Examen de la version 2018 des lignes directrices de la norme ISO 31000 sur le management du risque et commentaire sur l’utilisation de cette norme par les professionnels du risque.
1 – Résumé
Il existe de nombreuses approches recommandées en matière de management du risque (MR) et plusieurs guides différents ainsi que des cadres et des normes de management du risque ont été publiés. Ce guide explique l’approche utilisée dans l’ISO 31000:2018 Management du risque – Lignes directrices et identifie l’importance et la pertinence de la norme ISO 31000 et d’autres cadres. Ce guide décrit également l’application pratique des lignes directrices de la norme ISO 31000 et fournit des commentaires sur la mise en œuvre.
Il reste un défi pour les professionnels du risque de démontrer clairement la valeur de la mise à disposition de ressources pour le management du risque. Face à ce défi permanent, l’ISO a publié une version actualisée de l’ISO 31000 Management du risque – Lignes directrices. Ce guide IRM fournit des commentaires sur la version révisée de la norme ISO 31000. En 2017, le COSO a publié « ERM – Integrating Strategy and Performance » et un guide IRM distinct sur le cadre actualisé du COSO a également été publié.
Afin d’évaluer la norme ISO 31000 et, dans le guide séparé, le cadre COSO mis à jour, un format reconnu est nécessaire. L’Organisation internationale de normalisation (ISO) a publié un guide très apprécié sur le format des normes de systèmes de management, intitulé Annexe SL. Le format de l’annexe SL pour les normes de systèmes de management est résumé à l’annexe A du présent guide.
L’annexe SL décrit sept éléments essentiels d’une norme de système de management. Ces éléments sont regroupés dans le présent guide sous les appellations d’éléments « champ d’application et conception » et d’éléments « contrôle et développement », comme l’illustrent respectivement la figure 1 et la figure 2. Ce guide considère ces deux groupes de composants comme le moyen de comparer l’ISO 31000 avec le format de l’Annexe SL. La conclusion est que l’ISO 31000 comprend toutes les caractéristiques requises d’une norme de système de management, mais en mettant l’accent sur les composantes « Contrôle et développement ».
Pourquoi la norme iso 31000 ?
Dans l’ensemble, la norme ISO 31000 fournit des lignes directrices détaillées sur les éléments de planification, de mise en œuvre, de mesure et d’apprentissage d’un système de gestion du risque, mais des informations moins explicites sur les éléments de contexte, de leadership et de soutien requis par une norme de système de gestion. Une analyse des composantes de la norme ISO 31000 est présentée à l’annexe B. Le message pour les professionnels du risque est que leurs employeurs ou leurs organisations clientes doivent mettre en œuvre les principes et les composants de la norme ISO 31000 qui sont les mieux adaptés à leur situation particulière et modifier les autres principes et composants, si nécessaire.
L’ISO 31000 contient de nombreuses informations précieuses et représente des lignes directrices solides et de haut niveau pour le management du risque. Toutefois, il n’existe pas de liste de contrôle étape par étape pour la mise en œuvre de l’initiative de gestion du risque.
Le défi pour les professionnels du risque est de réorganiser les lignes directrices de la norme ISO 31000 pour les aligner sur leur propre approche de la mise en œuvre d’une initiative de gestion du risque. Le présent guide propose une analyse de la norme ISO 31000, une comparaison avec le format ISO des normes de systèmes de management (annexe SL) et présente une liste de contrôle pour la mise en œuvre d’une initiative de management du risque dans la section 9.
2 – Nature des systèmes de management
Un système de management est le cadre des politiques, processus et procédures employés par une organisation pour s’assurer qu’elle peut accomplir les tâches requises pour atteindre son but et ses objectifs. Ces objectifs couvriront tous les aspects de l’organisation, y compris la stratégie, les tactiques, les opérations et la conformité. Par exemple, un système de management de la qualité permet aux organisations d’améliorer la qualité et la cohérence des produits et/ou des services.
L’ISO a publié un guide des normes de systèmes de management avec des informations sur les sections qui doivent être incluses. Ce guide ISO est publié en tant qu’annexe SL et plusieurs normes ont déjà été converties dans ce format. La norme ISO 9001 sur le management de la qualité est la norme internationale la mieux établie et a été mise à jour en 2015 en utilisant le format Annexe SL. Plusieurs normes ISO existantes relatives aux systèmes de management sont en cours de conversion au format Annexe SL, notamment
ISO 14001 – Systèmes de management environnemental et ISO 45001 – Systèmes de management de la santé et de la sécurité au travail.
Étant donné la nature bien établie de l’annexe SL et le fait que l’ISO 9001 a déjà été convertie dans ce format, il s’agit de la structure la plus appropriée pour juger de l’exhaustivité de l’ISO 31000. Un résumé du format de l’annexe SL est fourni à l’annexe A. Toutefois, la norme ISO 31000 et le cadre du COSO intitulé Enterprise Risk Management – Integrating with Strategy ne figurent pas dans le format de l’annexe SL.
