ISO 31000

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

ISO 31000 désigne une famille de normes de gestion des risques codifiés par l’organisme Organisation internationale de normalisation. Le but de la norme ISO 31000:2009 est de fournir des principes et des lignes directrices du management des risques ainsi que les processus de mise en œuvre au niveau stratégique et opérationnel. Elle ne vise pas à promouvoir l'uniformisation du management du risque au sein des organismes, mais plutôt à harmoniser la myriade d’approches, de standards et de méthodologies existantes en matière de management des risques.

Actuellement, la famille ISO 31000 comprend :

  • ISO 31000:2009 – Management du risque — Principes et lignes directrices[1]
  • ISO/IEC 31010:2009 - Gestion des risques - Techniques d'évaluation des risques[2]
  • ISO Guide 73:2009 - Management du risque — Vocabulaire[3]

Introduction[modifier | modifier le code]

En novembre 2009, la nouvelle norme internationale ISO 31000 en management des risques fut publiée avant d’être rapidement adoptée en norme française par l’AFNOR sous NF ISO 31000 :2010 [4]. Cette norme propose des principes et des lignes directrices du management des risques ainsi que les processus de mise en œuvre au niveau stratégique et opérationnel.

Domaine d'application[modifier | modifier le code]

Le but de la norme ISO 31000:2009 est de s’appliquer et de s’adapter à "tout public, toute entreprise publique ou privée, toute collectivité, toute association, tout groupe ou individu."[5] Il ne s’agit en aucun cas d’uniformiser les pratiques, ni de créer un système de management parallèle. Au contraire, la norme ISO 31000 propose un référentiel unique pour les organisations de tout secteur et de toute taille. Elle est adaptable et suffisamment flexible pour harmoniser les processus de management de tous les types de risques faisant peser une incertitude sur l’atteinte des objectifs de l’entreprise.

L’approche proposée par la norme ISO 31000 permet de formaliser les pratiques de management des risques, tout en permettant aux entreprises de mettre en place un cadre ERM (enterprise risk management) évitant ainsi une approche de management des risques par « silos »[6].

Nouvelle définition du mot risque[modifier | modifier le code]

La nouvelle définition abandonne la vision de l’ingénieur (« le risque est la combinaison de probabilité d’évènement et de sa conséquence ») pour coupler les risques aux objectifs de l’organisation : « le risque est l’effet de l’incertitude sur les objectifs » [7]

Puisque la norme ISO 31000 vise à devenir le référentiel unique en matière de management des risques, le Centre Européen de Normalisation a répertorié environ 60 standards en relation avec le mot « risque ». Il s’agit d’une non-conformité en qualité, d’une pollution en environnement, d’une défaillance d’un équipement, d’une intoxication ou d'une atteinte corporelle en matière de sécurité des personnes, mais aussi d’un rendement en finance ou d’une opportunité pour le manager d’entreprise. C’est pourquoi, une révision de l'ISO Guide 73 – Vocabulaire du management du risque – a été menée parallèlement aux développements de l’ISO 31000 afin de faciliter les discussions entre professionnels des risques (tous secteurs confondus).

Les 11 principes du management des risques[modifier | modifier le code]

1 - Le management des risques crée de la valeur et la préserve.

Le management des risques contribue de façon tangible à l'atteinte des objectifs et à l'amélioration des performances de l’organisation, à travers la révision de son système de management et de ses processus.

2 - Le management des risques est intégré aux processus d’organisation.

Le management des risques doit être intégrée dans le système de management existant tant au niveau stratégique qu’au niveau opérationnel.

3 - Le management des risques est intégré aux processus de prise de décision.

Le management des risques est une aide à la décision pour faire des choix argumentés, pour définir des priorités et pour sélectionner les actions les plus appropriée

4 - Le management des risques traite explicitement de l'incertitude.

En identifiant les risques potentiels, l’organisation peut mettre en place des outils de réduction et de financement des risques dans le but de maximaliser les chances de succès et minimiser les possibilités de pertes.

5 - Le management des risques est systématique, structuré et utilisé en temps utile .

Les processus du management des risques devraient être cohérents à travers l’organisation afin d’assurer l’efficacité, la pertinence, la cohérence et la fiabilité des résultats.

6 - Le management des risques s'appuie sur la meilleure information disponible.

Pour un management des risques efficace, il est important de considérer et de comprendre toutes les informations disponibles et pertinentes pour une activité, tout en reconnaissant les limites des données et des modèles utilisés

7 - Le management des risques est adapté.

