30-08-2025
Tribunes d'experts

ISO 31000 : Management des risques par Berté Sanata, DG ICAF Côte d’Ivoire


La norme ISO 31000 version 2009 est une norme élaborée par l’ISO (Organisation internationale de normalisation). Elle fournit les principes et lignes directrices pour le management des risques. Cette norme peut être appliquée par tout public, toute entreprise publique ou privée, toute collectivité, toute association, tout groupe ou individu et prend en compte tout type de risque, quels qu’en soient la nature et les conséquences (positives ou négatives).

Les principes essentiels de la Norme ISO 31000

PRINCIPE 1 : Le management du risque doit pouvoir créer de la valeur et la préserver.

Correctement appliqué, le management du risque contribue de façon évidente à l'atteinte des objectifs et à l'amélioration des performances d’une entreprise et permet de donner une image positive de l’entreprise quant à sa crédibilité.

PRINCIPE 2 : Le management du risque doit absolument être intégré non seulement au processus de prise de décision, mais également aux processus organisationnels.

Le management du risque aide les décideurs à faire des choix argumentés, à définir des priorités d'actions et à choisir entre différents plans d'action. Le management du risque ne doit pas être considéré comme une activité indépendante et séparée des principales activités et processus principaux de l'organisme. Il ne doit surtout pas être pris en compte uniquement en ce qui concerne le risque financier.

Le management du risque relève de la responsabilité de la direction et fait partie intégrante de la gestion de l’entreprise. Il doit, de ce fait, intégrer autant les prises de décisions que les processus organisationnels.

PRINCIPE 3 : Le management du risque doit traiter explicitement de l'incertitude.

C’est d’ailleurs la définition du terme « risque » : effet de l’incertitude sur l’atteinte des résultats. De fait, nous ne pouvons pas parler de management des risques sans tenir compte de l’incertitude.

PRINCIPE 4 : Le management du risque doit être systématique, structuré et utilisé en temps utile.

Ceci, afin de contribuer à l'efficacité de la démarche et à la cohérence de résultats comparables et fiables.

PRINCIPE 5 : Le management du risque s'appuie sur la meilleure information disponible.

Les sources d’information sur lesquelles repose le management des risques doivent être fiables.

PRINCIPE 6 : Le management du risque est adapté.

Le management du risque doit s’adapter aux contextes externe et interne de l’organisme afin de donner des résultats satisfaisants.

PRINCIPE 7 : Le management du risque intègre les facteurs humains et culturels.

Ne pas prendre en compte les facteurs humains et culturels dans le processus de management des risques est une erreur monumentale. Les facteurs humains et culturels sont susceptibles de faciliter ou de gêner l'atteinte des objectifs de l'organisme. Combien de dirigeants d’entreprises ont vu toute leur stratégie tomber à l’eau parce qu’ils n’ont pas tenu compte des facteurs humains et culturels de la main d’œuvre !

PRINCIPE 8 : Le management du risque est transparent et participatif.

Les dirigeants doivent avoir l’adhésion et l’implication en temps opportun des parties intéressées afin de garantir une prise en compte efficace des risques.

PRINCIPE 9 : Le management du risque est dynamique, itératif et réactif au changement. Le management du risque perçoit continuellement les changements et y répond. Des événements internes et externes peuvent survenir, le contexte ou les connaissances peuvent changer, la surveillance et la revue des risques peuvent se mettre en place, alors de nouveaux risques peuvent surgir, certains être modifiés, tandis que d'autres disparaissent.

PRINCIPE 10 : Le management du risque facilite l'amélioration continue de l'organisme.

Il convient que les organismes élaborent et mettent en œuvre des stratégies visant à améliorer leur maturité en matière de management du risque, comme pour tous les autres aspects de leur organisation.

Pourquoi manager les risques ?

Toute chose dans la vie comporte des risques (des incertitudes) qui peuvent influencer de façon positive ou négative nos objectifs, qu’ils soient personnels ou professionnels. Identifier les risques associés à chaque activité ou projet à réaliser permet d’anticiper sur la non atteinte des objectifs si, bien entendu, ces risques sont évalués et gérés.

