Une gestion des risques normalisée : ISO 31000

La gestion des risques revêt une telle importance qu’aucune entreprise ne peut se permettre de la traiter avec négligence. Les risques – mais aussi les opportunités – existent dans tous les départements d’une entreprise et la direction doit y être préparée afin de pouvoir introduire des solutions adaptées. Pour établir un système de gestion des risques solide dans l’entreprise, la direction doit observer la norme ISO 31000.

Une entreprise est toujours associée à des impondérables économiques, techniques, stratégiques et autres. Ces risques ne peuvent pas être écartés et chaque entreprise doit composer avec. Un système de gestion des risques fournit des indications et des processus pour réagir aux situations risquées afin de limiter autant que possible les éventuels dommages. En principe, la norme ISO 31000 ne considère pas les risques de façon négative. D’après cette norme, il existe également des risques positifs. On parle de risque dès lors que l’on ne sait pas avec certitude si un événement futur divergera des objectifs que l’on s’est fixés.

L’Organisation internationale de normalisation (ISO) a établi différentes normes portant sur la gestion : la norme ISO 9001 concerne la gestion de la qualité, la norme ISO 14001 fournit des directives sur la gestion de l’environnement et la norme ISO 50001 traite de la gestion de l’énergie. La norme ISO 31000 se concentre quant à elle sur la gestion des risques. Elle aborde la façon de gérer les différents risques dans une entreprise. La norme est conçue afin de permettre de faire face à tous les risques éventuels et l’application du système n’est pas limitée à certaines entreprises. En mettant en œuvre ces directives, les PME et les grandes entreprises peuvent augmenter leur sécurité.

Contrairement aux autres normes ISO, la norme ISO 31000 n’est pas prévue pour une certification. Les autres normes comparables permettent en effet de concevoir un système selon les directives données et de le faire valider dans le cadre d’un audit afin d’obtenir une certification valable au niveau international. Ce n’est pas le cas de la norme ISO 31000. La norme doit davantage être comprise comme une indication ou une ligne directrice : toute entreprise souhaitant mettre en place un système de gestion des risques efficace peut s’appuyer sur ces règles.

En dehors des chapitres d’introduction et de son annexe, la norme comporte également des principes, un cadre et une explication du processus.

La norme ISO 31000 définit un cadre basé sur onze principes sur lesquels reposent les autres détails de la norme. Ils soulignent l’importance de la gestion des risques et fournissent des indications de base sur la conception d’un système de gestion des risques.

• Valeurs : un système de gestion des risques veille à ce que les objectifs de l’entreprise soient atteints et à ce que des valeurs soient créées par ce biais.
• Intégration : si l’on décide d’utiliser un système de gestion des risques dans l’entreprise, il doit être intégré dans tous les départements.
• Décisions : un système de gestion des risques doit toujours être utilisé dans le cadre de la prise de décisions impactant le futur de l’entreprise.
• Incertitude : l’avenir incertain est toujours une composante essentielle du système de gestion des risques où il est tenu pour acquis.
• Classification : une structure sensée et opportune est essentielle pour que le système reste fonctionnel.
• Informations : les décisions prises sur la base d’un système de gestion des risques reposent sur l’ensemble des données disponibles.
• Ajustement : le système de gestion des risques doit être créé sur mesure et adapté aux particularités de l’entreprise.
• Personnes : un bon système de gestion des risques accorde de l’importance à la culture et aux personnes et s’adresse à eux.
• Transparence : tous les groupes de personnes concernés disposent d’un aperçu complet du système de gestion des risques.
• Flexibilité : un système de gestion des risques opérationnels s’adapte aux nouvelles données sans difficulté.
• Amélioration : un processus continu permet une amélioration constante du système de gestion des risques.

Le chapitre 4 de la norme ISO 31000 définit un cadre pour le système de gestion des risques. Ce cadre est axé sur les onze principes et énonce à son tour cinq points auxquels le système doit se conformer.

