Environnement

La version révisée de la norme ISO 31000 sur le management du risque accorde plus d’attention à la menace terroriste et à la cybersécurité

L’ISO 31000 sur le management du risque est l’une des normes les plus intéressantes pour le conseiller en prévention. La version initiale de 2009 vient d’être révisée et le nouveau texte a été publié le 15 février 2018.

Pas de certification

L’ISO 31000:2018 énonce des orientations et non des exigences. Elle ne se prête donc pas à des fins de certification.

Risques terroristes et cybersécurité

Cette révision a été motivée par les grands changements qu’a connus le management du risque ces dernières années. Citons l’intensification de la menace terroriste ou la multiplication des cyberattaques. En 2009, ces risques n’étaient pas d’actualité ou l’étaient moins. De même, l’intégration du management du risque dans la gouvernance — le conseil d’administration de chaque organisation doit désormais tenir compte des risques — imposait aussi d’adapter l’ancienne version. Les entreprises ont aujourd’hui plus que jamais besoin d’être guidées sur la façon dont elles doivent aborder les risques. C’est aussi pour cela qu’une révision de l’ISO 31000, Management du risque – Lignes directrices était nécessaire.

Inventaire des risques

Les risques auxquels les organisations sont confrontées sont dès lors très divers (cf. le tableau ci-dessous et en annexe).

Inventaire des risques Oui Non
 Incendie    
 Catastrophe naturelle    
 Épidémie (de grippe)    
 Terrorisme    
 Vol    
 Grève    
 Problèmes informatiques, piratage, cybercrime    
 Départ de membres-clés du personnel    
 Accident du travail    
 Responsabilité juridique et actions en justice    
 Dommage environnemental    
 Faillite de fournisseurs    
 Problèmes de liquidité et/ou de paiement de clients    
 Retards à la livraison    
 Fraude    
 Arrêt des machines (panne, pas de pièces de rechange disponibles, etc.)    
 Baisse ou hausse de la demande de produits ou services    

Les risques dans les normes sur les systèmes de management

Les normes sur les systèmes de management comme l’ISO 9001:2015 sur le management de la qualité ou l’ISO 14001:2015 sur le management environnemental portent explicitement leur attention sur les risques et les opportunités (cf. le tableau). Ces risques et opportunités doivent être maîtrisés tant au niveau stratégique et tactique qu’opérationnel. C’est ainsi que les enjeux internes et externes constituent des risques et des opportunités auxquels l’organisation doit s’intéresser (= niveau stratégique).
 
La compréhension des besoins et des attentes des parties prenantes donne aussi une idée des aspects du risque et des niveaux de risque acceptables. Les risques d’incendie ou de vol ont une dimension plus opérationnelle. Quant aux risques de nature tactique, ce sont ceux qui se posent dans le domaine informatique et qui peuvent mettre en péril la continuité de l’exploitation.

Structure des normes de système de management (comme l’ISO 9001, 14001 ou 45001) Management du risque dans les normes de système de management
 4. Contexte 4.1. Enjeux internes et externes
4.2 Besoins et attentes des parties prenantes
 5. Leadership  
 6. Planification  6.1 Risques et opportunités
 7. Support  
 8. Réalisation  8.1 Maîtrise des risques liés aux processus
 9. Évaluation des performances  9.1 Surveillance, mesure, analyse et évaluation
 10. Amélioration  10.2 Non-conformités et mesures correctrices

Le domaine d’application du système de management doit se rapporter aux risques à maîtriser. Le paragraphe 6.1 part des risques et des opportunités de l’organisation : elle doit les analyser et les traiter. Selon le paragraphe 8.1, il faut prendre des mesures de maîtrise des risques dont l’efficacité doit être surveillée et évaluée selon le point 9.1.
 

Les nouveautés de l’ISO 31000:2018

La nouvelle version de l’ISO 31000 a été publiée le 15 février 2018. L’ISO 31000:2018 propose aux organisations des lignes directrices plus claires, plus courtes et plus concises. Elle présente des principes de management du risque qui peuvent servir à améliorer la façon dont les risques sont gérés dans une organisation. En voici les principales nouveautés :

  • recours à un langage plus simple qui rend la norme plus accessible à toutes les parties prenantes ;
  • attention accrue à la création et à la préservation de la valeur comme moteur important du management du risque ;
  • introduction de nouveaux principes tels que l’amélioration continue, l’implication des parties prenantes, l’adaptation au contexte de l’organisation et la prise en compte de facteurs humains et culturels ;
  • mise en avant du leadership de la direction : elle doit faire en sorte d’intégrer le management du risque dans toutes les activités de l’organisation. Il n’est donc pas judicieux de reléguer les professionnels de la gestion du risque à la marge de celle-ci. Au contraire, il faut insister sur le fait que le management du risque fait partie intégrante de la gestion organisationnelle ;
  • mise en exergue du caractère dynamique du management du risque ;
  • rationalisation du contenu de la norme qui se concentre plus désormais sur la prise en charge d’un modèle de système avec mécanismes de feed-back. La relation avec l’environnement externe est abordée plus franchement, de même que les besoins et les attentes des parties prenantes ;
  1. révision des principes de la gestion des risques : l’ancienne norme ISO 31000:2009 énonçait 11 principes de bon management du risque. La nouvelle norme s’articule également autour d’une batterie de principes, mais elle en a ramené le nombre à 9 :
  2. création et préservation de la valeur : le management doit accroître la valeur et la protéger ;
  3. intégration : le management du risque doit être intégré à tous les processus de l’organisation ;
  4. structurel : le management du risque demande une démarche structurelle ;
  5. adapté : le management du risque doit être adapté à la situation. On peut le comparer au leadership situationnel ; 
  6. inclusif : le management du risque est inclusif ;
  7. dynamique et réactif (à la situation) : le management du risque doit être adapté en permanence et en réaction aux changements internes et externes ;
  8. meilleure information disponible : c’est un nouveau principe analogue à celui des meilleures techniques disponibles (MTD) ;
  9. facteurs humains et culturels : ils ont leur importance dans la gestion des risques ;
  10. amélioration continue : propre à chaque système de management, l’amélioration continue y occupe une place centrale.

Définition du risque

Le risque est désormais défini comme un « effet de l’incertitude sur des objectifs », ce qui met l’accent sur les répercussions d’une connaissance incomplète des évènements ou des circonstances sur la prise de décision au sein d’une organisation. Il s’ensuit que cette dernière doit aborder différemment la notion de risque et adapter son mode de management du risque à ses besoins et à ses objectifs.

L’ISO 31000 propose un cadre de gestion des risques qui prend en charge toutes les activités, notamment la stratégie et la planification, la résilience organisationnelle, l’informatique, la gouvernance, les RH, la conformité, la qualité, la santé et la sécurité, la continuité d’exploitation, la gestion des crises et la sûreté.

 

Publié 12-03-2018

Jan Dillen
Auditor @ Vincotte / VCA-coördinator
  554