ISO 31000

ISO 31000 désigne une famille de normes de gestion des risques codifiés par l'Organisation internationale de normalisation. Le but de la norme ISO 31000 est de fournir des principes et des lignes directrices du management des risques ainsi que les processus de mise en œuvre au niveau stratégique et opérationnel. Elle ne vise pas à promouvoir l'uniformisation du management du risque au sein des organismes, mais plutôt à harmoniser la myriade d’approches, de standards et de méthodologies existantes en matière de management des risques.

Actuellement, la famille ISO 31000 comprend :

ISO 31000:2018 – Management du risque — Principes et lignes directrices^[1]
ISO/CEI 31010:2009 - Gestion des risques — Techniques d'évaluation des risques^[2]
ISO Guide 73:2009 - Management du risque — Vocabulaire^[3]

Introduction[modifier | modifier le code]

En novembre 2009, la norme internationale ISO 31000 en management des risques est publiée avant d’être rapidement transposée en norme française par l’AFNOR sous la référence NF ISO 31000:2018^[4]. Cette norme propose des principes et des lignes directrices pour le management des risques ainsi que pour la mise en place de processus de mise en œuvre aux niveaux stratégique et opérationnel.

Domaine d'application[modifier | modifier le code]

Le but de la norme ISO 31000:2018 est de s’appliquer et de s’adapter à « tout public, toute entreprise publique ou privée, toute collectivité, toute association, tout groupe ou individu^[5]. »

Il ne s’agit pas d’uniformiser les pratiques, ni de créer un système de management parallèle. Au contraire, la norme ISO 31000, quoiqu'elle propose un référentiel unique, est adaptable et flexible.

L’approche proposée consiste à formaliser les pratiques de management des risques, tout en permettant aux entreprises de mettre en place un cadre ERM (enterprise risk management) évitant ainsi une approche de management des risques par « silos »^[6].

Nouvelle définition du mot risque[modifier | modifier le code]

La nouvelle définition abandonne la vision de l’ingénieur (« le risque est la combinaison de probabilité d’évènement et de sa conséquence ») pour relier les risques aux objectifs de l’organisation : « Le risque est l’effet de l’incertitude sur l'atteinte des objectifs^[7]. »

Le Centre Européen de Normalisation a répertorié environ 60 standards en relation avec le mot « risque ». Il s’agit d’une « non-conformité » en qualité, d’une « pollution » en environnement, d’une « défaillance » d’un équipement, d’une « intoxication » ou d'une « atteinte corporelle » en matière de sécurité des personnes, mais aussi d’un « rendement » en finance ou d’une « opportunité » pour le manager d’entreprise. C’est pourquoi une révision de l'« ISO Guide 73 – Vocabulaire du management du risque » a été menée parallèlement afin de faciliter les discussions entre professionnels des risques, tous secteurs confondus.

Les 11 principes du management des risques[modifier | modifier le code]

1 - Le management des risques crée de la valeur et la préserve.

Le management des risques contribue de façon tangible à l'atteinte des objectifs et à l'amélioration des performances de l’organisation, à travers la révision de son système de management et de ses processus.

2 - Le management des risques est intégré aux processus d’organisation.

Le management des risques doit être intégrée dans le système de management existant tant au niveau stratégique qu’au niveau opérationnel.

3 - Le management des risques est intégré aux processus de prise de décision.

Le management des risques est une aide à la décision pour faire des choix argumentés, pour définir des priorités et pour sélectionner les actions les plus appropriées

4 - Le management des risques traite explicitement de l'incertitude.

En identifiant les risques potentiels, l’organisation peut mettre en place des outils de réduction et de financement des risques dans le but de maximaliser les chances de succès et minimiser les possibilités de pertes.

5 - Le management des risques est systématique, structuré et utilisé en temps utile.

Les processus du management des risques devraient être cohérents à travers l’organisation afin d’assurer l’efficacité, la pertinence, la cohérence et la fiabilité des résultats.

6 - Le management des risques s'appuie sur la meilleure information disponible.

Pour un management des risques efficace, il est important de considérer et de comprendre toutes les informations disponibles et pertinentes pour une activité, tout en reconnaissant les limites des données et des modèles utilisés

7 - Le management des risques est adapté.

Le management des risques d’une organisation doit être adapté en fonction des ressources disponibles – ressources de personnel, de finance et de temps – ainsi qu’en fonction de son environnement interne et externe

8 - Le management des risques intègre les facteurs humains et culturels .

Le management des risques doit reconnaître la contribution des personnes et des facteurs culturels à la réalisation des objectifs de l'organisation.

9 - Le management des risques est transparent et participatif.

