Une gestion des risques nor­ma­li­sée : ISO 31000

La gestion des risques revêt une telle im­por­tance qu’aucune en­tre­prise ne peut se permettre de la traiter avec né­gli­gence. Les risques – mais aussi les op­por­tu­ni­tés – existent dans tous les dé­par­te­ments d’une en­tre­prise et la direction doit y être préparée afin de pouvoir in­tro­duire des solutions adaptées. Pour établir un système de gestion des risques solide dans l’en­tre­prise, la direction doit observer la norme ISO 31000.

Une en­tre­prise est toujours associée à des im­pon­dé­rables éco­no­miques, tech­niques, stra­té­giques et autres. Ces risques ne peuvent pas être écartés et chaque en­tre­prise doit composer avec. Un système de gestion des risques fournit des in­di­ca­tions et des processus pour réagir aux si­tua­tions risquées afin de limiter autant que possible les éventuels dommages. En principe, la norme ISO 31000 ne considère pas les risques de façon négative. D’après cette norme, il existe également des risques positifs. On parle de risque dès lors que l’on ne sait pas avec certitude si un événement futur divergera des objectifs que l’on s’est fixés.

L’Or­ga­ni­sa­tion in­ter­na­tio­nale de nor­ma­li­sa­tion (ISO) a établi dif­fé­rentes normes portant sur la gestion : la norme ISO 9001 concerne la gestion de la qualité, la norme ISO 14001 fournit des di­rec­tives sur la gestion de l’en­vi­ron­ne­ment et la norme ISO 50001 traite de la gestion de l’énergie. La norme ISO 31000 se concentre quant à elle sur la gestion des risques. Elle aborde la façon de gérer les dif­fé­rents risques dans une en­tre­prise. La norme est conçue afin de permettre de faire face à tous les risques éventuels et l’ap­pli­ca­tion du système n’est pas limitée à certaines en­tre­prises. En mettant en œuvre ces di­rec­tives, les PME et les grandes en­tre­prises peuvent augmenter leur sécurité.

Con­trai­re­ment aux autres normes ISO, la norme ISO 31000 n’est pas prévue pour une cer­ti­fi­ca­tion. Les autres normes com­pa­rables per­met­tent en effet de concevoir un système selon les di­rec­tives données et de le faire valider dans le cadre d’un audit afin d’obtenir une cer­ti­fi­ca­tion valable au niveau in­ter­na­tio­nal. Ce n’est pas le cas de la norme ISO 31000. La norme doit davantage être comprise comme une in­di­ca­tion ou une ligne di­rec­trice : toute en­tre­prise sou­hai­tant mettre en place un système de gestion des risques efficace peut s’appuyer sur ces règles.

En dehors des chapitres d’in­tro­duc­tion et de son annexe, la norme comporte également des principes, un cadre et une ex­pli­ca­tion du processus.

La norme ISO 31000 définit un cadre basé sur onze principes sur lesquels reposent les autres détails de la norme. Ils sou­lig­nent l’im­por­tance de la gestion des risques et four­nis­sent des in­di­ca­tions de base sur la con­cep­tion d’un système de gestion des risques.

• Valeurs : un système de gestion des risques veille à ce que les objectifs de l’en­tre­prise soient atteints et à ce que des valeurs soient créées par ce biais.
• In­té­gra­tion : si l’on décide d’utiliser un système de gestion des risques dans l’en­tre­prise, il doit être intégré dans tous les dé­par­te­ments.
• Décisions : un système de gestion des risques doit toujours être utilisé dans le cadre de la prise de décisions impactant le futur de l’en­tre­prise.
• In­cer­ti­tude : l’avenir incertain est toujours une com­po­sante es­sen­tielle du système de gestion des risques où il est tenu pour acquis.
• Clas­si­fi­ca­tion : une structure sensée et opportune est es­sen­tielle pour que le système reste fonc­tion­nel.
• In­for­ma­tions : les décisions prises sur la base d’un système de gestion des risques reposent sur l’ensemble des données dis­po­nibles.
• Ajus­te­ment : le système de gestion des risques doit être créé sur mesure et adapté aux par­ti­cu­la­ri­tés de l’en­tre­prise.
• Personnes : un bon système de gestion des risques accorde de l’im­por­tance à la culture et aux personnes et s’adresse à eux.
• Trans­pa­rence : tous les groupes de personnes concernés disposent d’un aperçu complet du système de gestion des risques.
• Flexi­bi­lité : un système de gestion des risques opé­ra­tion­nels s’adapte aux nouvelles données sans dif­fi­culté.
• Amé­lio­ra­tion : un processus continu permet une amé­lio­ra­tion constante du système de gestion des risques.

Le chapitre 4 de la norme ISO 31000 définit un cadre pour le système de gestion des risques. Ce cadre est axé sur les onze principes et énonce à son tour cinq points auxquels le système doit se conformer.

