La Norme ISO 31000 en 10 Questions

8/8/2019 La Norme ISO 31000 en 10 Questions

http://slidepdf.com/reader/full/la-norme-iso-31000-en-10-questions 1/19

S HIERSDE LA

É RITÉ IND STRIELLELA NORMEISO 3100010 QUESTIONS

GILLES MOTET

2009-05



L Fondation pour une Culture de Sécurité Industrielle (FonCSI) est une Fondation deRecherche reconnue d’utilité publique par décret en date du 18 avril 2005. Elle a pour

ambitions de :

• contribuer à l’amélioration de la sécurité dans les entreprises industrielles de toutestailles, de tous secteurs d’activité ;

• rechercher, pour une meilleure compréhension mutuelle et en vue de l’élaboration d’uncompromis durable entre les entreprises à risques et la société civile, les conditions et lapratique d’un débat ouvert prenant en compte les di érentes dimensions du risque ;

• favoriser l’acculturation de l’ensemble des acteurs de la société aux problèmes desrisques et de la sécurité.

Pour atteindre ces objectifs, la Fondation favorise le rapprochement entre les chercheurs detoutes disciplines et les di érents partenaires autour de la question de la sécurité industrielle :entreprises, collectivités, organisations syndicales, associations. Elle incite également àdépasser les clivages disciplinaires habituels et à favoriser, pour l’ensemble des questions, lescroisements entre les sciences de l’ingénieur et les sciences humaines et sociales.

Éditeur : Institut pour une Culture de Sécurité IndustrielleAssociation de loi 1901

http://www.icsi-eu.org/

Fondation pour une Culture de Sécurité IndustrielleFondation de Recherche, reconnue d’utilité publique


6 allée Émile Monso – BP 3403831029 Toulouse cedex 4France

Téléphone : +33 (0) 534 32 32 00Fax : +33 (0) 534 32 32 01Courriel : [email protected]







iv



Avant-propos

L société se trouve face à deux objectifs qui semblent a priori contradictoires : développer l’innovation(nouvelles technologies, démarches et organisations, nouveaux produits, procédés et services, etc.) qui est

source intrinsèque de risques, et garantir un haut niveau de sécurité aux citoyens. Pour réconcilier ces objectifs, lesrisques doivent être maîtrisés et les justications de cette maîtrise fournies. De nombreux documents sectorielsproposent des moyens répondant à ces exigences. La nouvelle norme ISO 31000 fournit un cadre général auManagement du risque qui englobe la problématique de la sécurité et l’inscrit au sein des multiples préoccupationsdes organismes et des autres parties prenantes. Elle propose une nouvelle dénition du risque ; elle améliore le

processus de Management du risque ; elle favorise l’intégration du Management du risque dans le système de

Management de l’organisme ; elle introduit des principes qui pilotent les choix des activités de Managementdu risque. Ces apports permettent d’aborder de façon cohérente et explicite de nombreux aspects interférantgénéralement de façon anarchique et implicite dans les activités de Management du risque : multiplicité d’objectifsconictuels, distribution des responsabilités, évaluation de l’ecacité des moyens et de leurs utilisations, etc.

Ce document fournit un éclairage sur cette norme, abordant ses origines et ses apports. Il n’a pas pour ambition d’endétailler le contenu et encore moins d’en proposer des mises en œuvre pratiques.

À propos de l’auteur

G Motet est professeur à l’Institut National des Sciences Appliquées de Toulouse et chercheur au LATTIS

(LAboratoire Toulousain de Technologie et d’Ingénierie des Systèmes). Sa recherche concerne les principes duManagement du risque et leurs applications à la maîtrise des fautes dans les modèles logiciels et les programmes. Ilest co-auteur d’ouvrages parus chez InterEditions, Kluwer et Prentice Hall sur la Sûreté de fonctionnement des

systèmes informatiques . Il assure la Direction Scientique de la Fondation pour une Culture de Sécurité Industrielle

et de l’Institut pour une Culture de Sécurité Industrielle .

