Après approbation par les comités membres de l’ISO, le groupe de travail du Bureau de gestion technique de l’ISO sur le management du risque a publié la norme ISO 31000:2009, Management du risque – Principes et lignes directrices, en novembre 2009. Les auteurs ont conçu la norme pour qu’elle soit applicable à tout organisme et à tout type de risque, mais, contrairement aux normes de qualité ISO bien connues, ISO 31000 n’est pas certifiable. Cet article présente la structure et les éléments clés de la norme ISO 31000 sur le management du risque.

Pour ceux qui connaissent la norme AS/NZS 4360:2004 sur le management du risque, cette norme ISO devrait être facilement reconnaissable. Si votre organisme a adopté la norme AS/NZS, la transition vers la norme ISO 31000 devrait se faire de manière relativement transparente. En outre, le document auxiliaire, Risk Management Guidelines Companion to AS/NZS 4360:2004, fournit des conseils sur la conception et la mise en œuvre des techniques d’évaluation et de gestion des risques. De même, la norme ISO/IEC 31010:2009 est le document auxiliaire qui soutient la nouvelle norme ISO 31000.

Pour ceux qui ne connaissent pas la norme AS/NZS ou qui n’ont pas l’habitude d’un processus formel et structuré de gestion des risques, la suite de cet article aborde la structure et les éléments clés de la norme ISO 31000.

Les deux principales composantes du processus de gestion des risques de la norme ISO 31000 sont les suivantes :

  • Le cadre, qui guide la structure et le fonctionnement de la gestion des risques dans l’ensemble de l’organisation ; et

  • Le processus, qui décrit la méthode d’identification, d’analyse et de traitement des risques.

Cadre Le cadre de la norme ISO 31000 reflète le cycle planifier, faire, vérifier, agir (PDCA), qui est commun à toutes les conceptions de systèmes de management. La norme précise toutefois que « le présent cadre n’a pas pour objet de prescrire un système de management, mais plutôt d’aider l’organisme à intégrer le management du risque dans son système de management global ». Cette déclaration devrait encourager les organisations à faire preuve de souplesse en incorporant des éléments du cadre en fonction des besoins.

Les principaux éléments du cadre sont les suivants

  • Politique et gouvernance Fournit le mandat et démontre l’engagement de l’organisation

  • Conception du programme Conception du cadre général de gestion des risques sur une base continue

  • Mise en œuvre Mise en œuvre de la structure et du programme de gestion des risques

  • Suivi et révision Surveillance de la structure et des performances du système de gestion

  • Amélioration continue Amélioration des performances du système de gestion global

 

 

Les organisations, en particulier celles qui ne sont pas familiarisées avec les systèmes de gestion, doivent se préparer à consacrer beaucoup de temps à la mise en place d’un cadre solide et éviter de se lancer directement dans le processus d’évaluation des risques. La conception du processus est une étape importante, car le cadre offre la stabilité et la continuité nécessaires à l’établissement d’un programme plutôt qu’à l’exécution d’un projet.

Les éléments clés que les organisations ne doivent pas négliger sont les suivants :

  • Établir l’engagement de la direction à la fois pendant la mise en œuvre et à long terme, y compris :

    • Élaboration et approbation d’une politique formelle

    • l’identification et l’affectation des ressources nécessaires, y compris une expertise et un budget suffisants pour soutenir le programme

    • Mise en place d’un cycle de révision régulier afin de maintenir la visibilité du programme auprès de la direction et de motiver tous les participants.

  • Développer un programme qui fonctionne au sein de l’organisation, de sa culture et de son environnement, y compris :

    • Comprendre les forces externes – les tendances du secteur, les exigences réglementaires et les attentes des principales parties prenantes externes

    • Comprendre les forces internes – la gouvernance existante, la structure organisationnelle, la culture et les capacités organisationnelles

La mesure dans laquelle une organisation prend en compte et met en œuvre l’un ou l’autre de ces éléments dépend de son objectif et de ses besoins. L’objectif est de mettre en place un programme visible et bien équipé, compatible avec la culture et les objectifs de l’organisation et viable à long terme.

 

Processus Après avoir établi le cadre de gestion des risques, une organisation est prête à développer le processus. Le processus, tel que défini par la norme ISO 31000, est « multi-étapes et itératif ; il est conçu pour identifier et analyser les risques dans le contexte de l’organisation ».

Les principaux éléments du processus, comme le montre le diagramme ci-dessous, sont les suivants :

  • Communication active

    • Communication et consultation de toutes les parties prenantes

  • Exécution du processus

    • Établir le contexte

    • Identification des risques

    • Analyse des risques

    • Évaluation des risques

    • Traitement du risque

  • Surveillance

    • Comme pour le cadre de référence, un suivi et un examen réguliers sont nécessaires.

