Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Entreprise
  2. Management

Aperçu du document - OMNES Air France-KLM

publicité 
Séminaire
"GESTION DES RISQUES DES ENTREPRISES
EVOLUTION ET PERSPECTIVES"
Mardi 22 novembre 2011
Vers la gestion globale des risques au travers de l'ISO 31-000
Sophie Clusel
Ingénieur de recherches à l'AFNOR, doctorante en gestion globale des risques
Mme CLUSEL.- L'objectif de mon intervention d'aujourd'hui, comme l'a mentionné
Philippe Cadorel, est l'introduction au référentiel ISO 31000, version 2009, intitulé "management
du risque : principes et lignes directrices", qui est paru au mois de janvier 2010. Pour cela, le
contenu de cette présentation sera organisé autour de deux axes distincts. Un premier axe qui servira
à présenter le développement de la norme ainsi que ses ambitions et une seconde partie de mon
intervention qui sera un peu plus conséquente et durant laquelle, on rentrera directement dans le
référentiel pour en observer les différentes exigences.
Je commencerai donc par aborder l'origine de ce référentiel.
L'origine de ce référentiel pourrait être observée au regard des 60 années d'activité de la
commission de normalisation inhérente au management du risque. Toutefois, aujourd'hui, je vais
limiter le spectre historique à l'origine directe de ce référentiel. C’est au niveau international c'est-àdire au niveau de l’International Standards Organization (l’ISO) qu’en 2004, un nouveau sujet
d’étude relatif à l’élaboration de lignes directrices pour le management des risques a été proposé par
les membres australiens et japonais. Grace au soutien des membres britanniques, la proposition a été
approuvée en Juin 2005 pour débuter les travaux en Septembre de la même année sous la présidence
de M. Kevin Knight (Australie), spécialiste internationalement reconnu.
Ces travaux ont été initiés au regard du très grand nombre de référentiels qui traitent du
management des risques et de sa déclinaison. On a des référentiels pour la gestion des risques
financiers, des référentiels pour la gestion des risques environnementaux, des référentiels pour la
gestion des risques informatiques, etc. De même, dans certains secteurs d'activité particuliers qui
ont de très forts niveaux de contraintes, on a vu également apparaître certains référentiels de gestion
des risques spécifiques. C'est tout particulièrement le cas au niveau du nucléaire, du ferroviaire, au
niveau des procédés, etc.
Concrètement, ce groupe de travail a eu l'ambition de répondre à un constat majeur qui est la
difficulté, voire l'impossibilité à communiquer et à œuvrer ensemble de la part des différents
gestionnaires des risques, qu'ils soient internes ou externes à l'entreprise.
D'un autre côté, quoi de plus normal de ne pas pouvoir communiquer et travailler ensemble quand
on ne parle pas de la même chose ? On a un très bon exemple sur ces deux jours de séminaire où
chacun des intervenants a apporté une définition particulière de ce qu'était l'objet du risque.
Donc, on se retrouve avec une myriade de définitions. Par exemple, pour un gestionnaire financier,
le risque est un objet positif pour lequel on va avoir un appétit alors que pour le gestionnaire des
risques Santé, Sécurité au Travail, son aversion au risque sera supposée maximale. De plus et outre
ces aspects fonctionnels, sont également à mentionner des positionnements culturels qui divergent
quant à l’appréhension du concept de risque.
On observe tout d'abord un positionnement dynamique et quantitatif du risque, qui est plus localisé
dans les pays anglo-saxons qui le considèrent comme unique source de gain ou de profit. Quand
j'entends gain ou profit, j'entends des gains matériels par exemple, des gains financiers mais
également des gains immatériels en termes d'image, de réputation, de bien-être. On a d'un côté ce
positionnement et on a, de l'autre côté, un positionnement un peu plus latin qui est beaucoup plus
statique et qualitatif au niveau du concept de risque. Dans ce cas, on a l'habitude d'observer le
concept de risque en termes uniquement d'espérance d'une perte.
Dans ce cas, le premier point de difficultés qui a été à régler pour cette commission de
normalisation, a été de trouver une définition du risque qui pourrait être pertinente pour l'ensemble
des utilisateurs, c'est-à-dire de l'expert en sûreté de fonctionnement jusqu'à mon assureur.
OMNES – "Gestion des risques des entreprises. Evolution et perspectives" – 22/11/11
3
Dans ce cas, l'ISO 31000 propose donc de définir le risque comme étant l'effet de l'incertitude sur
l'atteinte des objectifs.
Les effets mentionnés sont à considérer comme pouvant être soit des catalyseurs, soit des freins par
rapport aux objectifs poursuivis. L'intégration de la notion d'incertitude matérialise la mise en
exergue de l'incomplétude des zones de connaissances sur lesquelles reposent nos processus de
décision. Enfin un peu d'humilité !
Enfin, l'intégration de la notion d'objectif permet de mettre en évidence la nécessaire prise en
compte des différents objectifs et stratégies associées qui contribuent à la survie mais aussi à la
performance d'une organisation.