Le tableau 2 de la section 8 du présent guide compare la norme ISO 31000 avec le format de l’Annexe SL et fournit un moyen utile de tester l’exhaustivité de la norme ISO 31000.
Dans le cadre de la révision de la norme ISO 31000, les composants de l’annexe SL ont été regroupés en deux catégories : les composants relatifs au « champ d’application et à la conception » et les composants relatifs à la « maîtrise et au développement » d’un système de management.
Les composantes de l’annexe SL relatives au « champ d’application et à la conception » sont le contexte, le leadership et le soutien. Les composantes relatives à la « maîtrise et au développement » sont la planification, l’exploitation, la performance et l’amélioration. Ces dernières composantes sont équivalentes à la méthode « planifier, mettre en œuvre, mesurer et apprendre » (PIML) ou à l’approche « planifier, faire, vérifier, agir » utilisée dans certains systèmes de management.
La figure 1 illustre la relation entre les trois composantes de « Scope and Design » et la figure 2 illustre la relation entre les quatre composantes de « Control and Develop ».
La présentation des composantes de l’annexe SL dans ce format sépare les composantes « Portée et conception », qui représentent le cadre de soutien de la gestion des risques, des composantes « Contrôle et développement », qui représentent le processus de gestion des risques lui-même.
Les systèmes de gestion formalisés ont des processus définis et documentés qui sont destinés à gérer explicitement les processus au sein d’une organisation. Il s’agira de normes vérifiables élaborées pour chaque activité ou processus. Les systèmes de gestion informels sont implicites et peuvent inclure les rôles et les responsabilités, les audits et la gestion du changement.
Cependant, pour les grandes organisations, des processus formalisés sont essentiels, ce qui explique l’importance des normes publiées, telles que l’ISO 9001 et la norme ISO 31000.
3 – Changement du contexte de risque pour les organisations
Le Forum économique mondial (WEF) a fait des commentaires sur la volatilité, l’incertitude, la complexité et l’ambiguïté croissantes du monde. Le WEF affirme que le paysage concurrentiel actuel concurrentiel actuel peut être défini par un seul mot : « perturbation ». WEF affirme que les idées de progrès incrémental, d’amélioration continue et d’optimisation des processus ne fonctionnent pas. amélioration continue et l’optimisation des processus ne fonctionnent plus. Le WEF reconnaît que ces pratiques sont nécessaires, mais insuffisantes.
Le WEF soutient l’analyse selon laquelle les parties prenantes sont plus engagées aujourd’hui, recherchant une plus grande transparence et une plus grande responsabilité dans la gestion de l’impact des risques, tout en évaluant de manière critique la capacité des dirigeants à saisir les opportunités. Même le succès peut entraîner des risques supplémentaires, comme le risque de ne pas être en mesure de répondre à une demande élevée inattendue ou de maintenir la dynamique commerciale prévue. Les organisations et les membres du conseil d’administration doivent mieux s’adapter au changement. Ils doivent réfléchir stratégiquement à la manière de gérer la volatilité, l’incertitude, la complexité et l’ambiguïté croissantes du monde.
À la suite de la crise financière mondiale de 2008, toutes les organisations s’intéressent davantage au risque et à sa gestion. Il est de plus en plus évident que la gestion explicite et structurée du risque apporte des avantages. En adoptant une approche proactive du risque et de la gestion du risque, les organisations seront en mesure d’atteindre les quatre domaines d’amélioration suivants :
– La stratégie, car les risques associés aux différentes options stratégiques seront pleinement analysés et de meilleures décisions stratégiques seront prises.
– La tactique, parce que la sélection des tactiques et les risques associés aux alternatives disponibles auront été pris en considération.
– Les opérations, car les événements susceptibles de provoquer des perturbations seront identifiés et des mesures seront prises pour réduire la probabilité de ces événements, limiter les dommages et contenir les coûts.
– La conformité sera améliorée car les risques associés à l’incapacité de se conformer aux obligations statutaires et à celles des clients seront reconnus.
En effet, il n’est plus acceptable que des organisations se retrouvent dans une situation où des événements inattendus entraînent des pertes financières, une perturbation des opérations normales, une atteinte à la réputation et une perte de présence sur le marché. Les parties prenantes s’attendent désormais à ce que les organisations prennent pleinement en compte les risques susceptibles d’entraîner le non-respect des obligations légales, la perturbation et l’inefficacité des opérations, la livraison tardive des projets ou l’incapacité à mettre en œuvre la stratégie promise.