Il a participé aux travaux du groupe « Évaluation des risques » de l’AFNOR et a représenté la France dans le groupede travail « Risk management » de l’ISO en charge de la rédaction de la norme ISO 31000 (« Risk Management -Principles and guidelines ») et de la révision du Guide 73 de l’ISO (« Risk Management - Vocabulary »). Il est àl’origine du Master « System Engineering » de l’INSA de Toulouse et du Mastère Spécialisé « Risk Engineering »co-accrédité par l’INSA et l’INP de Toulouse en collaboration étroite avec l’ICSI (cf. le Pôle des Mastères enManagement des risques).

Pour tout commentaire ou remarque permettant d’améliorer ce document, merci d’envoyer un courriel à[email protected] .

v

http://www.lattis.univ-toulouse.fr/~motet/

http://www.insa-toulouse.fr/


http://www.lattis.univ-toulouse.fr/

http://www.afnor.org/

http://www.iso.org/

http://www.pole-masteres-risques.org/





http://www.iso.org/

http://www.afnor.org/

http://www.lattis.univ-toulouse.fr/


http://www.lattis.univ-toulouse.fr/~motet/



vi



Table des matières

Avant-propos v

Q1. Pourquoi une nouvelle norme en Management des risques ? 1

Q2. Qu’est-ce que l’ISO 31000 ? 2

Q3. Pourquoi avoir redéni la notion de risque ? 3

Q4. Quels changements dans le processus de Management du risque ? 4

Q5. Qu’est-ce que le Cadre organisationnel ? 5

Q6. Pourquoi ériger des principes sur le Management du risque ? 6

Q7. À qui cette norme est-elle destinée? 7

Q8. Par qui et comment cette norme a-t-elle été écrite ? 8

Q9. Quels travaux futurs? 9

Q10. L’ISO 31000: une évolution ou une révolution ? 10

Le schéma conceptuel de la norme ISO 31000.

vii



Q u e s t i o n

110

Pourquoi unenouvelle norme en Management des

risques?

I existe de nombreuses normes ou docu-ments métier concernant le Managementdes risques et sa déclinaison dans des do-

maines tels que la sécurité. Cependant, ces

normes sont sectorielles (avionique, ferroviaire,nucléaire, procédés, pharmacie, etc.). De plus,elles concernent souvent des points de vue limi-tés comme des étapes particulières du dévelop-pement de projets (par exemple la conception).D’autres documents traitent de risques a ec-tant des technologies spéciques (par exemplele logiciel ou l’électronique). D’autres, enn,répondent à des sources de dangers ciblées (parexemple, les explosions ou les rayonnementsélectromagnétiques).

Or, la gestion des risques de systèmes socio-techniques complexes comme une installa-tion industrielle ou un développement de projet industriel, nécessite d’aborder la questiondes risques d’un point de vue global. Ainsi,même si chaque domaine a développé des ter-minologies et des techniques d’usage partielet spécique, il existe des problématiques qui

requièrent une approche globale et générique.Par ailleurs, on constate que les ingénieurs

ont parfois une perte de repères lorsqu’ils ap-pliquent les standards sectoriels. Ils peinent àles positionner dans une approche de Manage-ment des risques globale à l’organisme et ainsi

à bien comprendre les apports – mais aussi leslimites – de l’application de ces documents.

La nouvelle norme ISO 31000 a tiré protdes échanges entre des experts internatio-naux issus d’organismes très variés (indus-triels, administrations, ONG, etc.) relevant demultiples secteurs d’activités. Elle favorise laprise en compte des risques par l’ensemblede l’organisme et fournit aux parties prenantes

l’assurance d’une meilleure maîtrise de cesrisques.

L’ISO 31000 est une « norme chapeau » per-mettant d’établir un dialogue entre les sec-teurs d’activité en leur proposant un vocabu-laire et un cadre commun. Cette norme faci-litera également le développement des for-mations dans le domaine de la gestion desrisques qui était jusqu’alors rendu dicile parl’impossibilité de multiplier les présentations depratiques sectorielles.

Gilles Motet L’ISO 31000 en 10 Questions Page 1



Q u e s t i on2

10

Qu’est-ce quel’ISO 31000 ?