Je vais m'arrêter là pour la première partie cette présentation, puisque énormément d'éléments de
compréhension et de contextualisation sont explicitement mentionnés au niveau du référentiel. Je
vais maintenant rentrer un peu plus en détail au niveau de cette norme, qui est structurée de la
manière suivante. D'abord, une partie introductive qui permet une contextualisation générale du
référentiel et une partie un peu plus descriptive au niveau des exigences.
La partie introductive contient une introduction qui se passera, aujourd'hui, de commentaire et le
premier paragraphe du référentiel défini son domaine d'application. Dans ce paragraphe, il est
expliqué que la norme ISO 31000 « peut être appliquée par tout public, toute entreprise publique
ou privée, toute collectivité, toute association, tout groupe ou individu » indépendamment d’une
industrie ou d’un secteur d’activités particulier/spécifique c'est-à-dire que ce référentiel s’adresse à
tous les types d’organisations. Un deuxième point important est que l'ISO 31000 « peut être
appliquée … à une large gamme d’activités, dont les stratégies et les prises de décisions, les
activités opérationnelles, les processus, les fonctions, les projets, les produits, les services et les
actifs »
De même, l'ISO 31000 « peut s’appliquer à tout type de risque, quelle que soit sa nature, que ses
conséquences soit positives ou négatives ».
Un point très important au niveau du domaine d'application : c'est la distinction qui est faite entre
l'harmonisation et l'uniformisation.
L'ISO 31000 ne vise pas l'uniformisation des pratiques de management des risques au sein des
organisations. L'uniformisation est quelque chose qui apparaîtrait comme illogique, puisque le
management du risque pour sa conception et sa mise en œuvre se doit de tenir compte des besoins
de l'entreprise, de ses objectifs, de sa structure, de son activité, de ses pratiques, etc. Dans ce cas,
l'objectif du référentiel est l'harmonisation des processus de management du risque dans les normes
existantes, dans les normes à venir et ce, en offrant un cadre de référence qui permet à l'ensemble
des gestionnaires des risques d'envisager une approche commune.
Enfin, le dernier point mentionné au niveau du domaine d'application, c'est que ce référentiel n'est
pas certifiable. Il ne donne pas lieu à une certification. Toutefois les débats restent ouverts puisque
certains pays y sont favorables (Angleterre, Suisse, Autriche, NZ, Australie…) car ils disposent de
référentiels de management de risques qui sont certifiables et qui ont été utilisés pour établir l'ISO
31000 version 2009. Mais pour l’instant, beaucoup d’associations de gestion des risques telle que la
FERMA, l’AIRMIC, l’AMRAE…n’y sont pas tout à fait favorable. Le deuxième paragraphe du
référentiel regroupe l'ensemble des termes et définitions qui sont utilisés tels que le risque, l'attitude
face aux risques, etc.
Toutefois, beaucoup de ces définitions sont issues de l’ISO Guide 73 : 2009 (Management du risque
– « Vocabulaire ») publié pour la première fois en 2002 (soit 7 ans avant la 31000), remis à jour en
2009 et qui regroupe une 50aine de définitions inhérentes au vocabulaire générique spécifique
relatif au management du risque.
Exposé de Sophie Clusel
OMNES – "Gestion des risques des entreprises. Evolution et perspectives" – 22/11/11
4
Cela montrait déjà la mise en évidence de la nécessité d'un langage commun, d'un vocabulaire
commun, pour pouvoir discuter ou mettre en œuvre des pratiques communes au niveau de la gestion
des risques.
Plus particulièrement, ce référentiel ISO guide 73, version 2009, avait à l'origine pour objectif
d'encourager une compréhension mutuelle ainsi qu'une approche cohérente des descriptions des
activités qui étaient relatives au management du risque. De plus, ce document tend également à
favoriser l’utilisation de la terminologie du management du risque au niveau des process et
structures inhérent au management du risque.
Après ce premier volet introductif, rentrons un peu plus dans le vif du sujet avec l'organisation des
différentes exigences du référentiel.
La norme est organisée autour de trois grandes parties distinctes qui sont tout d'abord les principes,
le cadre organisationnel et enfin, le processus de management du risque.
Nous allons aborder individuellement chacune des trois parties afin de voir ce qu'elles recouvrent
un peu plus particulièrement.
Concrètement, les principes renseignent sur le "pourquoi mon organisation fait du management du
risque". Le cadre organisationnel va me renseigner sur le comment je vais intégrer ou comment
j'intègre déjà le management du risque au sein de mon organisation. Enfin, le processus renseigne
sur les activités à conduire.
Les principes sont au nombre de onze et sans viser l'exhaustivité, il est important de mentionner tout
d'abord que le management du risque crée de la valeur et la préserve. C'est-à-dire que le
management du risque « contribue de façon tangible à l'atteinte des objectifs et à l’amélioration des
performances » de l'organisation dans laquelle il est déployé.
Les performances mentionnées au niveau de l'organisation, sont très variées et ne sont pas
uniquement à appréhender en termes financiers mais on parle bien de performance Santé et Sécurité
au Travail, de conformité règlementaire et légale, de protection de l’environnement, de qualité des
produits, de management de projet, d’efficacité opérationnelle, de gouvernance, de réputation, etc.