Les organisations sont confrontées à un nombre croissant de risques. Certains de ces risques sont liés à la gestion de l’organisation et d’autres sont liés à des changements rapides et/ou inattendus sur le marché. La plupart des organisations doivent gérer les risques associés à
- – Le coût variable ou la disponibilité des matières premières.
- – Le coût de la retraite/des pensions/des avantages sociaux.
- – L’importance croissante de la propriété intellectuelle (PI).
- – Une dépendance et une complexité accrues de la chaîne d’approvisionnement et des coentreprises.
- – La réputation devient plus importante et plus vulnérable.
- – Pressions réglementaires et exigences législatives croissantes.
Les changements sur le marché peuvent être encore plus spectaculaires et comprennent :
- – Des marchés volatils et la mondialisation des clients, des fournisseurs et des produits.
- – Une concurrence accrue sur le marché et des attentes plus grandes de la part des clients.
- – L’innovation des produits et les changements rapides dans la technologie des produits.
- – Menaces sur les économies nationales et restriction de la liberté du commerce mondial.
- – Le potentiel du crime organisé international et l’augmentation des risques politiques.
- – Événements climatiques extrêmes entraînant des destructions et/ou des déplacements de population.
La direction assume la responsabilité globale de la gestion des risques pour l’organisation, mais il est important que la direction aille plus loin et renforce la conversation avec le conseil d’administration et les parties prenantes. La gestion des risques doit être utilisée pour obtenir un avantage concurrentiel.
En améliorant la gestion des risques, la direction générale et le conseil d’administration comprendront mieux comment la prise en compte explicite du risque peut avoir un impact positif sur le choix de la stratégie.
Traditionnellement, la gestion des risques a joué un rôle de soutien important au niveau du conseil d’administration.
Aujourd’hui, on attend de plus en plus des conseils d’administration qu’ils assurent une surveillance rigoureuse de la gestion des risques.
La norme ISO 31000 fournit des informations importantes aux conseils d’administration, afin qu’ils puissent définir et assumer leurs responsabilités en matière de surveillance des risques. Ces considérations comprennent la gouvernance et la culture, la stratégie et la fixation des objectifs, la performance, l’information, la communication et le reporting, ainsi que l’examen et la révision des pratiques pour améliorer la performance de l’organisation.
l’organisation.
Toutefois, lors de la mise en œuvre de la norme ISO 31000, il existe un risque que les résultats du processus de gestion des risques constituent un flux d’informations de gestion distinct des autres informations requises pour gérer l’organisation avec succès. Il est important que les gestionnaires de risques entreprennent leurs activités d’une manière qui s’aligne sur le modèle d’entreprise actuel et la stratégie pour l’avenir.
L’intégration de la prise en compte du risque dans les activités de gestion existantes garantira que les informations sur le risque font partie des informations de gestion utilisées par les dirigeants et les membres du conseil d’administration.
Cela aidera à surmonter l’idée que la gestion des risques ne concerne que la compilation et la gestion d’une liste de risques et que cela peut être entrepris séparément de la gestion quotidienne de l’organisation et du développement de la stratégie pour l’avenir.
4 – Structure et approche de la norme ISO 31000
La norme ISO 31000 a été initialement publiée en 2009 et une version actualisée a été publiée en février 2018.
Cependant, l’objectif général de la norme ISO 31000 reste le même – intégrer le management du risque dans un système de management stratégique et opérationnel. La version 2018 est très similaire à la version originale, mais les points suivants identifient les principaux changements pour la version 2018 des lignes directrices :
– les principes de la gestion des risques ont été passés en revue, car ils constituent les critères clés d’une gestion des risques réussie ;
– l’importance du leadership de la direction générale est soulignée, tout comme l’intégration de la gestion des risques, en commençant par la gouvernance de l’organisation ;
– l’accent est mis sur la nature itérative de la gestion des risques, car les nouvelles connaissances et analyses conduisent à une révision des processus, des actions et des contrôles ; et
– le contenu est simplifié et l’accent est mis sur le maintien d’un modèle de systèmes ouverts pour répondre à de multiples besoins et contextes.
La norme ISO 31000:2018 Management du risque – Lignes directrices
« Une grande partie du langage compliqué a été éliminée, de sorte que le texte est plus léger et plus précis. Le nouveau projet est plus court, mais il gagne en clarté et en précision et est beaucoup plus facile à lire. Il comporte des améliorations, telles que l’importance des facteurs humains et culturels dans la réalisation des objectifs d’une organisation et l’accent mis sur l’intégration de la gestion des risques dans le processus décisionnel. »
Comme pour toutes les normes et lignes directrices ISO, la première section substantielle définit les termes clés. Au total, huit termes sont définis, dont la définition du risque comme « l’effet de l’incertitude sur les objectifs ». Cette définition est clarifiée par une note à la définition indiquant que le risque est généralement exprimé en termes de sources de risque, d’événements potentiels, de leurs conséquences et de leur probabilité.
