La
norme ISO 31000 version 2009 est une norme élaborée par l’ISO (Organisation
internationale de normalisation). Elle fournit les principes et lignes
directrices pour le management des risques. Cette norme peut être appliquée par
tout public, toute entreprise publique ou privée, toute collectivité, toute
association, tout groupe ou individu et prend en compte tout type de risque, quels
qu’en soient la nature et les conséquences (positives ou négatives).
Les
principes essentiels de la Norme ISO 31000
PRINCIPE
1 : Le management du risque doit pouvoir créer de la valeur et la
préserver.
Correctement
appliqué, le management du risque contribue de façon évidente à l'atteinte des
objectifs et à l'amélioration des performances d’une entreprise et permet de
donner une image positive de l’entreprise quant à sa crédibilité.
PRINCIPE
2 : Le management du risque doit absolument être intégré non seulement au
processus de prise de décision, mais également aux processus organisationnels.
Le
management du risque aide les décideurs à faire des choix argumentés, à définir
des priorités d'actions et à choisir entre différents plans d'action. Le management
du risque ne doit pas être considéré comme une activité indépendante et séparée
des principales activités et processus principaux de l'organisme. Il ne doit
surtout pas être pris en compte uniquement en ce qui concerne le risque
financier.
Le
management du risque relève de la responsabilité de la direction et fait partie
intégrante de la gestion de l’entreprise. Il doit, de ce fait, intégrer autant
les prises de décisions que les processus organisationnels.
PRINCIPE
3 : Le management du risque doit traiter explicitement de l'incertitude.
C’est
d’ailleurs la définition du terme « risque » : effet de l’incertitude sur
l’atteinte des résultats. De fait, nous ne pouvons pas parler de management des
risques sans tenir compte de l’incertitude.
PRINCIPE
4 : Le management du risque doit être systématique, structuré et utilisé
en temps utile.
Ceci,
afin de contribuer à l'efficacité de la démarche et à la cohérence de résultats
comparables et fiables.
PRINCIPE
5 : Le management du risque s'appuie sur la meilleure information disponible.
Les
sources d’information sur lesquelles repose le management des risques doivent
être fiables.
PRINCIPE
6 : Le management du risque est adapté.
Le
management du risque doit s’adapter aux contextes externe et interne de
l’organisme afin de donner des résultats satisfaisants.
PRINCIPE
7 : Le management du risque intègre les facteurs humains et culturels.
Ne pas
prendre en compte les facteurs humains et culturels dans le processus de
management des risques est une erreur monumentale. Les facteurs humains et
culturels sont susceptibles de faciliter ou de gêner l'atteinte des objectifs
de l'organisme. Combien de dirigeants d’entreprises ont vu toute leur stratégie
tomber à l’eau parce qu’ils n’ont pas tenu compte des facteurs humains et
culturels de la main d’œuvre !
PRINCIPE
8 : Le management du risque est transparent et participatif.
Les
dirigeants doivent avoir l’adhésion et l’implication en temps opportun des
parties intéressées afin de garantir une prise en compte efficace des risques.
PRINCIPE
9 : Le management du risque est dynamique, itératif et réactif au
changement. Le management du risque perçoit continuellement les changements et
y répond. Des événements internes et externes peuvent survenir, le contexte ou
les connaissances peuvent changer, la surveillance et la revue des risques
peuvent se mettre en place, alors de nouveaux risques peuvent surgir, certains
être modifiés, tandis que d'autres disparaissent.
PRINCIPE
10 : Le management du risque facilite l'amélioration continue de
l'organisme.
Il
convient que les organismes élaborent et mettent en œuvre des stratégies visant
à améliorer leur maturité en matière de management du risque, comme pour tous
les autres aspects de leur organisation.
Pourquoi
manager les risques ?
Toute
chose dans la vie comporte des risques (des incertitudes) qui peuvent
influencer de façon positive ou négative nos objectifs, qu’ils soient
personnels ou professionnels. Identifier les risques associés à chaque activité
ou projet à réaliser permet d’anticiper sur la non atteinte des objectifs si,
bien entendu, ces risques sont évalués et gérés.