L’ ISO 31000 propose une approche géné-rique du Management des risques maisne préconise pas de moyens opération-

nels de mise en œuvre. Cette norme suggèrede bonnes questions pour aborder le sujet

complexe de la gestion des risques et nonde bonnes pratiques pour y répondre. Lesmoyens de mise en œuvre du Managementdes risques sont développés dans les documentsmétiers sectoriels qui ne sont donc pas rendusobsolètes par cette norme. Ils y trouvent aucontraire un vocabulaire et un cadre global pourles situer.

L’ISO 31000 ne concerne pas exclusivement lesgrands groupes industriels ou nanciers ou lesgrandes administrations publiques, mais touttype d’organisme, de tous secteurs et detoutes tailles (entreprise, gouvernement, ONG,individu, etc.). Ses principes stipulent d’ailleursque sa mise en œuvre doit être adaptée auxcaractéristiques de l’organisme (taille, type derisque traité, etc.). Elle n’a donc pas pour butd’uniformiser les pratiques, mais d’harmoniser

les démarches en termes de principes et deprocessus.

L’ISO 31000 fournit tout d’abord une redéni-tion du terme de risque qui permet de prendreen compte explicitement de nombreuses problé-matiques récentes (cf. question 3).

Le processus de Management des risques qu’ellepropose, complète ceux existants en y intégrantpar exemple la prise en compte explicite ducontexte dans lequel le risque est étudié (cf.

question 4).

La norme introduit un second processus appeléCadre organisationnel structurant les activi-tés des organismes pour mettre en place etaméliorer continûment le processus de Ma-

nagement des risques (cf. question 5).

Enn, elle base l’ensemble de ces activitéssur des principes généraux qui doivent régirla structure de ces processus et leur mise enœuvre (cf. question 6).

L’ISO 31000 est structurée en 4 grandes sections :la première dénit le vocabulaire employé dansla norme, la seconde établit les principes , latroisième décrit le cadre organisationnel et laquatrième expose le processus de Management

des risques . Une vue schématique en est fournieà la page vii .




Q u e s t i o n

310

Pourquoi avoirredéfini la notion de

risque?

D de très nombreuses années, leconcept de « risque » a été assimilé à celuide danger . Sa maîtrise était du ressort des

techniciens qui comprenaient les mécanismes, parexemple physico-chimiques, pouvant entrainer desaccidents. L’occurrence des dommages était pré-

venue par des traitements à la source ayant pourbut de réduire ce danger.

Cette approche conduisait implicitement à l’igno-rance totale ou partielle des e ets positifs de l’ac-tivité source du risque. Pour tenir compte de cesapports tout en prévenant les dommages poten-tiels, la dénition du terme « risque » s’est ensuitedéplacée vers celle d’événement probable ayant

des conséquences . La présence d’une source derisque était rendue acceptable au regard des très

improbables dommages qu’elle pouvait engendreret des contributions positives qu’elle fournissaitassurément. La gestion des activités médicales, desproduits pharmaceutiques ou encore des moyens detransports ou des installations industrielles, relèveactuellement de cette approche. Elle donne lieu àl’établissement de modèles d’analyse probabilistedes e ets mis au point par des ingénieurs et à l’inté-gration de barrières pour réduire la vraisemblanceet l’importance des e ets indésirés potentiels.

La norme ISO 31000 dénit le risque commel’e et de l’incertitude sur l’atteinte des objec-

tifs . Cette dénition déplace de nouveau la question

du risque en imposant de spécier les objectifs d’uneactivité dont l’atteinte pourrait être entravée parl’occurrence de circonstances incertaines. « Amé-liorer la santé à des coûts raisonnables dans uncontexte donné » est un exemple introduisant troisobjectifs : améliorer la santé, en respectant une en-

veloppe budgétaire, sans bouleverser le contextesocial. Cette multiplicité des objectifs nécessite queles décideurs fassent des arbitrages. Ces derniersdevront être pris en compte par les ingénieurs etles techniciens proposant des moyens empêchantque les e ets de l’incertitude n’entravent le déroule-ment des activités mises en place pour atteindre lesobjectifs.