La nouvelle version de l’ISO 31000 est plus courte que la version précédente, et elle présente une vue d’ensemble de haut niveau du management du risque et de la manière dont une initiative de management du risque peut être mise en œuvre. L’ISO 31000 suggère que le management du risque efficace est caractérisé par des principes, un cadre et un processus.
La séparation des principes, du cadre et du processus n’est pas conforme au format suggéré pour les normes de système de management, tel que décrit à l’annexe SL. Cela peut constituer un défi pour les professionnels du risque lorsqu’ils cherchent à produire un plan de mise en œuvre ou une liste de contrôle pour leur initiative de management du risque basée sur l’ISO 31000.
La structure et l’approche globales adoptées par l’édition 2018 de l’ISO 31000 sont parfaitement illustrées par le diagramme inclus dans l’ISO 31000 et reproduit au fil de la page sous la forme de la figure 3. L’ISO 31000 indique que le management du risque repose sur les principes, le cadre et le processus décrits dans les lignes directrices. Elle indique également que ces principes et composants peuvent déjà exister en totalité ou en partie au sein d’une organisation, mais qu’il peut être nécessaire de les adapter ou de les améliorer afin que la gestion des risques soit efficiente, efficace et cohérente.
Extrait modifié du site web de l’ISO, www.iso.org
5 – Directives et principes fournis dans la norme ISO 31000 – principes
La norme ISO 31000 stipule que l’objectif du management du risque est la création et la protection de la valeur. Les principes énoncés dans la norme ISO 31000 fournissent des orientations sur les caractéristiques d’un management du risque efficace et efficient, en communiquant sa valeur et en expliquant son intention et son objectif. Huit principes au total sont présentés dans la norme, comme le montre la figure 3 du présent guide.
Les lignes directrices de la norme ISO 31000 fournissent une déclaration des principes de gestion des risques.
Les huit principes sont décrits ci-dessous :
- 1. Le cadre et les processus doivent être personnalisés et proportionnés.
- 2. L’implication appropriée et opportune des parties prenantes est nécessaire.
- 3. Une approche structurée et complète est nécessaire.
- 4. La gestion des risques fait partie intégrante de toutes les activités de l’organisation.
- 5. La gestion des risques anticipe, détecte, reconnaît et répond aux changements.
- 6. La gestion des risques prend explicitement en compte les limites des informations disponibles.
- 7. Les facteurs humains et culturels influencent tous les aspects de la gestion des risques.
- 8. La gestion des risques est continuellement améliorée par l’apprentissage et l’expérience.
Les cinq premiers principes donnent des indications sur la manière dont une initiative de gestion des risques doit être conçue, et les principes six, sept et huit concernent le fonctionnement de l’initiative de gestion des risques.
Ces derniers principes confirment que les meilleures informations disponibles doivent être utilisées, que les facteurs humains et culturels doivent être pris en compte et que les dispositions de gestion des risques doivent garantir une amélioration continue.
Les cinq premiers principes concernent la conception et la planification de l’initiative de gestion des risques et sont souvent résumés par les termes proportionnés, alignés, complets, intégrés et dynamiques (PACED), comme le montre le tableau 1.
Tableau 1 : Principes de management des risques
| Principe | Description |
| Proportionnel | Les activités de management des risques doivent être proportionnées au niveau de risque auquel l’organisation est confrontée. |
| Aligné | Les activités de management des risques doivent être alignées sur les autres activités de l’organisation. |
| Complémentaire | Pour être pleinement efficace, l’approche de la gestion des risques doit être globale. |
| Dynamique | Les activités de management des risques doivent être intégrées dans l’organisation. |
6 – Lignes directrices fournies dans ISO 31000 – Cadre de référence
Les principes de la gestion des risques et le cadre sont étroitement liés.
Par exemple, l’un des principes est que la gestion des risques doit être intégrée et l’une des composantes du cadre est l’intégration.
Le principe décrit ce qui doit être réalisé, et le cadre fournit des informations sur la manière de réaliser l’intégration requise.
Les lignes directrices de la norme ISO 31000 sont centrées sur le leadership et l’engagement. L’efficacité de la gestion des risques dépendra de son intégration dans tous les aspects de l’organisation, y compris la prise de décision.
Les autres composantes du cadre sont la conception, la mise en œuvre, l’évaluation et l’amélioration.
Cette approche est souvent représentée dans la littérature sur le management par la formule « planifier, faire, vérifier, agir ». Elle est similaire à l’approche « planifier, mettre en œuvre, mesurer, apprendre » (PIML) décrite dans la section 9 de ce guide.
La norme ISO 31000 fournit une description narrative de la manière dont le cadre doit soutenir les activités de management du risque dans une organisation.
On y fait souvent référence en tant qu’architecture du risque, stratégie et protocoles de l’organisation, comme indiqué dans le tableau 2.
