Introduction

En novembre 2009, la nouvelle norme internationale ISO 31000 en management des risques

fut publie avant dtre rapidement adopte en norme franaise par lAFNOR sous NF ISO 31000 :2010

4. Cette norme propose des principes et des lignes directrices du management des

risques ainsi que les processus de mise en uvre au niveau stratgique et oprationnel.

Domaine d'application

Le but de la norme ISO 31000:2009 est de sappliquer et de sadapter "tout public, toute entreprise publique ou prive, toute collectivit, toute association, tout groupe ou individu."

5

Il ne sagit en aucun cas duniformiser les pratiques, ni de crer un systme de management parallle. Au contraire, la norme ISO 31000 propose un rfrentiel unique pour les

organisations de tout secteur et de toute taille. Elle est adaptable et suffisamment flexible pour

harmoniser les processus de management de tous les types de risques faisant peser une

incertitude sur latteinte des objectifs de lentreprise.

Lapproche propose par la norme ISO 31000 permet de formaliser les pratiques de management des risques, tout en permettant aux entreprises de mettre en place un cadre ERM

(enterprise risk management) vitant ainsi une approche de management des risques par

silos 6.

Nouvelle dfinition du mot risque

La nouvelle dfinition abandonne la vision de lingnieur ( le risque est la combinaison de probabilit dvnement et de sa consquence ) pour coupler les risques aux objectifs de lorganisation : le risque est leffet de lincertitude sur les objectifs 7

Puisque la norme ISO 31000 vise devenir le rfrentiel unique en matire de management

des risques, le Centre Europen de Normalisation a rpertori environ 60 standards en relation

avec le mot risque . Il sagit dune non-conformit en qualit, dune pollution en environnement, dune dfaillance dun quipement, dune intoxication ou d'une atteinte corporelle en matire de scurit des personnes, mais aussi dun rendement en finance ou dune opportunit pour le manager dentreprise. Cest pourquoi, une rvision de l'ISO Guide 73 Vocabulaire du management du risque a t mene paralllement aux dveloppements de lISO 31000 afin de faciliter les discussions entre professionnels des risques (tous secteurs confondus).

Les 11 principes du management des risques

1 - Le management des risques cre de la valeur et la prserve.

Le management des risques contribue de faon tangible l'atteinte des objectifs et

l'amlioration des performances de lorganisation, travers la rvision de son systme de management et de ses processus.

2 - Le management des risques est intgr aux processus dorganisation.

Le management des risques doit tre intgre dans le systme de management existant

tant au niveau stratgique quau niveau oprationnel.

3 - Le management des risques est intgr aux processus de prise de dcision.

Le management des risques est une aide la dcision pour faire des choix arguments,

pour dfinir des priorits et pour slectionner les actions les plus approprie

4 - Le management des risques traite explicitement de l'incertitude.

En identifiant les risques potentiels, lorganisation peut mettre en place des outils de rduction et de financement des risques dans le but de maximaliser les chances de

succs et minimiser les possibilits de pertes.

5 - Le management des risques est systmatique, structur et utilis en temps utile .

Les processus du management des risques devraient tre cohrents travers

lorganisation afin dassurer lefficacit, la pertinence, la cohrence et la fiabilit des rsultats.

6 - Le management des risques s'appuie sur la meilleure information disponible.

Pour un management des risques efficace, il est important de considrer et de

comprendre toutes les informations disponibles et pertinentes pour une activit, tout en

reconnaissant les limites des donnes et des modles utiliss

7 - Le management des risques est adapt.

Le management des risques dune organisation doit tre adapt en fonction des ressources disponibles ressources de personnel, de finance et de temps ainsi quen fonction de son environnement interne et externe

8 - Le management des risques intgre les facteurs humains et culturels .

Le management des risques doit reconnaitre la contribution des personnes et des

facteurs culturels la ralisation des objectifs de l'organisation.

9 - Le management des risques est transparent et participatif.

En impliquant les parties prenantes, internes et externes, lors des processus de

management des risques, lorganisation reconnait limportance de la communication et de la consultation lors des tapes didentification, dvaluation et de traitement des risques.

10 - Le management des risques est dynamique, itratif et ractif au changement .

Le management des risques doit tre flexible. Lenvironnement concurrentiel oblige lorganisation sadapter au contexte interne et externe, spcialement lorsque de nouveaux risques apparaissent, lorsque certains risques sont modifis, tandis que

d'autres disparaissent.

11 - Le management des risques facilite l'amlioration continue de l'organisation.

Les organisations possdant une maturit en matire de management des risques sont

celles qui investissent long terme et qui dmontrent la ralisation rgulire de ses

objectifs.

Structure de la norme ISO 31000

Structure de la norme ISO 31000 en management des risques, 2008.

La norme est structure en trois parties, savoir les principes, le cadre dorganisation et le processus de management (voir schma) :

Les principes rpondent la question pourquoi fait-on du management des risques. Le

processus dintgration de ces principes se fait ensuite deux niveaux : le niveau dcisionnel et le niveau oprationnel.

Le cadre dorganisation explique comment intgrer, via le processus itratif de la roue de Deming (Plan-Do-Check-Act), le management des risques dans la stratgie de

lorganisation (conduite stratgique). Le processus de management prcise comment intgrer le management des risques au

niveau oprationnel de la stratgie de lorganisation (conduite oprationnel). Ce processus itratif est bien connu des risk-manager (voir schma).

Dvelopper le management global des risques ou ERM

(enterprise risk management)

Le Standard propose une approche pour dvelopper un cadre permettant aux entreprises

d'intgrer le management des risques. Le point dentre est daligner les objectifs de lorganisation, la politique de management des risques et les responsabilits lgales et contractuelles. Le cadre du management des risques doit tre intgr dans les processus de

dcisions et dorganisation de toutes les activits de lentreprise, en veillant aux contextes internes et externes, aux responsabilits de chacun et aux ressources disponibles au niveau

stratgique et oprationnel.

1 - Objectifs stratgiques.

Le Direction Gnrale et son comit excutif est responsable des dcisions

stratgiques de lentreprise. Son approche, gnralement long terme, dcrit sa vision du management des risques et les objectifs globaux atteindre.

2 - Objectifs oprationnels.

Gnralement, les cadres suprieurs ont la responsabilit de dployer les objectifs

stratgiques gnraux en des plans dorganisation pour raliser des rsultats. Les plans dvelopps ce niveau pour chaque business unit dfinissent les rsultats atteindre.

3 - Objectifs de production.

De mme, les cadres ont la responsabilit de dvelopper des plans oprationnels plus

spcifiques avec des rsultats court terme atteindre. Ces plans prescrivent en dtail

comment les rsultats des processus ou les activits de lentreprise seront mis en place et raliss.

Certification

ISO 31000 na pas vocation servir de base une certification. Ce sont des orientations utiles l'laboration et la ralisation des programmes d'audit internes ou externes, ainsi qu'

l'valuation des pratiques en matire de management du risque.