Cette nouvelle dénition ne remet pas en cause lesproblématiques de traitement des dangers ou d’ana-lyse des événements dommageables. Elle les com-plète en formalisant l’importance du rôle des dé-cideurs, qu’il s’agisse de personnes physiques oumorales (directeurs de sites industriels, élus, auto-rités de contrôle, ingénieurs, etc.) ou plus généra-lement de la société. Elle permet tout d’abord designier un état de fait, à savoir que les objectifssont multiples, qu’ils concernent non seulement lasécurité mais aussi des questions économiques etpolitiques, personnelles ou sociétales. Les énoncerévite de parasiter les activités de Management desrisques par des non-dits et, en formulant explici-tement les arbitrages, rend plus transparentes lesnombreuses décisions prises durant ces activités.




Q u e s t i on4

10

Quels changementsdans le processus de

Management durisque?

L processus générique de Managementdes risques proposé dans l’ISO 31000reprend les activités classiques d’appré-

ciation des risques (identication, analyse,évaluation) et de leur traitement. La norme lescomplète par 3 autres activités.

L’Établissement du contexte oblige à déniren amont de ces activités, les paramètres fonda-mentaux caractérisant l’environnement danslequel s’e ectue le Management du risque etles valeurs de ces paramètres. L’environne-ment est tout d’abord externe à l’organisme.Des seuils stipulés par une réglementation oudes critères d’appréciation des risques issus desparties prenantes, sont deux exemples de para-

mètres. L’environnement du Management durisque inclut également l’organisme lui-même(la norme parle d’environnement interne). Lespratiques propres à l’organisme en sont desexemples de paramètres. La norme proposed’énumérer ces paramètres et de séparer leurdénition de leurs utilisations dans les autrestâches du processus, clariant ainsi les di é-rentes responsabilités des intervenants dansle processus de Management du risque . Par

exemple, la matrice de risque constitue unparamètre utilisé lors de l’évaluation du risque.

Ses valeurs ne doivent pas être dénies parles personnes e ectuant cette évaluation. Ene et, elles caractérisent, entre autres, l’impor-tance relative entre la probabilité d’occurrenced’événements dommageables et la gravité desdommages. Il s’agit donc d’une donnée relative

au contexte dans lequel s’e ectue l’évalua-tion des risques. D’autres valeurs de cettematrice, voire un autre moyen d’évaluation,sont utilisés dans d’autres contextes.

La norme met également en valeur la tâchede Communication et concertation et soncouplage avec l’ensemble des autres tâchesdu processus. Ces échanges concernent aussibien les parties prenantes externes que celles

internes à l’organisme qui gère le risque. Lanorme mentionne en particulier que cette tâchefacilite la compréhension du contexte et l’inté-gration de ses changements par les activitésde Management des risques.

Elle distingue enn la tâche intitulée Sur-veillance et revue ayant par exemple pourbut de ré-évaluer le déroulement des activi-tés de Management des risques. Cette tâchepeut ainsi mesurer l’ecacité de l’emploi desmoyens mis en œuvre an d’améliorer leursutilisations futures.




Q u e s t i o n

510Qu’est-ce que le Cadre

organisationnel ?

L gestion des risques est fréquemment

mise en œuvre par plusieurs processus de Management des risques , qui sont

déroulés en parallèle an de répondre à diversobjectifs tels que la prévention des événementsaccidentels, d’une part, et la prévention desdommages dus à la malveillance, d’autre part.Or ces processus peuvent présenter des enjeuxconictuels qu’il convient de gérer non pas a

posteriori mais a priori . Par exemple, la miseen œuvre de la tâche de « Communication etconcertation », pour répondre à des besoins deprévention des accidents (c’est–à–dire sécuritéau sens safety ) conduira à di user largementdes informations sur les dangers, leurs e etspotentiels et les moyens mis en œuvre pourles maîtriser. Cette communication est par-fois obligatoire, comme pour les « résumésnon-techniques » des études de dangers. Unetelle communication peut aller à l’encontre

des objectifs de prévention des malveillances(c’est–à–dire sécurité au sens security ). Orune installation industrielle, par exemple, doitatteindre simultanément ces deux objectifs(safety et security ).