La norme ISO 31000 contient des informations sur l’ampleur du leadership et de l’engagement requis, ainsi que sur l’éventail des activités nécessaires à la conception et à la mise en œuvre de l’initiative de management du risque, et ces informations sont compatibles avec les activités énumérées dans le tableau 2.
Tableau 2 : Cadre de management des risques
Architecture de management des risques
- – Structure et mandat des comités
- – Rôles et responsabilités
- – Exigences en matière de rapports internes
- – Contrôles des rapports externes
- – Dispositifs d’assurance de la gestion des risques
Stratégie de management des risques
- – Philosophie de la management des risques
- – Dispositions pour l’intégration de la gestion des risques
- – Appétit pour le risque et attitude face au risque
- – Tests de référence pour l’importance – Déclarations/politiques de risque spécifiques
- – Techniques d’évaluation des risques
- – Priorités en matière de risque pour l’année en cours
Protocoles de management des risques
- – Outils et techniques
- – Système de classification des risques
- – Procédures d’évaluation des risques
- – Règles et procédures de contrôle des risques
- – Réaction aux incidents, problèmes et événements
- – Documentation et tenue de dossiers
- – Formation et communication
- – Procédures et protocoles d’audit
- – Rapports/divulgations/certification
La norme ISO 31000 accorde une grande importance à la compréhension de l’organisation et de son contexte. Des informations sont fournies sur la manière d’examiner le contexte externe et interne de l’organisation. Elle contient également des conseils et des directives sur la formulation de l’engagement en matière de management des risques, l’attribution des rôles et des responsabilités et l’affectation des ressources.
La section cadre de l’ISO 31000 contient des conseils sur la mise en place de la communication et de la consultation, tandis que la section processus des lignes directrices contient des informations plus détaillées. Par conséquent, les conseils sur la communication et la consultation dans la section cadre doivent être lus conjointement avec les conseils sur le même sujet dans la section processus de l’ISO 31000.
La compréhension de l’organisation et de son contexte fait partie des lignes directrices de l’ISO 31000 et est également incluse dans la section sur les processus sous le titre « champ d’application, contexte, critères ».
Les composantes de l’établissement du contexte sont décrites comme suit : définition de l’objectif et du champ d’application des activités de management du risque ; établissement du contexte externe, interne et du management du risque ; et définition des critères de risque. Définir les critères de risque implique de spécifier le montant et le type de risque que l’organisation peut ou ne peut pas prendre, par rapport aux objectifs. C’est ce qu’on appelle généralement « l’appétit pour le risque » de l’organisation.
Cependant, l’ISO 31000 n’utilise pas l’expression « appétit pour le risque », bien qu’elle soit définie dans le Guide ISO 73:2009 Management du risque – Vocabulaire. L’appétit pour le risque est défini dans le Guide 73 comme le montant et le type de risque qu’une organisation est prête à poursuivre ou à conserver.
L’expression « appétit pour le risque » est utilisée par de nombreuses organisations et est fréquemment décrite dans le rapport annuel et les comptes d’un large éventail de types d’organisations différentes. L’ISO 31000 fournit des lignes directrices sur le concept de « critères de risque », mais aucune ligne directrice spécifique au concept plus communément utilisé d' »appétit pour le risque ».
7 – Lignes directrices fournies dans la norme ISO 31000 – processus
La section de l’ISO 31000 relative au processus de management des risques décrit l’évaluation et le traitement des risques comme étant au centre du processus de management des risques.
Cette section comprend également des conseils sur
(1) le champ d’application, le contexte et les critères ;
(2) la communication et la consultation
(3) le suivi et l’examen ; et
(4) l’enregistrement et le compte rendu. Dans de nombreuses organisations, ces quatre dernières activités connexes sont plus étroitement alignées sur le cadre.
On pourrait faire valoir que ces quatre activités font partie du contexte de la gestion des risques et qu’elles devraient donc faire partie du cadre de gestion des risques. Le cadre de management des risques est souvent décrit comme l’architecture, la stratégie et les protocoles de l’organisation en matière de risques.
La nature et l’étendue des activités de management des risques dans une organisation sont influencées par l’attitude et l’appétit pour le risque. L’attitude et la propension au risque de l’organisation, soutenues par les critères de risque pour les différents types de risques, contribuent à définir le contexte de la gestion des risques de l’organisation.
L’attitude et l’appétit pour le risque constituent également les fondements de l’évaluation des risques et de l’enregistrement des résultats dans le registre des risques.
La nature et l’étendue de la communication des informations contenues dans le registre des risques à travers l’architecture des risques de l’organisation contribuent également à définir le contexte de la gestion des risques.
