ISO 31000

Introduction En novembre 2009, 2009, la nouvelle norme internationale ISO internationale  ISO 31000 en 31000 en management des risques fut publiée avant d’être rapidement adoptée en norme française par l’AFNOR sous NF ISO 31000 :2010 4. Cette norme propose des principes et des lignes directrices du management des risques ainsi que les processus de mise en œuvre au niveau stratégique et opérationnel.

Domaine d'application Le but de la norme ISO 31000:2009 est de s’appliquer et de s’adapter à " tout public, toute entreprise publique ou privée, toute collectivité, toute association, tout groupe ou individu. "5 Il ne s’agit en aucun cas d’uniformiser les pratiques, ni de créer un système s ystème de management  parallèle. Au contraire, la norme ISO 31000 propose propose un référentiel unique pour les organisations de tout secteur et de toute taille. Elle est adaptable et suffisamment flexible pour harmoniser les processus de management de tous les types de risques faisant peser une incertitude sur l’atteinte des objectifs de l’entreprise. L’approche proposée par la norme ISO 31000 permet de formaliser les pratiques de management des risques, tout en permettant aux entreprises de mettre en place un cadre ERM (enterprise risk management) management) évitant ainsi une approche de management des risques par 6 « silos » .

Nouvelle définition du mot risque La nouvelle définition abandonne la vision de l’ingénieur (« ( « le risque est la l a combinaison de  probabilité d’évènement et de sa conséquence » conséquence »)) pour coupler les risques aux objectifs de l’organisation : l’organisation : « le risque est l’effet de l’incertitude sur l es es objectifs » 7 Puisque la norme ISO 31000 vise à devenir le référentiel unique en matiè re de management des risques, le Centre Européen de Normalisation a réper torié environ 60 standards en relation avec le mot « risque ». Il s’agit d’une nonnon -conformité en qualité, d’une pollution en environnement, d’une défaillance d’un équipement, d’une intoxicati on ou d'une atteinte corporelle en matière de sécurité des personnes, mais aussi d’un r endement endement en finance ou d’une opportunité pour le manager d’entreprise. C’est pourquoi, une révision de l'ISO Guide 73 –  73 –  Vocabulaire  Vocabulaire du management du risque –  risque  –  a  a été menée parallèlement aux développements de l’ISO 31000 afin de faciliter les discussions entr e professionnels des risques (tous secteurs confondus).

Les 11 principes du management des risques 1 - Le - Le management des risques crée de la valeur et la préserve. préserve. Le management des risques contribue de façon tangible à l 'atteinte des objectifs et à l'amélioration l'amélioration des performances de l’organisation, à travers la révision de son système de management et de ses processus. 2 - Le - Le management des risques est intégré aux processus d’organisation d’organisation..

Le management des risques doit être intégrée dans le système de management existant tant au niveau stratégique qu’au niveau opérationnel. 3 - Le management des risques est intégré aux processus de prise de décision. Le management des risques est une aide à la décision pour faire des choix argumentés,  pour définir des priorités et pour sélectionner les actions les plus appropriée 4 - Le management des risques traite explicitement de l'incertitude. En identifiant les risques potentiels, l’organisation peut mettre en place des outils de réduction et de financement des risques dans le but de maximaliser les chances de succès et minimiser les possibilités de pertes. 5 - Le management des risques est systématique, structuré et utilisé en temps utile . Les processus du management des risques devraient être cohérents à travers l’organisation afin d’assurer l’efficacité, la pertinence, la cohérence et la fiabilité des résultats. 6 - Le management des risques s'appuie sur la meilleure information disponible. Pour un management des risques efficace, il est important de considérer et de comprendre toutes les informations disponibles et pertinentes pour une activité, tout en reconnaissant les limites des données et des modèles utilisés 7 - Le management des risques est adapté. Le management des risques d’une organisation doit être adapté en fonction des ressources disponibles –  ressources de personnel, de finance et de temps – ainsi qu’en fonction de son environnement interne et externe 8 - Le management des risques intègre les facteurs humains et culturels . Le management des risques doit reconnaitre la contribution des personnes et des facteurs culturels à la réalisation des objectifs de l'organisation. 9 - Le management des risques est transparent et participatif . En impliquant les parties prenantes, internes et externes, lors des processus de management des risques, l’organisation reconnait l’importance de la communication et de la consultation lors des étapes d’identification, d’évaluation et de traitement des risques. 10 - Le management des risques est dynamique, itératif et réactif au changement  . Le management des risques doit être flexible. L’environnement concurrentiel oblige l’organisation à s’adapter au contexte interne et externe, spécialement lorsque de nouveaux risques apparaissent, lorsque certains risques sont modifiés, tandis que d'autres disparaissent.

11 - Le management des risques facilite l'amélioration continue de l'organisation. Les organisations possédant une maturité en matière de management des risques sont celles qui investissent à long terme et qui démontrent la réalisation régulière de ses objectifs.

Structure de la norme ISO 31000

Structure de la norme ISO 31000 en management des risques, 2008. La norme est structurée en trois parties, à savoir les principes, le cadre d’organisation et le  processus de management (voir schéma) : 





Les principes répondent à la question pourquoi fait-on du management des risques. Le  processus d’intégration de ces principes se fait ensuite à deux niveaux : le niveau décisionnel et le niveau opérationnel. Le cadre d’organisation explique comment intégrer, via le processus itératif de la roue de Deming (Plan-Do-Check-Act), le management des risques dans la stratégie de l’organisation (conduite stratégique). Le processus de management  précise comment intégrer le management des risques au niveau opérationnel de la stratégie de l’organisation (conduite opérationnel). Ce  processus itératif est bien connu des risk-manager (voir schéma).

Développer le management global des risques ou ERM (enterprise risk management) Le Standard propose une approche pour développer un cadre permettant aux entreprises d'intégrer le management des risques. Le point d’entrée est d’aligner les objectifs de l’organisation, la politique de management des risques et les responsabilités légales et contractuelles. Le cadre du management des risques doit être intégré dans les processus de décisions et d’organisation de toutes les activités de l’entreprise, en veillant aux contextes internes et externes, aux responsabilités de chacun et aux ressources disponibles au niveau stratégique et opérationnel. 1 - Objectifs stratégiques. Le Direction Générale et son comité exécutif est responsable des décisions stratégiques de l’entreprise. Son approche, généralement à long terme, décr it sa vision du management des risques et les objectifs globaux à atteindre. 2 - Objectifs opérationnels.

Généralement, les cadres supérieurs ont la responsabilité de déployer les objectifs stratégiques généraux en des plans d’organisation pour réaliser des résultats. Les plans développés à ce niveau pour chaque business unit définissent les résultats à atteindre. 3 - Objectifs de production. De même, les cadres ont la responsabilité de développer des plans opérationnels plus spécifiques avec des résultats à court terme à atteindre. Ces plans prescrivent en détail comment les résultats des processus ou les activités de l’entreprise ser ont mis en place et réalisés.

Certification  ISO 31000 n’a pas vocation à servir de base à une certification. Ce sont des orientations utiles à l'élaboration et à la réalisation des programmes d'audit internes ou externes, a insi qu'à l'évaluation des pratiques en matière de management du risque.