Le Cadre organisationnel (« Framework » enanglais) a pour but de gérer ces conits et, defaçon plus large, d’intégrer les activités deManagement du risque dans celles de l’or-ganisme. En e et, la gestion des risques ne

doit pas être traitée comme une activité auto-nome, mais au contraire associée aux autres

activités dont celles opérationnelles. Elle doit

ainsi être utile à ces activités et notammentcontribuer aux décisions qu’elles nécessitent.

Ce Cadre organisationnel est lui-même dé-ni par un processus qui permet la mise enplace des processus de Management des

risques ainsi que leur amélioration conti-nue. Le premier aspect concerne par exemplele choix de moyens ecaces pour réaliserles activités des processus de Management

des risques . Le second (amélioration conti-nue) nécessite la mise en place de dispositifsd’évaluation de ces moyens et leur adaptationpermanente. Le processus du Cadre organi-

sationnel est constitué d’un cycle de typePDCA (Plan, Do, Check and Act) bien connuen Qualité. Il est précédé par une tâche im-posant de dénir, entre autres, les objectifset les indicateurs de performance du Ma-nagement du risque. Intitulée « Mandat etengagement », cette tâche marque l’impor-tance du « leadership » dans le Managementdu risque.

Le Cadre organisationnel regroupe des ac-tivités permettant donc de mettre en placeune approche proactive du Managementdes risques intégrant les connaissances nou-velles (données, modèles, techniques, pratiques,etc.), par une évaluation continue de l’ecacité

des moyens utilisés et par une veille sur lesmoyens nouveaux disponibles.




Q u e s t i on6

10

Pourquoi ériger des

principes sur le Management durisque?

L des processus de Ma-

nagement du risque sont issues des acti-vités du Cadre organisationel . La norme

ISO 31000 base la réalisation de ce cadre et donc desprocessus sur onze « Principes ». Il est importantde mentionner que ces principes ne concernent pas

les risques particuliers à gérer mais a ectent lafaçon de les gérer. Les questions telles que « Quelest le niveau de risque acceptable ? » relèvent del’« Établissement du contexte » de chaque proces-

sus de Management du risque .

Par exemple, la norme érige en principe que « leManagement des risques doit créer de la va-leur ». Cette phrase ne doit pas être interprétéed’un point de vue nancier. Elle exprime que l’en-semble des activités de gestion des risques mises enplace doivent contribuer ecacement à l’atteinte

des objectifs de l’organisme an de maîtriser les ef-fets de l’incertitude. Ce principe induit notammentles activités d’évaluation des moyens du processus

de Management des risques par le Cadre organisa-

tionnel et l’évaluation de l’ecacité de l’utilisationde ces moyens par le processus de Management

des risques lui-même. Par exemple, elle pourraitconduire à évaluer l’ecacité réelle d’une régle-mentation avant de la promulguer. Des techniquescomme l’Analyse Coût-Bénéces pourraient êtreutilisées comme outil d’évaluation.

Un second principe stipule que « le Managementdes risques traite explicitement de l’incerti-

tude ». Cette incertitude concerne par exempleles connaissances sur les sources du risque. Lesmodèles et outils d’analyse doivent donc prendreen compte cette méconnaissance. L’acceptation del’incertitude induit également l’aspect itératif du

processus de Management du risque an d’intégrer

les nouvelles connaissances disponibles. L’incerti-tude a ecte aussi les moyens utilisés pour gérer lerisque, comme ceux concernant son analyse et sontraitement (par exemple l’ecacité des barrières deprotection). L’impact de l’incertitude sur les usagesde ces moyens doit être explicité.

Le principe qui énonce que « le Managementdu risque doit intégrer les facteurs humains etculturels » est par exemple pris en compte dansla tâche « Mandat et engagement » du Cadre

organisationnel . En e

et, elle requiert de s’assu-rer de la disponibilité des ressources humainesadéquates. Dans le processus de Management

des risques , ce principe impacte, entre autres, lamise en œuvre de la tâche d’« Établissement ducontexte ». Par exemple, celle-ci doit identier lescritères d’appréciation des risques adoptés par lesparties prenantes.