Le contexte du management des risques fait partie du contexte interne d’une organisation. Le contexte interne fait référence à l’organisation elle-même, aux activités qu’elle entreprend, à l’éventail de compétences et de capacités disponibles au sein de l’organisation, et à sa structure. Les parties prenantes internes et leurs attentes font partie du contexte interne.
Le contexte interne concerne la culture de l’organisation, les ressources disponibles, la réception des résultats du processus de gestion des risques et la garantie que ceux-ci influencent les comportements qui soutiennent et assurent la gouvernance du risque et de la gestion des risques. Le contexte interne concerne les objectifs, les capacités et les moyens de l’organisation, ainsi que les processus fondamentaux de l’entreprise qui sont en place. Une considération importante concernant le contexte interne est la manière dont l’organisation prend ses décisions.
Après avoir abordé le contexte de l’organisation, la norme ISO 31000 fournit de nombreuses informations sur le processus de management des risques et propose un diagramme qui est inclus dans le présent guide sous la forme de la figure 3. Il convient de noter que le processus de management des risques n’est plus représenté comme une série d’activités liées entre elles par des flèches de connexion, comme c’était le cas dans la version 2009 de la norme ISO 31000. Le processus de management des risques est maintenant présenté comme un ensemble d’étapes itératives qui sont entreprises de manière coordonnée, mais pas nécessairement dans un ordre strict.
À cet égard, la nouvelle représentation du processus de management des risques dans l’ISO 31000 est similaire à l’approche adoptée par la publication du COSO de 2004 intitulée Enterprise Risk Management – Integrated Framework (COSO ERM cube). L’ISO 31000 reconnaît cette similitude en déclarant : « Bien que le processus de management du risque soit souvent présenté comme séquentiel, il est en pratique itératif ».
Les activités d’évaluation et de traitement des risques sont au cœur du processus de management des risques. L’évaluation des risques est décrite comme comportant les trois étapes suivantes : identification des risques, analyse des risques et évaluation des risques.
Chacune de ces trois étapes est décrite en détail dans la norme ISO 31000 et fournit des informations précieuses sur la manière d’identifier les risques, de les analyser en termes de probabilité et de conséquences et, enfin, de les évaluer par rapport aux critères de risque établis (appétit pour le risque) afin de déterminer si des mesures supplémentaires sont nécessaires. Le traitement des risques est également une partie essentielle du processus de management des risques et l’ISO 31000 fournit des informations sur la sélection des options de traitement des risques, la préparation et la mise en œuvre des plans de traitement des risques.
La norme ISO 31000 indique que la sélection des options de traitement du risque implique de mettre en balance les avantages potentiels de l’introduction d’un traitement supplémentaire du risque (contrôles) et les coûts, efforts ou inconvénients associés.
Le plan de traitement des risques doit clairement identifier le calendrier et les responsabilités pour la mise en œuvre des traitements des risques sélectionnés. Les lignes directrices fournies dans la norme ISO 31000 comprennent des informations, des conseils et des orientations sur toutes les étapes nécessaires pour mettre en œuvre la gestion des risques et assurer l’amélioration continue des performances.
Comme l’illustre la section 8, l’ISO 31000 présente un degré élevé d’exhaustivité par rapport aux exigences de l’annexe SL. La section 9 du présent guide propose une approche consolidée de la mise en œuvre d’une initiative de management des risques en termes de plan, mise en œuvre, mesure et apprentissage (PIML).
ISO 31000:2009 pour le management des risques
L’ISO 31000:2009 fournit des lignes directrices sur la mise en œuvre du management des risques. Elle a été publiée pour la première fois en tant que norme en novembre 2009, et appartient à l’Organisation internationale de normalisation (ISO).
La famille ISO 31000 comprend :
- ISO 31000:2009 – Principes et lignes directrices de mise en œuvre
- ISO/IEC 31010:2009 – Management du risque – Techniques d’évaluation du risque
- Guide ISO 73:2009 – Management du risque – Vocabulaire
L’ISO 31000 fournit des lignes directrices génériques pour la conception, la mise en œuvre et la maintenance des processus de management des risques dans un organisme. La portée de cette approche du management des risques est de permettre à toutes les tâches stratégiques, de management et opérationnelles d’un organisme, à travers les projets, les fonctions et les processus, d’être alignées sur un ensemble commun d’objectifs de management des risques. L’ISO 31000:2009 comprend trois blocs de construction.
Le premier bloc de construction, l’infrastructure de gestion du risque, stipule que le management des risques doit contenir les principes suivants :
- Crée de la valeur
- Partie intégrante des processus organisationnels
- Fait partie de la prise de décision
- Prise en compte explicite de l’incertitude
- Systématique, structurée et opportune
- Basé sur les meilleures informations disponibles
- Adapté à l’organisation
- Tient compte des facteurs humains et culturels
- Transparent et inclusif
- Dynamique, itérative et réactive au changement
- Facilite l’amélioration continue de l’organisation
Le deuxième élément, le cadre de gestion des risques, consiste à créer le bon cadre de gestion des risques grâce à l’engagement de la direction. Une fois l’engagement établi, il y a un cycle d’actions qui comprend les étapes suivantes :
- Concevoir
- Mise en œuvre
- Suivi et révision
- Amélioration continue
Le troisième élément, le processus de management des risques, a été adopté à l’origine de la norme AS/NZS 4360:2004, qui garantit que la communication et le suivi sont effectués tout au long du processus.