En impliquant les parties prenantes, internes et externes, lors des processus de management des risques, l’organisation reconnaît l’importance de la communication et de la consultation lors des étapes d’identification, d’évaluation et de traitement des risques.

10 - Le management des risques est dynamique, itératif et réactif au changement.

Le management des risques doit être flexible. L’environnement concurrentiel oblige l’organisation à s’adapter au contexte interne et externe, spécialement lorsque de nouveaux risques apparaissent, lorsque certains risques sont modifiés, tandis que d'autres disparaissent.

11 - Le management des risques facilite l'amélioration continue de l'organisation.

Les organisations possédant une maturité en matière de management des risques sont celles qui investissent à long terme et qui démontrent la réalisation régulière de ses objectifs.

Structure de la norme ISO 31000[modifier | modifier le code]

Structure de la norme ISO 31000 en management des risques, 2008.

La norme est structurée en trois parties, à savoir les principes, le cadre d’organisation et le processus de management (voir schéma) :

Les principes répondent à la question pourquoi fait-on du management des risques. Le processus d’intégration de ces principes se fait ensuite à deux niveaux : le niveau décisionnel et le niveau opérationnel.
Le cadre d’organisation explique comment intégrer, via le processus itératif de la roue de Deming (Plan-Do-Check-Act), le management des risques dans la stratégie de l’organisation (conduite stratégique).
Le processus de management précise comment intégrer le management des risques au niveau opérationnel.

Développer le management global des risques ou ERM[modifier | modifier le code]

Article détaillé : Enterprise risk management.

La norme propose une approche pour développer un cadre permettant aux entreprises d'intégrer le management des risques. Le point d’entrée est d’aligner les objectifs de l’organisation, la politique de management des risques et les responsabilités légales et contractuelles. Le cadre du management des risques doit être intégré dans les processus de décisions et d’organisation de toutes les activités de l’entreprise, en veillant aux contextes internes et externes, aux responsabilités de chacun et aux ressources disponibles au niveau stratégique et opérationnel.

1 - Objectifs stratégiques

La Direction Générale et son comité exécutif sont responsables des décisions stratégiques de l’entreprise. L'approche, généralement à long terme, décrit sa vision du management des risques et les objectifs globaux à atteindre.

2 - Objectifs opérationnels

Généralement, les cadres supérieurs ont la responsabilité de déployer les objectifs stratégiques généraux en des plans d’organisation pour obtenir des résultats. Les plans développés à ce niveau pour chaque business unit définissent les résultats à atteindre.

3 - Objectifs de production

De même, les cadres ont la responsabilité de développer des plans opérationnels plus spécifiques avec des résultats à court terme à atteindre. Ces plans prescrivent en détail comment les résultats des processus ou des activités de l’entreprise seront mis en place et réalisés.

Certification[modifier | modifier le code]

L'ISO 31000 n'est pas une norme certifiable. Il s’agit d'orientations utiles à l'élaboration et à la réalisation des programmes d'audit internes ou externes, ainsi qu'à l'évaluation des pratiques en matière de management du risque.

Historique[modifier | modifier le code]

2009 : 1^re édition.
2018 : 2^e édition.

Références[modifier | modifier le code]

↑ Référence officielle ISO 31000 – Management du risque — Principes et lignes directrices [1]
↑ Référence officielle ISO/CEI 31010:2009 - Gestion des risques - Techniques d'évaluation des risques [2]
↑ Référence officielle ISO Guide 73:2009 - Management du risque — Vocabulaire [3]
↑ Référence officielle française AFNOR NF ISO 31000 :2018 [4]
↑ ISO 31000 catalogue http://www.iso.org/iso/catalogue_detail.htm?csnumber=43170
↑ Article ISO 31000 - The Gold Standard, Alex Dali and Christopher Lajtha, Strategic Risk, September 2009 [5]
↑ ISO Guide 73: Risk Management - Vocabulary [6]

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]

Portail du droit

[1] Référence officielle ISO 31000 – Management du risque — Principes et lignes directrices [1]

[2] Référence officielle ISO/CEI 31010:2009 - Gestion des risques - Techniques d'évaluation des risques [2]

[3] Référence officielle ISO Guide 73:2009 - Management du risque — Vocabulaire [3]

[4] Référence officielle française AFNOR NF ISO 31000 :2018 [4]

[5] ISO 31000 catalogue http://www.iso.org/iso/catalogue_detail.htm?csnumber=43170

[6] Article ISO 31000 - The Gold Standard, Alex Dali and Christopher Lajtha, Strategic Risk, September 2009 [5]

[7] ISO Guide 73: Risk Management - Vocabulary [6]

[1]

[2]

[3]

[4]

[5]

[6]

[7]