2
60 la tribune de l’assurance • n° 133 •février 2009 Tribunes incertitude sur l’atteinte des objectifs de l’entreprise. NOUVELLE DÉFINITION DU RISQUE Le mot risque désigne une non-conformité en qualité, une pollution en environne- ment, une défaillance d’un équipement, une intoxication ou des atteintes corporelles en matière de sécurité des per- sonnes, mais aussi un rende- ment en finance ou des op- portunités pour le manager d’entreprise. La norme ISO 31000 visant à devenir le réfé- rentiel unique en matière de management des risques, une révision du guide ISO 73 – vo- cabulaire du management du risque – a été menée parallè- lement aux développements de l’ISO 31000 afin de faciliter les discussions entre profes- sionnels des risques (tous sec- teurs confondus). La nouvelle définition abandonne la vision de l’ingénieur (« le risque est la combinaison de probabilité d’événement et de sa consé- quence ») pour coupler les ris- ques aux objectifs de l’orga- nisation : le risque est l’effet de l’incertitude sur l’atteinte des objectifs. Cette définition est extraite de la dernière ver- sion du guide ISO 73 qui sera publiée en même temps que la norme ISO 31000. PAS DE CERTIFICATION Le texte actuel de l’ISO 31000 est très clair : « La présente norme internationale n’a pas vocation à servir de base à une certification. » Cependant, cer- tains pays seraient être ouverts à un tel processus à partir de la norme internationale. La norme BSI 31100 en Angleterre et l’ONR 49000 en Autriche (utilisé également en Allema- gne et en Suisse) semblent s’orienter vers un tel proces- sus. La norme AS/NZS4360 mise à jour en 2009 restera une obligation en Australie/ Nouvelle-Zélande. Ces trois ré- férentiels reprendront intégra- lement la norme ISO 31000. En France, l’Afnor, l’associa- tion française de normalisa- tion, a participé activement aux débats au sein du comité ISO pour le management des risques et était représenté, en autres, par Jean-Paul Louisot, directeur pédagogique du Carm Institute, institut pour la formation ARM en France, et par Gilles Motet, directeur scientifique de l’ICSI, institut R écemment finalisée, la norme ISO 31000 (lire en- cadré ci-dessous) a été rédigée pour l’essentiel à par- tir de la norme australienne AS/ NZS 4360. Elle définit les lignes directrices du management des risques et les processus de mise en œuvre au niveau stratégi- que et opérationnel. STRUCTURE DE LA NORME ISO 31000 La norme est structurée en trois parties : les principes, le cadre organisationnel et le pro- cessus de management : Les principes répondent à la question « pourquoi fait-on du management des ris- ques ? ». Le processus d’inté- gration de ces principes se fait ensuite à deux niveaux : dé- cisionnel et opérationnel. Le cadre organisationnel explique comment intégrer, via le processus itératif de la roue de Deming (Plan-Do- Check-Act), le management des risques dans la stratégie de l’organisation (conduite stratégique). Le processus de management précise comment intégrer le management des risques au ni- veau opérationnel de la straté- gie de l’organisation (conduite opérationnelle). Ce processus itératif est bien connu des risk managers (voir infographie). Il ne s’agit en aucun cas d’uni- formiser les pratiques, ni de créer un système de manage- ment parallèle, comme certains l’ont pensé, à tort, de la norme ISO 9000. En revanche, la norme ISO 31000 propose un référentiel unique pour les or- ganisations de tout secteur et de toute taille. Elle est adapta- ble et suffisamment flexible pour harmoniser les processus de management de tous les ty- pes de risques faisant peser une Réaction de Alex Dali, directeur associé d’Atlascope* Les enjeux de la norme ISO 31000 en gestion des risques DR La future norme ISO 31000 (management des risques, principes et lignes directrices de mise en œuvre) est en cours de finalisation et devrait s’imposer comme le cadre de référence international en gestion des risques. Principes Cadre organisationnel Processus de management La norme ISO 31000 - Historique : Juin 2004 : demande de reprise « fast-track » de l’AS/NZS 4360 refusée. Juin 2005 : lancement de la procédure ISO. Septembre 2005 : ISO 31000 sera un guideline non certifiable. Plusieurs réunions en 2006 et 2007. Avril 2008 : rédaction du Draft DIS et enquête. Début 2009 : vote des membres. Juin 2009 : publication probable. - Points importants : Principes généraux et lignes directrices de mise en œuvre. Processus de management des risques orienté par rapport aux objectifs de l’organisation. Nouvelle définition du vocabulaire : risque = incertitude sur les objectifs. Impact négatif des risques (menaces) ou impact positif (opportunités). Importance de la communication à chaque étape. Toujours préciser le contexte interne et externe. Norme ISO non certifiable. Globalement, la norme souligne que le management des risques fait partie intégrante de la structure, des responsabilités et des objectifs d’une organisation.