8 – Comparaison de l’ISO 31000 par rapport à l’annexe SL
L’ISO a publié des lignes directrices sur le format des normes de systèmes de management en tant qu’Annexe SL et ce format a été adopté pour la version la plus récente de la norme de qualité ISO 9001:2015 Systèmes de management de la qualité – Exigences.
L’annexe SL fournit des informations sur les éléments requis dans une norme de système de management complète. L’annexe A résume le format de l’annexe SL. Les figures 1 et 2 de la section 2 du présent guide illustrent la relation entre les sept éléments essentiels de l’annexe SL.
La figure 1 identifie la relation entre les composantes « portée et conception » du contexte, du leadership et du soutien. La figure 2 identifie la relation entre les composantes « Contrôle et développement » (plan, mise en œuvre, mesure et apprentissage).
La norme ISO 31000 fournit une présentation séparée et des conseils sur les principes, le cadre et le processus de management des risques. La présentation séparée des principes, du cadre et du processus n’est pas alignée sur le format de l’annexe SL. Cette séparation rend difficile la mise en correspondance de la norme ISO 31000 avec l’annexe SL.
Néanmoins, le tableau 3 présente une mise en correspondance des composantes du cadre et du processus de la norme ISO 31000 avec l’annexe SL. Cette mise en correspondance montre que la norme ISO 31000 couvre l’ensemble des exigences d’une norme de système de management.
Tableau 3 : Correspondance entre l’ISO 31000 et l’annexe SL – Les chapitres iso 31000
| Chapitre ou Clause (Article) | Intitulé de l’annexe SL | ISO 31000 (2018) |
| 1 | Domaine d’application | Idem |
| 2 | Références normatives | Idem |
| 3 | Termes et définitions | Idem |
| 4 | Contexte de l’organisation | Idem |
| 4.1 | Comprendre l’organisation et son contexte | Le volet 2 du cadre, intitulé » Intégration « , comprend les éléments suivants déterminer les rôles et les responsabilités en matière de surveillance et veiller à ce que la GR fasse partie de tous les aspects de l’organisation. Le volet 2 du processus : Champ d’application, contexte et critères » : objectif et champ d’application de la gestion des risques, définition des critères de risque et prise de décision en matière de risque. |
| 4.2 | Comprendre les besoins et les attentes des parties intéressées | |
| 4.3 | Détermination de la portée du système de management | |
| 4.4 | Le système de management | |
| 5 | Leadership | |
| 5.1 | Leadership et engagement | La composante 1 du cadre : « Leadership et engagement » comprend l’alignement du RM, de la déclaration de politique générale, les ressources et l’appétit pour le risque Composante 3 du cadre : « Conception » : contexte interne et externe, rôles et responsabilités, communication et consultation. |
| 5.2 | Politique | |
| 5.3 | Rôles, responsabilités et pouvoirs de l’organisation | |
| 6 | Planification | |
| 6.1 | Actions pour faire face aux risques et aux opportunités | La composante 1 du cadre : « Leadership et engagement » comprend l’alignement du RM, de la déclaration de politique générale, les ressources et l’appétit pour le risque Composante 3 du cadre : « Conception » : contexte interne et externe, rôles et responsabilités, communication et consultation. |
| 6.2 | Objectifs du système de management et plan pour les atteindre | |
| 7 | Support | |
| 7.1 | Ressources | Composante 1 du processus : La communication et la consultation comprennent la participation, l’information sur les risques et l’appropriation des risques. Composant 6 du processus : Enregistrement et établissement de rapports comprend les informations nécessaires à la prise de décision et les informations sur les risques destinées aux parties prenantes |
| 7.2 | Compétence | |
| 7.3 | Sensibilisation | |
| 7.4 | Communication | |
| 7.5 | Informations documentées | |
| 8 | Opération | |
| 8.1 | Planification et contrôle des opérations | Composante 4 du cadre : « Mise en œuvre » comprend les délais de mise en œuvre, la prise de décision et les responsabilités en matière de mise en œuvre. Composante 3 du processus : « Évaluation des risques » comprend la description des étapes d’identification, d’analyse et d’évaluation de l’évaluation des risques Composante 4 du processus : Traitement des risques » comprend la sélection, la conception et la mise en œuvre des options de traitement des risques. |
| 9 | Évaluation des performances | |
| 9.1 | Suivi, mesure, analyse et évaluation | Composante 5 du cadre : « Évaluation » comprend la mesure des performances du cadre et le maintien de son adéquation. Composante 5 du processus : Suivi et révision comprend le suivi des résultats de la GR et l’inclusion des risques dans les rapports de performance. |
| 9.2 | Audit interne | |
| 9.3 | Revue du management | |
| 10 | Amélioration | |
| 10.1 | Non-conformité et action corrective | La composante 6 du cadre : » Amélioration » comprend la valeur de la GR, l’adaptation du cadre et l’intégration des activités de GR |
| 10.2 | Amélioration continue |
Avantages de l’ISO 31000 pour les professionnels du risque
Les lignes directrices de l’a norme SO 31000 sont présentées sous forme narrative comme une liste de principes, un cadre et un processus. Il existe plusieurs exemples dans la norme ISO 31000 de chevauchement entre le cadre et le processus, comme le montre l’inclusion du contexte dans la conception du cadre et dans la portée, le contexte et les critères.
