L’ISO DÉFINIT UN CADRE DE GESTION DES RISQUES comme « un ensemble d’éléments qui fournissent les bases et les dispositions organisationnelles pour concevoir, mettre en œuvre, surveiller, réviser et améliorer en permanence la gestion des risques dans l’ensemble de l’organisation ». La norme ISO 31000:2009 sur la gestion des risques est conçue pour tous les types d’entreprises, quels que soient leur taille, leur secteur d’activité et leur portefeuille de risques. Le cadre ISO permet à votre entreprise de comparer son programme de gestion des risques à un référentiel internationalement reconnu et d’obtenir des conseils en matière d’audit et de gouvernance. La gestion des risques au sein d’une organisation nécessite l’application cohérente des principes, du cadre et du processus de gestion des risques de la norme ISO 31000.

Principes

L’ISO identifie 11 principes clés de la gestion des risques. La gestion des risques doit

  • Créer de la valeur – atteindre les objectifs de l’entreprise en atténuant les risques et en prenant des risques positifs.
  • Faire partie intégrante de la prise de décision et des processus organisationnels – intégrer la gestion des risques dans l’entreprise.
  • Aborder explicitement l’incer titude – identifier et définir les incertitudes afin de planifier le point de vue et l’approche de l’entreprise.
  • Soyez systématique, structuré et opportun – sachez comment réagir aux événements et respectez les délais.
  • Se fonder sur les meilleures informations disponibles – utiliser des informations actualisées et fiables et mettre en évidence les limites éventuelles afin d’éviter les mauvaises décisions.
  • Être adapté à votre entreprise – aligner les décisions de gestion des risques sur les objectifs de l’entreprise, le profil de risque et les facteurs internes et externes individuels.
  • Tenir compte des facteurs humains et culturels – comprendre comment les capacités et les perceptions des employés ainsi que la culture de l’entreprise peuvent influer sur la gestion des risques.
  • Être transparent et inclure toutes les parties prenantes – s’assurer que la direction adhère au cadre, inclure les parties concernées dans les décisions et communiquer à l’ensemble de l’organisation afin d’atténuer la résistance au changement.
  • Être dynamique, itératif et réactif au changement – la gestion des risques évolue et le cadre doit en faire autant.
  • Faciliter l’amélioration continue de l’ organisation – continuer à améliorer les processus de gestion des risques et utiliser un système de gestion des risques pour améliorer l’organisation.

Création d’un cadre et d’un processus de gestion des risques

En s’appuyant sur ces principes pour superviser la gestion des risques de l’entreprise et obtenir l’engagement de l’organisation, les gestionnaires de risques doivent ensuite créer un cadre et le mettre en œuvre, le contrôler et le réviser pour continuer à l’améliorer. Notre article sur l’élaboration d’un cadre de gestion du risque d’entreprise donne plus de détails sur ce processus. Une fois le cadre en place, la dernière partie de la norme ISO 31000 consiste à créer et à mettre en œuvre des processus. Il s’agit d’utiliser les lignes directrices du cadre et de les transformer en pratiques utilisables. Il peut s’agir d’étapes à suivre ou d’un seuil à respecter dans des scénarios spécifiques. Ces processus doivent être communiqués à l’ensemble de l’entreprise et adoptés par tous, et pas seulement par les responsables de la gestion des risques. Le suivi et la révision de ces processus complètent le cycle.

Avantages de l’ISO

La mise en œuvre d’un cadre de gestion des risques tel que celui défini dans la norme ISO 31000 est essentielle pour soutenir une entreprise efficace. Bien que la norme ISO 31000 ne soit pas une certification, elle fournit un guide facile à utiliser et à adapter pour aider les organisations à gérer les risques afin d’atteindre les objectifs, d’identifier les opportunités et les menaces et d’allouer des ressources pour le traitement des risques.

Vous disposez d’un cadre de gestion des risques, quelle est la prochaine étape ?

Lorsque vous avez mis en place votre cadre et vos processus de gestion des risques, vous pouvez constater que vous disposez d’énormes quantités de données recueillies auprès de nombreuses personnes dans différents services. Un bon système d’information sur la gestion des risques est essentiel pour assurer la cohérence et la précision de la collecte et de la communication des données.