Tribune_ISO 31000-Version Francaise Finale

Embed Size (px)

DESCRIPTION

Article présentant les enjeux du nouveau standard en gestion des risques ISO 31000:2009 et repris en norme française sous NF ISO 31000:2010

Citation preview

Page 1: Tribune_ISO 31000-Version Francaise Finale

60 la tribune de l’assurance • n° 133 •février 2009

Tribunes

incertitude sur l’atteinte desobjectifs de l’entreprise.

NOUVELLE DÉFINITION DU RISQUELe mot risque désigne unenon-conformité en qualité,une pollution en environne-ment, une défaillance d’unéquipement, une intoxicationou des atteintes corporelles enmatière de sécurité des per-sonnes, mais aussi un rende-ment en finance ou des op-portunités pour le manager

d’entreprise. La norme ISO31000 visant à devenir le réfé-rentiel unique en matière demanagement des risques, unerévision du guide ISO 73 – vo-cabulaire du management durisque – a été menée parallè-lement aux développementsde l’ISO 31000 afin de faciliterles discussions entre profes-sionnels des risques (tous sec-teurs confondus). La nouvelledéfinition abandonne la visionde l’ingénieur (« le risque estla combinaison de probabilitéd’événement et de sa consé-quence ») pour coupler les ris-ques aux objectifs de l’orga-nisation : le risque est l’effetde l’incertitude sur l’atteintedes objectifs. Cette définitionest extraite de la dernière ver-sion du guide ISO 73 qui serapubliée en même temps quela norme ISO 31000.

PAS DE CERTIFICATIONLe texte actuel de l’ISO 31000est très clair : « La présentenorme internationale n’a pasvocation à servir de base à unecertification. » Cependant, cer-tains pays seraient être ouvertsà un tel processus à partir dela norme internationale. Lanorme BSI 31100 en Angleterreet l’ONR 49000 en Autriche(utilisé également en Allema-gne et en Suisse) semblents’orienter vers un tel proces-sus. La norme AS/NZS4360mise à jour en 2009 resteraune obligation en Australie/Nouvelle-Zélande. Ces trois ré-férentiels reprendront intégra-lement la norme ISO 31000.En France, l’Afnor, l’associa-tion française de normalisa-tion, a participé activementaux débats au sein du comitéISO pour le management desrisques et était représenté, enautres, par Jean-Paul Louisot,directeur pédagogique duCarm Institute, institut pourla formation ARM en France,et par Gilles Motet, directeurscientifique de l’ICSI, institut

R écemment finalisée, lanorme ISO 31000 (lire en-cadré ci-dessous) a été

rédigée pour l’essentiel à par-tir de la norme australienne AS/NZS 4360. Elle définit les lignesdirectrices du management desrisques et les processus de miseen œuvre au niveau stratégi-que et opérationnel.

