluation de conformité va fournir une donnée de sortie : le niveau de conformité.
Comment réaliser un audit de conformité réglementaire ?
Avant de conduire l’audit, l’organisme doit d’abord créer ou valider sa liste de textes applicables en fonction de ses activités, de la nature des produits utilisés, du nombre de salariés, des équipements utilisés, etc. Une fois le profil réglementaire établi, il s’agit d’évaluer pour chaque exigence son application ou état de conformité (conforme ou non-conforme). Ce travail doit être effectué avec sérieux, sur la base de constats factuels effectués in situ ou sur la base de documents en lien avec les exigences évaluées. Seule une telle approche peut effectivement permettre d’aboutir à un niveau de conformité représentative de la réalité.
Quelles sont les principales étapes de l'évaluation de la conformité réglementaire ?
Les principales étapes de l'évaluation de la conformité réglementaire sont : - L'identification de la réglementation applicable (constitution du profil réglementaire) ; - La préparation des supports d'audit par services ou responsables d'activité (questionnaires, planning d'audit) - L'évaluation de l’état de conformité de l'entreprise pour chaque exigence réglementaire (conduite de l’audit réglementaire) ; - La définition d’une ou plusieurs actions correctives pour chaque non-conformité identifiée.