L’explicitation des principes qui régissent le Ma-nagement des risques est essentielle. En e et, cesprincipes vont induire la façon de gouverner toutesles activités. L’organisme devrait donc au préalablestipuler son degré d’adhésion à ces principes.




Q u e s t i o n

710

À qui cette norme

est-elle destinée ?

D nombreuses personnes interviennentdans les diverses activités de Manage-ment des risques. La norme ISO 31000

s’adresse à chacune d’elles qui en tirera des

prots di érents.

Les personnes en charge de la mise enplace des activités de Management desrisques au sein des organismes trouverontdans cette norme un cadre précisant les ques-tions à aborder et proposant une structurepour les traiter : principes, cadre organisation-nel, processus de Management. Cette normes’adresse donc en premier lieu aux directions

sécurité des sociétés mais aussi aux autoritésde tutelle (ministères, agences, etc.).

Les personnes dénissant des pratiques(modèles, techniques, outils, guides, etc.) pour-ront positionner celles-ci dans un canevasgénérique. Les objectifs auxquels répondentces pratiques seront ainsi précisés, limitant clai-rement les contributions à attendre de celles-ci.Ces personnes identieront en outre plus pré-cisément les activités nécessitant l’élaboration

de nouveaux moyens et les besoins auxquelsils doivent répondre. Cette norme s’adresse

donc également aux rédacteurs de normessectorielles, aux développeurs de bonnes pra-tiques (guides ou procédures) ou aux créateursde techniques ou d’outils.

Les personnes chargées de gérer desrisques particuliers disposeront d’un cadrecommun permettant de situer leurs activitéset les pratiques qu’elles mettent en œuvre.Elles connaitront ainsi mieux les rôles et res-ponsabilités de chacun dans la réalisation desmultiples tâches indispensables à une gestionecace des risques.

Les personnes chargées d’évaluer les pra-tiques des organismes en matière de Mana-gement des risques comme les autorités decontrôle (organismes de certication, d’auto-risation d’exploiter, etc.), disposeront d’unestructure générique permettant de situer lespratiques e ectives.

L’ISO 31000 fournit donc aux divers inter-venants dans la gestion des risques, une dé-marche structurée qui peut être partagée, tout

en permettant de préciser les missions de cha-cun sur l’ensemble de ces activités.




Q u e s t i on8

10

Par qui et comment

cette norme a-t-elleété écrite ?

L sphère des rédacteurs de normes estsouvent perçue comme un milieu re-groupant des vieux messieurs se cha-

maillant sur la place d’une virgule car d’accordsur l’essentiel. Cette vision est erronée dansle cas général et tout particulièrement fausseconcernant le groupe des experts ayant élaborél’ISO 31000.

Tout d’abord, la rédaction de cette norme aété un choc de cultures entre des personnesissues de secteurs très variés : sécurité des ins-tallations industrielles et des produits, nance,gestion de projet, santé publique, organisa-tions de défense de l’environnement, etc. Les

discussions n’ont pas porté sur des désaccordssyntaxiques mais sur des visions diverses dece qu’est le risque et sur la façon de l’abor-der. Par exemple, un terme comme l’« appétitdu risque » faisait frémir les uns alors qu’ilconstituait un mot commun pour d’autres.En e et, un sens positif est donné au risquedans le secteur nancier, alors qu’une conno-tation négative est souvent adoptée dans ledomaine de la sécurité. Le terme « attitude

face au risque » a permis d’y intégrer la notiond’« aversion au risque ».