STRUCTURE DE LA NORME ISO 31000La norme est structurée entrois parties : les principes, lecadre organisationnel et le pro-cessus de management :

• Les principes répondent àla question « pourquoi fait-ondu management des ris-ques ? ». Le processus d’inté-gration de ces principes se faitensuite à deux niveaux : dé-cisionnel et opérationnel.• Le cadre organisationnelexplique comment intégrer,via le processus itératif de laroue de Deming (Plan-Do-Check-Act), le managementdes risques dans la stratégiede l’organisation (conduitestratégique).•Le processus de managementprécise comment intégrer lemanagement des risques au ni-veau opérationnel de la straté-gie de l’organisation (conduiteopérationnelle). Ce processusitératif est bien connu des risk

managers (voir infographie).Il ne s’agit en aucun cas d’uni-formiser les pratiques, ni decréer un système de manage-ment parallèle, comme certainsl’ont pensé, à tort, de la normeISO 9000. En revanche, lanorme ISO 31000 propose unréférentiel unique pour les or-ganisations de tout secteur etde toute taille. Elle est adapta-ble et suffisamment flexiblepour harmoniser les processusde management de tous les ty-pes de risques faisant peser une

Réaction de Alex Dali, directeur associé d’Atlascope*

Les enjeux de la norme ISO 31000 en gestion des risquesDR

La future norme ISO 31000 (management des risques, principes et lignes directrices demise en œuvre) est en cours de finalisation et devrait s’imposer comme le cadre deréférence international en gestion des risques.

Principes Cadreorganisationnel

Processus demanagement

La norme ISO 31000- Historique :

• Juin 2004 : demande de reprise « fast-track » de l’AS/NZS 4360 refusée.

• Juin 2005 : lancement de la procédure ISO.• Septembre 2005 : ISO 31000 sera un guideline non certifiable.• Plusieurs réunions en 2006 et 2007.• Avril 2008 : rédaction du Draft DIS et enquête.• Début 2009 : vote des membres.• Juin 2009 : publication probable.

- Points importants :

• Principes généraux et lignes directrices de mise en œuvre.• Processus de management des risques orienté par rapport

aux objectifs de l’organisation.• Nouvelle définition du vocabulaire : risque = incertitude

sur les objectifs.• Impact négatif des risques (menaces) ou impact positif

(opportunités).• Importance de la communication à chaque étape.• Toujours préciser le contexte interne et externe.• Norme ISO non certifiable.

Globalement, la norme souligne que le management des risques fait partie intégrante de la structure, des responsabilités et des objectifs d’une organisation.

Page 2: Tribune_ISO 31000-Version Francaise Finale

Norme ISO 31000

61la tribune de l’assurance • n° 133 •février 2009

pour la culture et la sécuritéindustrielle. A ce jour, la plu-part des associations nationa-les de gestion des risques (Am-rae, Airmic, Belrim, etc.) ainsique Ferma, la fédération eu-ropéenne, sont opposées à lacertification de cette norme.

PROBLÉMATIQUES DE LA NORMECependant, plusieurs élémentsdu standard sont à l’origine devifs débats entre les représen-tants des associations nationa-les de normalisation. Par exem-ple, le fait que le standard sefocalise sur la communicationet la consultation, donc sur laperception des risques par les

quences positives (opportuni-tés) ou négatives (menaces), caren matière d’hygiène/sécurité,le risque est intrinsèquementnégatif, tandis qu’en matièrede santé, il s’agit d’une straté-gie thérapeutique arrêtée avecle patient et/ou sa famille »,explique Jean-Paul Louisot.Autre difficulté : le besoind’identifier, pour chaque ris-que, une seule personne com-me « propriétaire du risque »(risk owner, en anglais) et,donc, comme seul responsa-ble du management de ces ris-ques. Les notions de respon-sabilité collective ou de « res-ponsable, mais pas coupable »n’ont pas été accueillies favo-

tionnement des notions d’ap-pétit du risque et d’aversionau risque dans une politiquede risque ; et la notion mêmede management des risques »,explique Christopher Lajtha,fondateur d’Adageo, un cabi-net de ressources en gestiondes risques. Il ajoute qu’« ilest très important que la vo-lonté originale de ne pas cer-tifier le guideline ISO 31000soit respectée ».