Un autre exemple de chevauchement entre le cadre et le processus est que l’établissement de la communication et de la consultation est une composante du processus et est discuté dans le cadre de la composante de conception du cadre.
Outre le chevauchement du cadre et du processus, il existe des exemples de chevauchement des principes et du cadre, notamment l’inclusion de l’intégration comme principe et comme composante du cadre. Ces chevauchements montrent que les professionnels du risque qui utilisent l’ISO 31000 comme base pour la mise en œuvre d’une initiative de management des risques devront extraire les informations et les conseils précieux fournis par la norme ISO 31000 et les développer dans une liste de contrôle de mise en œuvre cohérente et logique.
Les professionnels du risque doivent comprendre les exigences complètes et détaillées d’un système de management, telles qu’elles sont énoncées à l’annexe SL. Ces exigences définissent les composants nécessaires à la mise en œuvre réussie d’une initiative de management, y compris une initiative de management des risques. La liste ci-dessous donne un aperçu des étapes de la mise en œuvre des composantes « Contrôler et développer » de l’annexe SL.
Comment mettre en place norme iso 31000 ?
La mise en œuvre réussie d’une initiative de management des risques est un processus continu qui implique de travailler en permanence sur les 10 activités ci-dessous.
Ces activités se rapportent aux quatre composantes
(1) Planifier ; (2) Mettre en œuvre ; (3) Mesurer ; et (4) Apprendre.
Plan
1. Identifier les avantages escomptés de l’initiative de GR et obtenir le soutien du conseil d’administration.
2. Planifier la portée de l’initiative de GR et élaborer un langage commun en matière de risque.
3. Établir la stratégie et le cadre de la GR, ainsi que les rôles et les responsabilités.
Mettre en œuvre
4. Adopter des outils d’évaluation des risques appropriés et un système de classification des risques convenu.
5. Établir des repères de risque (critères de risque) et entreprendre des évaluations de risque.
6. Déterminer l’appétit pour le risque et les niveaux de tolérance au risque et évaluer les contrôles existants.
Mesure
7. Évaluer l’efficacité des contrôles existants et introduire des améliorations
8. Intégrer une culture consciente des risques et aligner la GR sur d’autres activités de l’organisation
Apprendre
9. Contrôler et examiner les indicateurs de performance en matière de risque pour mesurer la contribution de la gestion des risques
10. Rendre compte de la performance en matière de risques conformément aux obligations et surveiller les améliorations
Bien que l’ISO 31000 couvre l’ensemble des exigences relatives à un système de management, il appartient à l’organisme de convertir ces exigences en une liste de contrôle et un plan d’action. En fait, l’ISO 31000 couvre les composantes « Maîtriser et développer », comme indiqué à la figure 2, de manière concise et facile à comprendre.
Les composantes » Scope and Design » de l’annexe SL sont présentes dans l’ISO 31000, mais la structure des lignes directrices du cadre nécessite une certaine interprétation et une conversion en liste de contrôle ou en plan de mise en œuvre.
Le cadre COSO 2017 ERM – Integrating Strategy and Performance propose une autre approche qui est également utile.
L’ISO 31000 contient de nombreuses informations utiles pour les professionnels du risque qui soutiennent leur employeur et/ou leurs clients dans la mise en œuvre d’une initiative de management des risques.
La combinaison des principes, du cadre et du processus définis dans l’ISO 31000 offre une vision de haut niveau, mais complète, des éléments nécessaires à la mise en œuvre du management des risques dans une organisation.
L’ISO 31000 est une contribution importante et reconnue à un management du risque efficace, mais les professionnels du risque devront extraire les orientations et les conseils les plus pertinents pour leur employeur ou leur client lors de la formulation d’une initiative de management du risque qui contribuera au succès de l’organisation.