Les points de vue sur le risque et sur sa gestionsont éminemment culturels et ceci même dansun secteur donné. Un latin n’a pas la même ap-proche qu’un anglo-saxon ou qu’un asiatique.Ces cultures se sont également confrontéespour donner lieu à un texte reétant cettediversité. Le résultat a été obtenu dans undélai relativement bref. Les travaux lancés en juin 2004 ont été conclus n 2008. Cette normen’est assurément pas le fruit de compromis-sions mais celui d’un consensus. Les di é-rents secteurs industriels, publics, associatifs,des divers pays ont contribué à enrichir soncontenu tant au niveau national (via l’AFNOR)

qu’international (à l’ISO).Le résultat de ce travail aura, je l’espère,comme premier e et de permettre à chacunde requestionner son point de vue sur leconcept de risque et sur ses approches pourl’aborder, et d’améliorer in ne ses pratiquesde Management du risque.

À titre personnel, il me reste à l’esprit les nom-breux sujets débattus, les arguments avancéset les accords qui ont conduit à la rédaction dela norme.




Q u e s t i o n

910

Quels travaux

futurs?

C nouvelle norme va tout d’abordnécessiter d’informer et de formernon seulement sur son contenu mais

aussi sur la vision qu’elle sous-tend. Nousavons par exemple mentionné la nouvelle dé-nition du risque à la question 3. L’importancede l’« Établissement du contexte » dans le processus de Management des risques , l’intro-

duction du Cadre organisationnel et l’expres-sion de Principes régissant l’ensemble, devrontêtre expliquées an de faire comprendre leursintérêts.

Comme mentionné en réponse à la question 1,l’ISO 31000 propose une approche générale duManagement des risques alors que des pra-tiques existent déjà. L’objet de cette nouvellenorme n’est pas de balayer les normes secto-

rielles, ni les documents métiers qui proposentces pratiques. L’étude de leur intégration danscette « norme chapeau » permettra de po-sitionner les pratiques existantes et, éven-tuellement, de mettre en valeur les aspectsnon couverts par celles-ci an d’y porter re-mède.

De nombreux secteurs disposent de documentspropres demandant l’usage de moyens généra-lement proches voire souvent similaires. La

création de l’ISO 31000 peut être une oppor-tunité d’un rapprochement de ces secteurs

an de disposer d’un vocabulaire commun etd’harmoniser les démarches en tirant pro-t des expériences de chacun.

En plus d’aspects classiques, comme ceux du processus de Management des risques , qu’ellecomplète (tâche « Établissement du contexte »),l’ISO 31000 introduit ou du moins formalisede nouvelles questions essentiellement à tra-

vers ses Principes et son Cadre organisation-

nel . Les pratiques associées restent souventà dénir. De nouveau, de nombreux travauxinter-sectoriels pourraient être conduits an deréduire les coûts de ces études et de partagerles expériences. Cela pourrait être le cas parexemple de l’évaluation des performances dedivers moyens de modélisation et d’analyse del’incertitude.

L’idée d’une boucle d’amélioration continuesous-tendue par le Cadre organisationnel

pourrait conduire à se questionner sur la dé-nition de niveaux de maturité des orga-nismes devant gérer des risques et sur lesmoyens de progrès permettant de passerd’un niveau à l’autre. Cet accès progressif à un haut niveau de maîtrise des risques seraitassurément utile aux organismes, et en particu-lier aux PME, et faciliterait l’appréciation des

parties prenantes (administration, ONG, etc.).Cette question est cependant très sensible.




Q u e s t i o

n

1010L’ISO 31000 : uneévolution ou unerévolution ?

L

’ ISO 31000 sera certainement perçue toutd’abord comme une évolution dans le Ma-nagement des risques en s’attachant aux

éléments méthodologiques qu’elle propose : le pro-cessus du Cadre organisationnel et le processus

de Management du risque . Du recul sera sansdoute nécessaire pour assimiler les remises encause qu’elle sous-tend. Essayons d’en anticiperquelques-unes.