 

Comme le montre le diagramme ci-dessus, les première et troisième activités doivent se dérouler régulièrement au cours du processus d’évaluation des risques. Au début du processus, une communication régulière est essentielle pour comprendre les intérêts et les préoccupations des parties prenantes, validant ainsi l’objectif du processus. À un stade ultérieur, une communication régulière permet de justifier les décisions prises et d’expliquer pourquoi l’organisation a besoin de certains traitements des risques. En outre, une surveillance régulière permet de s’assurer que l’organisation prend en compte les changements dans l’environnement et les processus de risque et que les contrôles fonctionnent efficacement. Ensemble, ces activités permettent à toutes les parties prenantes de comprendre clairement les attentes et à l’organisation de faire face aux changements aussi rapidement que possible.

Le processus d’évaluation des risques nécessite tout d’abord la définition de ce que la norme ISO 31000 appelle le « contexte ». Le contexte est une combinaison des environnements externe et interne, tous deux considérés en relation avec les objectifs et les stratégies de l’organisation. Le processus de définition du contexte commence pendant la phase du cadre avec l’examen des environnements interne et externe de l’organisation, mais la direction doit poursuivre cette évaluation de manière plus détaillée ici et se concentrer sur le champ d’application du processus particulier de gestion des risques.

Les autres étapes de l’évaluation consistent à développer des techniques pour identifier, analyser et évaluer des risques spécifiques. Bien qu’il existe de nombreuses méthodes et techniques documentées, toutes devraient inclure les éléments clés suivants :

  • Identification des risques

    • Identification des sources d’un risque particulier, des zones d’impact et des événements potentiels, y compris leurs causes et leurs conséquences

    • Classification de la source comme interne ou externe

  • Analyse des risques

    • Identification des conséquences potentielles et des facteurs qui influencent les conséquences

    • Évaluation de la probabilité

    • Identification et évaluation des contrôles actuellement en place

  • Évaluation des risques

    • Comparaison des risques identifiés avec les critères de risque établis

    • Décisions prises pour traiter ou accepter les risques en tenant compte des exigences internes, légales, réglementaires et des parties extérieures.

Les personnes intéressées par chacune des techniques et méthodes d’évaluation des risques sont invitées à consulter la norme ISO/CEI 31010, le document auxiliaire mentionné plus haut. Il convient de noter que la complexité des méthodes et l’étendue de l’analyse requise dépendent fortement de la nature de l’organisation et que la direction doit consulter toutes les parties prenantes lors de l’élaboration d’une approche appropriée.

Globalement, la direction devrait élaborer et mettre en œuvre des traitements des risques afin de réduire les risques résiduels à des niveaux acceptables pour les principales parties prenantes et assurer un suivi/ajustement pour garantir l’efficience et l’efficacité.

Relation avec l’ASIS SPC.1-2009 et la continuité des activités La publication de la norme ISO 31000 et de la norme ASIS SPC.1 sur le risque organisationnel à une date aussi proche l’une de l’autre a soulevé plusieurs questions. Puisqu’elles sont toutes deux basées sur des systèmes de gestion, l’industrie doit-elle les considérer comme équivalentes ou interchangeables ? Quel est leur rapport avec la continuité des activités ? Et laquelle, si c’est l’une ou l’autre, constitue une base solide pour la gestion des risques de l’entreprise (ERM) ?

Bien que les deux normes s’appuient sur les processus des systèmes de gestion et décrivent une structure de processus similaire, la SPC.1 a un champ d’application un peu plus limité, définissant la résilience organisationnelle en termes de sécurité, de préparation et de continuité, tandis que la norme ISO 31000 a un champ d’application plus large – peut-être plus stratégique.

En ce qui concerne la continuité des activités, il ne s’agit que de l’un des nombreux traitements des risques qui feraient partie d’un programme de gestion des risques plus stratégique tel qu’il est décrit dans la norme ISO 31000. Par conséquent, la continuité des activités doit être considérée comme une sous-composante du programme de gestion des risques décrit dans la norme ISO 31000, car elle traite un risque spécifique (disponibilité des processus, des ressources et des technologies).

Conclusions Dans l’ensemble, les principes et processus de gestion du risque décrits dans la norme ISO 31000 et étayés par les orientations de la norme ISO/CEI 31010 constituent un système solide qui permet à une organisation de concevoir et de mettre en œuvre un programme stratégique, proactif et reproductible. La conception des éléments spécifiques du programme dépend fortement des objectifs, des ressources et des circonstances propres à chaque organisation. Quel que soit le niveau de mise en œuvre, la participation de la direction à la définition des orientations et à l’examen régulier des résultats devrait faire partie de chaque programme, ce qui permettra non seulement d’améliorer la gestion des risques, mais aussi d’assurer un traitement approprié des risques sur la base des objectifs et des stratégies à long terme de l’organisation.