Avantages pour les organismes qui ont recours à la norme

Le management du risque est considéré comme central dans les processus de management de l'organisme, de sorte que les risques sont envisagés en termes d'effets de l'incertitude sur l'atteinte des objectifs. La structure et le processus de gouvernance de l'organisme reposent sur le management du risque. Un management du risque efficace est considéré comme essentiel par les dirigeants pour l'atteinte des objectifs de l'organisme.

Le processus de management des risques 

• Tout d’abord établir les contextes interne et externe. Le contexte est défini comme l’environnement dans lequel l'organisme cherche à atteindre ses objectifs. Ce contexte peut-être :

- Interne : la gouvernance, l'organisation, les rôles et les responsabilités, les politiques, les objectifs et les stratégies mises en place pour les atteindre, les aptitudes en termes de ressources et de connaissances (par exemple capital, temps, personnels, processus, systèmes et technologies), les relations avec les parties prenantes internes, leurs perceptions et leurs valeurs, la culture de l'organisme, etc.

- Externe : environnement social et culturel, politique, légal, réglementaire, financier, technologique, économique, naturel et concurrentiel, au niveau international, national.

• Ensuite, passer à l’appréciation du risque

Ceci consiste à :

- Identifier le risque c’est-à-dire identifier les sources de risque, les domaines d'impact, les événements (y compris les changements de circonstances), ainsi que leurs causes et conséquences potentielles. Cette étape a pour objectif de dresser une liste exhaustive des risques basée sur les événements susceptibles de provoquer, de stimuler, d'empêcher, de gêner, d'accélérer ou de retarder l'atteinte des objectifs. Il est important d'identifier les risques associés au fait de ne pas saisir une opportunité. Il est essentiel de procéder à une identification exhaustive, car un risque non identifié à ce stade ne sera pas inclus dans une analyse ultérieure.

- A ce niveau, le recours à des outils d’identification de risques adaptés est primordial.

- Analyser le risque, c’est-à-dire acquérir une compréhension du risque afin de prendre la décision de le traiter ou non. Cette étape contribue donc à la prise de décision. - Evaluer le risque sur la base de l’analyse précédemment effectuée.

- Sur la base des résultats de l'analyse du risque, l’évaluation du risque permet d’aider les décideurs à déterminer les risques nécessitant un traitement et la priorité dans la mise en œuvre des traitements. L'évaluation du risque consiste à déterminer le niveau de risque identifié au cours du processus d'analyse par rapport aux critères de risque établis lors de l'analyse du contexte. Sur la base de cette comparaison, il est possible d'étudier la nécessité d'un traitement.

• Traiter le risque

Le traitement du risque implique le choix et la mise en œuvre d'une ou de plusieurs options de modification des risques. Une fois mis en œuvre, les traitements engendrent ou modifient les moyens de maîtrise du risque. Les options de traitement du risque sont entre autres un refus du risque, c’est-à-dire prendre la décision de ne pas commencer ou poursuivre l'activité porteuse du risque, la prise ou l'augmentation d'un risque afin de poursuivre une opportunité, l’élimination de la source de risques, une modification de la vraisemblance du risque, une modification des conséquences du risque, un partage du risque avec une autre ou d'autres parties et un maintien du risque fondé sur un choix argumenté. Vous noterez donc qu’identifier un risque et l’analyser ne signifie pas forcément l’éliminer. Il s’agit plutôt de définir les actions à mettre en œuvre face au risque.

Surveiller et faire une revue en cas de nécessité

Toutes les informations concernant le management des risques ayant été définies dans un contexte bien donné et ayant débouché sur un plan d’action, la mise en œuvre ainsi que les données ayant permis cette appréciation doivent être surveillées en permanence et revues lorsque nécessaire. Tout le processus de gestion des risques doit être mis en œuvre dans une communication permanente avec les parties intéressées (qu’elles soient internes ou externes).