PLUS DE CRÉDIBILITÉPOUR LES RISKMANAGERSEn France, les risk managersont des profils très différentsd’une entreprise à l’autre. Ce-pendant, quelles que soientsa formation, ses responsabi-lités et ses compétences, lerisk manager trouvera un ou-til de référence choisi sur le-quel il pourra s’appuyer pourrenforcer l’intégration du ma-nagement du risque au seinde l’organisation.L’existence de ce standard in-ternational plutôt que des nor-mes nationales, lorsqu’ellesexistent, offre aux risk mana-gers une plus grande crédibi-lité et une meilleure reconnais-sance interne face aux autresfonctions traditionnelles del’entreprise. La fonction appa-raîtra comme plus structurée,renforçant son rôle de facilita-teur et de communicateur, sur-

tout s’il travaille pour une so-ciété internationale.Le risk manager d’une grandesociété française nous avouemême qu’il attend impatiem-ment le standard ISO 31000afin de renforcer sa crédibilitéauprès de la direction de sesfiliales aux Etats-Unis !En tant que norme-cadre uni-que pour toutes les classes derisques et d’activités, elle de-vrait être accueillie favorable-ment par le secteur de l’assu-rance. L’inclusion du référen-tiel ISO dans les questionnai-res d’assurance permettraitune meilleure mutualisationdes risques dommages et RCdes entreprises assurées. Lespays et organisations habituésau standard australien AS/NZS4360 devraient adopter rapi-dement cette nouvelle norme,alors que d’autres auront plusde difficultés. « Les entreprisesdevront adapter le référentielà leur propre organisation entenant compte de leurs spécifi-cités culturelles et humaines »,explique Kevin Knight. •

*Atlascope, société de conseil en ges-tion des risques, lance début 2009 lesite internet www.ISO31000.fr qui ser-vira de portail d’information etd’échanges pour les entreprises et or-ganisations françaises désireuses demettre en place adéquatement oud’adapter leur programme de gestiondes risques (contact : [email protected]). Parallèlement, Carm Institutea déjà incorporé l’ISO 31000 dans l’en-seignement de la qualification profes-sionnelle ARM (associé en risk mana-gement) en France.

Projet de processus ISO

Communiqueret consulter

Piloteret revoirEtablir le contexte

Identification des risques

Analyse des risques

Evaluation des risques

Traitement des risques

APPRÉCIATION

DES RISQUES

NONTRAITER RISQUES ?OUI

Sour

ce :

Car

m In

stit

ute

Position de FermaDès 2004, Thierry Van Santen, alors président de Ferma (Federation of European Risk Management Associations) adopte le standard anglais rédigé conjointement par l’Airmic (équivalentbritannique de l’Amrae, l’association française des risk managers),l’IRM (institut) et Alarm (secteur public). Dans sa prise de positiondatée du 22 juin 2007, Ferma soutient l’adoption d’un standardinternational en gestion des risques qui soit de haut niveau, court, utilisant le vocabulaire du guide ISO/IEC73, et non« certifiable ». Des contacts ont actuellement lieu au niveaueuropéen avec le CEN et ses membres européens.

Les notions de responsabilité collectiveou de « responsable, mais pas coupable »n’ont pas été accueillies favorablementpar les instances du groupe ISO.

parties prenantes, a troublé plu-sieurs groupes nationaux, rap-porte Kevin Knight, coordina-teur du groupe de travail ISO31000 et concepteur du stan-dard australien de référence,créé il y a plus de dix ans.Un autre sujet à controverseest la notion de risque « posi-tif », qui a soulevé une oppo-sition des responsables desanté, et plus encore des spé-cialistes d’hygiène/sécuritéprésents. « Le consensus adoptéest de parler de risque à consé-

rablement par les instances dugroupe ISO.« Il faut souligner que dansl’esprit de consensus et de re-cueils de commentaires du pro-cessus ISO, la dernière versionde l’ISO 31000 s’est considéra-blement améliorée depuis2002. Certains points notablesdoivent encore être résolus, no-tamment, la terminologie uti-lisée non incluse (ISO/IECGuide 73) avec la dernière ver-sion du ISO 31000 ; la perti-nence de l’annexe A ; le posi-