Avantages
pour les organismes qui ont recours à la norme
Le
management du risque est considéré comme central dans les processus de
management de l'organisme, de sorte que les risques sont envisagés en termes
d'effets de l'incertitude sur l'atteinte des objectifs. La structure et le
processus de gouvernance de l'organisme reposent sur le management du risque.
Un management du risque efficace est considéré comme essentiel par les
dirigeants pour l'atteinte des objectifs de l'organisme.
Le
processus de management des risques
• Tout
d’abord établir les contextes interne et externe. Le contexte est défini comme
l’environnement dans lequel l'organisme cherche à atteindre ses objectifs. Ce
contexte peut-être :
-
Interne : la gouvernance, l'organisation, les rôles et les
responsabilités, les politiques, les objectifs et les stratégies mises en place
pour les atteindre, les aptitudes en termes de ressources et de connaissances
(par exemple capital, temps, personnels, processus, systèmes et technologies),
les relations avec les parties prenantes internes, leurs perceptions et leurs
valeurs, la culture de l'organisme, etc.
-
Externe : environnement social et culturel, politique, légal,
réglementaire, financier, technologique, économique, naturel et concurrentiel,
au niveau international, national.
• Ensuite,
passer à l’appréciation du risque
Ceci
consiste à :
-
Identifier le risque c’est-à-dire identifier les sources de risque, les
domaines d'impact, les événements (y compris les changements de circonstances),
ainsi que leurs causes et conséquences potentielles. Cette étape a pour
objectif de dresser une liste exhaustive des risques basée sur les événements
susceptibles de provoquer, de stimuler, d'empêcher, de gêner, d'accélérer ou de
retarder l'atteinte des objectifs. Il est important d'identifier les risques
associés au fait de ne pas saisir une opportunité. Il est essentiel de procéder
à une identification exhaustive, car un risque non identifié à ce stade ne sera
pas inclus dans une analyse ultérieure.
- A ce
niveau, le recours à des outils d’identification de risques adaptés est primordial.
-
Analyser le risque, c’est-à-dire acquérir une compréhension du risque afin de
prendre la décision de le traiter ou non. Cette étape contribue donc à la prise
de décision. - Evaluer le risque sur la base de l’analyse précédemment
effectuée.
- Sur
la base des résultats de l'analyse du risque, l’évaluation du risque permet
d’aider les décideurs à déterminer les risques nécessitant un traitement et la
priorité dans la mise en œuvre des traitements. L'évaluation du risque consiste
à déterminer le niveau de risque identifié au cours du processus d'analyse par
rapport aux critères de risque établis lors de l'analyse du contexte. Sur la
base de cette comparaison, il est possible d'étudier la nécessité d'un
traitement.
• Traiter
le risque
Le
traitement du risque implique le choix et la mise en œuvre d'une ou de
plusieurs options de modification des risques. Une fois mis en œuvre, les
traitements engendrent ou modifient les moyens de maîtrise du risque. Les
options de traitement du risque sont entre autres un refus du risque,
c’est-à-dire prendre la décision de ne pas commencer ou poursuivre l'activité
porteuse du risque, la prise ou l'augmentation d'un risque afin de poursuivre
une opportunité, l’élimination de la source de risques, une modification de la
vraisemblance du risque, une modification des conséquences du risque, un
partage du risque avec une autre ou d'autres parties et un maintien du risque
fondé sur un choix argumenté. Vous noterez donc qu’identifier un risque et
l’analyser ne signifie pas forcément l’éliminer. Il s’agit plutôt de définir
les actions à mettre en œuvre face au risque.
Surveiller
et faire une revue en cas de nécessité
Toutes
les informations concernant le management des risques ayant été définies dans
un contexte bien donné et ayant débouché sur un plan d’action, la mise en œuvre
ainsi que les données ayant permis cette appréciation doivent être surveillées
en permanence et revues lorsque nécessaire. Tout le processus de gestion des
risques doit être mis en œuvre dans une communication permanente avec les
parties intéressées (qu’elles soient internes ou externes).