• Intégration : pour qu’un système de gestion des risques puisse être instauré avec succès, il est nécessaire de comprendre la structure exacte de l’entreprise. La direction définit ensuite une stratégie et attribue des responsabilités.
• Conception : la conception d’un système de gestion des risques tient compte de facteurs internes et externes. Dans un document écrit, la direction de l’entreprise s’engage à gérer les risques et à expliquer sa stratégie et la répartition des rôles.
• Implémentation : l’implémentation d’un système de gestion des risques dans une entreprise impose de procéder à des modifications des processus opérationnels. L’objectif est de faire accepter le système par tous les employés et de l’intégrer dans le quotidien de travail.
• Évaluation : afin de garantir l’efficacité sur le long terme, le système de gestion des risques doit être soumis à des contrôles réguliers. Dans ce cadre, les objectifs fixés sont comparés avec les résultats effectifs.
• Amélioration : les contrôles réguliers permettent également d’apporter des améliorations constantes. Le système de gestion des risques doit s’adapter de façon dynamique aux modifications de l’entreprise afin de gagner en efficacité au fil du temps.

Une fois le cadre implémenté dans votre entreprise, il s’agit d’introduire les processus de gestion des risques et de les mettre en œuvre. Contrairement au cadre et aux principes de base, les processus sont des actions concrètes adaptées à l’entreprise. Toutefois, comme la norme ISO 31000 peut être appliquée de façon générale aux entreprises de tous les secteurs, elle donne uniquement des indications qui devront alors être adaptées pour une mise en œuvre dans l’entreprise.

Deux facteurs jouent un rôle essentiel dans ce cadre : la communication et l’évaluation des risques. Les parties prenantes (d’après la norme ISO 31000, il s’agit de toutes les personnes impactées par la gestion des risques) doivent être informées des étapes de l’implémentation. Discuter avec tous les employés permet d’adapter en permanence le système de gestion des risques aux besoins de l’entreprise.

Une partie de l’évaluation des risques consiste à identifier les risques potentiels dans un premier temps. Une fois la liste des risques dressée, ils sont répartis entre les responsables. Ces personnes analysent alors les risques et les évaluent sur la base de cette analyse. L’évaluation des risques fournit également des indications sur la mesure dans laquelle il est possible de contrer ces événements potentiels et sur les moyens à utiliser pour y parvenir.

La gestion des risques peut véritablement commencer après l’évaluation. Il est ainsi possible d’éviter complètement certains risques, d’en réduire l’ampleur ou d’accepter leur impact et de ne rien faire pour y remédier. L’entreprise peut également décider de confier la gestion à des tiers externes. Ce processus est complété par la surveillance des risques et l’établissement d’un rapport sur les conclusions.

D’autres normes ISO sur la gestion d’entreprise présentent le grand avantage de permettre une certification correspondante. Au niveau international, cette certification apporte la preuve de la mise en œuvre d’un système normalisé. Même si la norme ISO 31000 n’offre pas cette possibilité, il est tout de même utile d’appliquer ces directives.

L’efficacité de la gestion des risques peut avoir des conséquences critiques pour l’entreprise : la mise en place d’un système de gestion des risques insuffisant peut parfois rendre impossible l’identification des risques ou leur identification en temps utile. De plus, en l’absence d’un système de gestion des risques solide, aucune instruction n’est disponible sur la façon de gérer les risques. La norme ISO 31000 contient quant à elle des consignes et des conseils élaborés par des experts. Par conséquent, observer ces directives vous assure d’avoir mis en place un système très efficace dans votre entreprise.

L’introduction ou la modification d’un système de gestion des risques conformément à la norme ISO 31000 s’accompagne toutefois également d’un inconvénient : sa mise en œuvre prend du temps et est parfois coûteuse. La norme exige un examen approfondi du sujet. Les modifications nécessaires ne peuvent pas simplement faire l’objet d’une réunion et être exécutées dans les jours qui suivent. Il s’agit davantage de se pencher sur l’entreprise, sur les risques possibles et sur le système permettant d’y faire face. La planification et la mise en œuvre exigent de nombreux efforts et les personnes responsables doivent prévoir des capacités à cet effet ce qui peut engendrer des coûts supplémentaires.

Veuillez prendre connaissance des mentions légales en vigueur sur cet article.