• In­té­gra­tion : pour qu’un système de gestion des risques puisse être instauré avec succès, il est né­ces­saire de com­prendre la structure exacte de l’en­tre­prise. La direction définit ensuite une stratégie et attribue des res­pon­sa­bi­li­tés.
• Con­cep­tion : la con­cep­tion d’un système de gestion des risques tient compte de facteurs internes et externes. Dans un document écrit, la direction de l’en­tre­prise s’engage à gérer les risques et à expliquer sa stratégie et la ré­par­ti­tion des rôles.
• Im­plé­men­ta­tion : l’im­plé­men­ta­tion d’un système de gestion des risques dans une en­tre­prise impose de procéder à des mo­di­fi­ca­tions des processus opé­ra­tion­nels. L’objectif est de faire accepter le système par tous les employés et de l’intégrer dans le quotidien de travail.
• Éva­lua­tion : afin de garantir l’ef­fi­ca­cité sur le long terme, le système de gestion des risques doit être soumis à des contrôles réguliers. Dans ce cadre, les objectifs fixés sont comparés avec les résultats effectifs.
• Amé­lio­ra­tion : les contrôles réguliers per­met­tent également d’apporter des amé­lio­ra­tions cons­tantes. Le système de gestion des risques doit s’adapter de façon dynamique aux mo­di­fi­ca­tions de l’en­tre­prise afin de gagner en ef­fi­ca­cité au fil du temps.

Une fois le cadre im­plé­menté dans votre en­tre­prise, il s’agit d’in­tro­duire les processus de gestion des risques et de les mettre en œuvre. Con­trai­re­ment au cadre et aux principes de base, les processus sont des actions concrètes adaptées à l’en­tre­prise. Toutefois, comme la norme ISO 31000 peut être appliquée de façon générale aux en­tre­prises de tous les secteurs, elle donne uni­que­ment des in­di­ca­tions qui devront alors être adaptées pour une mise en œuvre dans l’en­tre­prise.

Deux facteurs jouent un rôle essentiel dans ce cadre : la com­mu­ni­ca­tion et l’éva­lua­tion des risques. Les parties prenantes (d’après la norme ISO 31000, il s’agit de toutes les personnes impactées par la gestion des risques) doivent être informées des étapes de l’im­plé­men­ta­tion. Discuter avec tous les employés permet d’adapter en per­ma­nence le système de gestion des risques aux besoins de l’en­tre­prise.

Une partie de l’éva­lua­tion des risques consiste à iden­ti­fier les risques po­ten­tiels dans un premier temps. Une fois la liste des risques dressée, ils sont répartis entre les res­pon­sables. Ces personnes analysent alors les risques et les évaluent sur la base de cette analyse. L’éva­lua­tion des risques fournit également des in­di­ca­tions sur la mesure dans laquelle il est possible de contrer ces évé­ne­ments po­ten­tiels et sur les moyens à utiliser pour y parvenir.

La gestion des risques peut vé­ri­ta­ble­ment commencer après l’éva­lua­tion. Il est ainsi possible d’éviter com­plè­te­ment certains risques, d’en réduire l’ampleur ou d’accepter leur impact et de ne rien faire pour y remédier. L’en­tre­prise peut également décider de confier la gestion à des tiers externes. Ce processus est complété par la sur­veil­lance des risques et l’éta­blis­se­ment d’un rapport sur les con­clu­sions.

D’autres normes ISO sur la gestion d’en­tre­prise pré­sen­tent le grand avantage de permettre une cer­ti­fi­ca­tion cor­res­pon­dante. Au niveau in­ter­na­tio­nal, cette cer­ti­fi­ca­tion apporte la preuve de la mise en œuvre d’un système normalisé. Même si la norme ISO 31000 n’offre pas cette pos­si­bi­lité, il est tout de même utile d’appliquer ces di­rec­tives.

L’ef­fi­ca­cité de la gestion des risques peut avoir des con­sé­quences critiques pour l’en­tre­prise : la mise en place d’un système de gestion des risques in­suf­fi­sant peut parfois rendre im­pos­sible l’iden­ti­fi­ca­tion des risques ou leur iden­ti­fi­ca­tion en temps utile. De plus, en l’absence d’un système de gestion des risques solide, aucune ins­truc­tion n’est dis­po­nible sur la façon de gérer les risques. La norme ISO 31000 contient quant à elle des consignes et des conseils élaborés par des experts. Par con­sé­quent, observer ces di­rec­tives vous assure d’avoir mis en place un système très efficace dans votre en­tre­prise.

L’in­tro­duc­tion ou la mo­di­fi­ca­tion d’un système de gestion des risques con­for­mé­ment à la norme ISO 31000 s’ac­com­pagne toutefois également d’un in­con­vé­nient : sa mise en œuvre prend du temps et est parfois coûteuse. La norme exige un examen ap­pro­fondi du sujet. Les mo­di­fi­ca­tions né­ces­saires ne peuvent pas sim­ple­ment faire l’objet d’une réunion et être exécutées dans les jours qui suivent. Il s’agit davantage de se pencher sur l’en­tre­prise, sur les risques possibles et sur le système per­met­tant d’y faire face. La pla­ni­fi­ca­tion et la mise en œuvre exigent de nombreux efforts et les personnes res­pon­sables doivent prévoir des capacités à cet effet ce qui peut engendrer des coûts sup­plé­men­taires.

Veuillez prendre con­nais­sance des mentions légales en vigueur sur cet article.