La nouvelle norme dénit le risque comme l’« e etde l’incertitude sur l’atteinte des objectifs ». Nousavons mis en valeur à la question 3, l’évolution duconcept de risque et introduit son impact sur lesapproches de Management du risque. Cette nou-

velle dénition va déplacer les débats sur le risquevers la question fondamentale : quels sont lesobjectifs de l’organisme ou des autres partiesprenantes ? La formulation explicite de ces objec-tifs amènera sans doute des débats. En e et, cesobjectifs sont multiples et souvent contradictoires.Par exemple, nous voulons des emplois et consom-mer des produits manufacturés, mais pas de sitesindustriels. Nous désirons que notre activité soitproche de notre domicile, mais que celle des autresen soit la plus éloignée possible. Des arbitrages

devront être e ectués entre ces di érents objectifs. La norme suggère qu’ils soient expliciteset justiés. Sommes-nous prêts à le faire ? Cettedénition initiale des objectifs et l’explicitationdes arbitrages devraient faciliter les autres activi-tés de Management des risques et rendront plustransparentes et mieux comprises les décisions.

La norme incite à expliciter également les rôles etresponsabilités de chacun dans le Managementdes risques. Ainsi, la tâche d’« Établissement ducontexte » du processus de Management du risque

permet de délimiter la portée des activités sui-vantes de ce processus. Elle arme que la gestion

des risques dépendra tout d’abord des réglemen-tations mais aussi des parties prenantes externes,de leurs attentes, valeurs, cultures, etc. Elle sou-

ligne également que cette gestion des risques dé-pendra aussi du contexte interne à l’organisme :sa structure, ses normes et pratiques, ses savoir-faire, mais aussi ses valeurs. De même, la tâche« Mandat et engagement » du Cadre organisation-

nel dénit les responsabilités incombant à ladirection, dont celle d’expliciter les objectifs.La tâche « Conception du cadre organisationnelde Management des risques » doit, par exemple,dénir les moyens tels que les processus, méthodes,modèles et outils qui seront utilisés dans les tâches

du processus de Management des risques . Cecipermet de séparer explicitement les responsabi-lités de choisir les bons moyens (rôle du Cadre

organisationnel ) et celles de bien utiliser cesmoyens (rôle du processus de Management des

risques ).

Le Cadre organisationnel n’est pas un « Systèmede Management » mais une approche pour in-tégrer les pratiques du Management du risquedans le Système de Management existant dansl’organisme. Nous avons mentionné que son pro-cessus itératif permet une amélioration continuedu processus de Management des risques . Cefait revient à accepter l’imperfection des activi-tés de ce processus, même s’il met en œuvre lesmeilleures connaissances à un moment donné. L’as-pect perfectible des activités du processus revientimplicitement à accepter l’occurrence d’incidentsou d’accidents qui doivent être sources de pro-grès. Si cette approche est réaliste, est-elle audibleaujourd’hui ? Quelle révolution implique-t-elledans les relations entre les parties prenantes de lagestion des risques ? Je pense en particulier auxmédias et à la justice.




Reproduction de ce document

Ce document est di usé selon les termes de la license BY-NC-ND du Creative Commons. Vous êtes libres de reproduire,distribuer et communiquer cette création au public selon les conditions suivantes :

• Paternité. Vous devez citer le nom de l’auteur original de la manière indiquée par l’auteur de l’œuvre ou le titulaire

des droits qui vous confère cette autorisation (mais pas d’une manière qui suggérerait qu’ils vous soutiennent ouapprouvent votre utilisation de l’œuvre).• Pas d’utilisation commerciale. Vous n’avez pas le droit d’utiliser cette création à des ns commerciales.

• Pas de modication. Vous n’avez pas le droit de modier, de transformer ou d’adapter cette création.

Vous pouvez télécharger ce document (et d’autres versions des Cahiers de la Sécurité Industrielle ) au format PDF depuis le siteweb de la FonCSI.

Fondation pour une Culture de Sécurité IndustrielleFondation de Recherche reconnue d’utilité publique


6 allée Émile Monso – BP 3403831029 Toulouse cedex 4

France

Téléphone: +33 (0) 534 32 32 00Fax: +33 (0) 534 32 32 01

Courriel : [email protected]

http://creativecommons.org/licenses/by-nc-nd/2.0/fr/







6 A L L É E EM I L E MO N S O

Z P BP 8

La Norme ISO 31000 en 10 Questions

Documents

Transcript of La Norme ISO 31000 en 10 Questions