Le management des risques d’une organisation doit être adapté en fonction des ressources disponibles – ressources de personnel, de finance et de temps – ainsi qu’en fonction de son environnement interne et externe

8 - Le management des risques intègre les facteurs humains et culturels .

Le management des risques doit reconnaitre la contribution des personnes et des facteurs culturels à la réalisation des objectifs de l'organisation.

9 - Le management des risques est transparent et participatif.

En impliquant les parties prenantes, internes et externes, lors des processus de management des risques, l’organisation reconnait l’importance de la communication et de la consultation lors des étapes d’identification, d’évaluation et de traitement des risques.

10 - Le management des risques est dynamique, itératif et réactif au changement .

Le management des risques doit être flexible. L’environnement concurrentiel oblige l’organisation à s’adapter au contexte interne et externe, spécialement lorsque de nouveaux risques apparaissent, lorsque certains risques sont modifiés, tandis que d'autres disparaissent.

11 - Le management des risques facilite l'amélioration continue de l'organisation.

Les organisations possédant une maturité en matière de management des risques sont celles qui investissent à long terme et qui démontrent la réalisation régulière de ses objectifs.

Structure de la norme ISO 31000[modifier | modifier le code]

Structure de la norme ISO 31000 en management des risques, 2008.

La norme est structurée en trois parties, à savoir les principes, le cadre d’organisation et le processus de management (voir schéma) :

  • Les principes répondent à la question pourquoi fait-on du management des risques. Le processus d’intégration de ces principes se fait ensuite à deux niveaux : le niveau décisionnel et le niveau opérationnel.
  • Le cadre d’organisation explique comment intégrer, via le processus itératif de la roue de Deming (Plan-Do-Check-Act), le management des risques dans la stratégie de l’organisation (conduite stratégique).
  • Le processus de management précise comment intégrer le management des risques au niveau opérationnel de la stratégie de l’organisation (conduite opérationnel). Ce processus itératif est bien connu des risk-manager (voir schéma).

Développer le management global des risques ou ERM (enterprise risk management)[modifier | modifier le code]

Le Standard propose une approche pour développer un cadre permettant aux entreprises d'intégrer le management des risques. Le point d’entrée est d’aligner les objectifs de l’organisation, la politique de management des risques et les responsabilités légales et contractuelles. Le cadre du management des risques doit être intégré dans les processus de décisions et d’organisation de toutes les activités de l’entreprise, en veillant aux contextes internes et externes, aux responsabilités de chacun et aux ressources disponibles au niveau stratégique et opérationnel.

1 - Objectifs stratégiques.

Le Direction Générale et son comité exécutif est responsable des décisions stratégiques de l’entreprise. Son approche, généralement à long terme, décrit sa vision du management des risques et les objectifs globaux à atteindre.

2 - Objectifs opérationnels.

Généralement, les cadres supérieurs ont la responsabilité de déployer les objectifs stratégiques généraux en des plans d’organisation pour réaliser des résultats. Les plans développés à ce niveau pour chaque business unit définissent les résultats à atteindre.

3 - Objectifs de production.

De même, les cadres ont la responsabilité de développer des plans opérationnels plus spécifiques avec des résultats à court terme à atteindre. Ces plans prescrivent en détail comment les résultats des processus ou les activités de l’entreprise seront mis en place et réalisés.

Certification[modifier | modifier le code]

ISO 31000 n’a pas vocation à servir de base à une certification. Ce sont des orientations utiles à l'élaboration et à la réalisation des programmes d'audit internes ou externes, ainsi qu'à l'évaluation des pratiques en matière de management du risque.

Références[modifier | modifier le code]

  1. Référence officielle ISO 31000:2009 – Management du risque — Principes et lignes directrices [1]
  2. Référence officielle ISO/IEC 31010:2009 - Gestion des risques - Techniques d'évaluation des risques [2]
  3. Référence officielle ISO Guide 73:2009 - Management du risque — Vocabulaire [3]
  4. Référence officielle française AFNOR NF ISO 31000 :2010 [4]
  5. ISO 31000 catalogue http://www.iso.org/iso/catalogue_detail.htm?csnumber=43170
  6. Article ISO 31000 - The Gold Standard, Alex Dali and Christopher Lajtha, Strategic Risk, September 2009 [5]
  7. ISO Guide 73: Risk Management - Vocabulary [6]

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]