Deuxièmement, le management du risque est intégré aux processus organisationnels. Il est utile
pour la maîtrise des activités et des processus de l'organisation.
Ensuite, le management du risque est adapté. C'est-à-dire qu'il est "taillé sur mesure" pour
l'organisation dans laquelle il va être déployé, au regard du contexte interne et externe de cet
organisme mais également au regard de son profil de risque.
Un point très important : le management du risque intègre les facteurs humains et culturels. Cela
signifie que le management du risque doit prendre en compte les aptitudes, les perceptions et les
intentions des personnes internes et externes à l'organisation et ce, sur toutes les personnes qui
pourraient catalyser, aider ou freiner l'atteinte des objectifs de l'organisation.
*Federation of European Risk Management Associations
**
***Association pour le Management des Risques et des Assurances de l’Entreprise
Enfin, le management du risque est transparent et participatif, c'est-à-dire qu'il permet de s'assurer
de l'implication des différentes parties prenantes internes et externes et ce, tant en termes de
représentation que de prise en compte de leurs opinions.
Après les onze principes du management du risque, la norme aborde le cadre organisationnel.
Comme mentionné précédemment, le cadre organisationnel définit comment le management du
risque s'intègre ou est déjà intégré au sein de mon organisation.
Exposé de Sophie Clusel
OMNES – "Gestion des risques des entreprises. Evolution et perspectives" – 22/11/11
5
Le paragraphe inhérent au cadre organisationnel ne décrit pas un système de management du risque
qui serait à mettre en œuvre. Il définit plutôt le processus par lequel les processus de management
du risque sont mis en place et améliorés de façon cohérente et continue au sein d'une organisation.
Le processus du cadre organisationnel est constitué sur la base d'un cycle PDCA (plan, do, check,
act) et est organisé autour des cinq sous-processus présentés.
Premièrement, le mandat et l'engagement. Ce premier point relatif au cadre organisationnel permet
de mettre en lumière la nécessité « d'un engagement fort et durable de la Direction » pour la
construction et l'amélioration d'un système de management du risque. Dans ce cas, le référentiel
préconise que la Direction travaille à la définition et à la validation d'une politique de management
des risques, à la détermination d'indicateurs de performance du management des risques, indicateurs
qui doivent être en cohérence avec les indicateurs de performance de l'organisation. Il convient
également que la Direction travaille à l'affectation des ressources et des responsabilités nécessaires
au management des risques.
Une fois qu'on est sûr que la Direction veut faire du management des risques et qu'elle est prête à
mettre en œuvre tout ce qu'il faut pour faire du management des risques, on passe à la conception du
cadre organisationnel du management du risque. Pour cela, il est question de respecter les sept
activités suivantes.
Premièrement, la compréhension de l'organisme et de son contexte par l'évaluation du contexte
interne et externe de l'organisation.
Deuxièmement, l'établissement de la politique de management du risque qui permet, entre autres, la
formalisation des objectifs et de l'engagement de l'organisation dans le domaine.
Troisièmement, la définition des responsabilités, autorités et compétences en matière de
management du risque et ce, y compris au niveau du processus du management du risque.
Quatrièmement, l'intégration au processus organisationnel. Le processus du management du risque
doit être pris en compte au niveau des plans stratégiques, des processus du management du
changement, etc.
Le cinquième point est l'allocation de ressources qui est nécessaire pour le management du risque.
Les deux derniers points sont l'établissement des mécanismes de communication et de rapports
internes et externes à l'organisation.
Après la conception du cadre organisationnel de management du risque, il est question de traiter de
sa mise en œuvre. Pour cela, on a d'abord la mise en œuvre du cadre organisationnel qui permet de
s'assurer que la politique et le processus de management du risque s'appliquent aux différents
processus organisationnels. Et d'un autre côté, la mise en œuvre du processus de management du
risque qui permet de s’assurer que ce processus s'applique à l'ensemble des processus métiers de
l'organisation.
Après la mise en œuvre, vient la surveillance et la revue du cadre organisationnel. Cette composante
particulière permet de s'assurer que le management du risque est efficace. C'est-à-dire qu'il
contribue effectivement à l'atteinte des performances organisationnelles.
Enfin, vient l'amélioration continue du cadre organisationnel. Au regard des résultats qui ont été
obtenus lors de la surveillance et de la revue, il va être question d'identifier les opportunités et de les
mettre en œuvre dans le but d'améliorer le cadre organisationnel, la politique mais également le ou
les plans de management du risque.
La dernière partie de la norme décrit le processus de management du risque qui explique les
différentes activités à conduire. Ce paragraphe peut être appréhendé au regard de cinq sousprocessus distincts.
Exposé de Sophie Clusel
OMNES – "Gestion des risques des entreprises. Evolution et perspectives" – 22/11/11
6
Tout-abord, la communication et la concertation, pour lesquelles le référentiel stipule qu'elles
doivent être réalisées avec l'ensemble des parties prenantes et à toutes les étapes de processus de
management de risques. Ceci se traduit opérationnellement, entre autres, par l'élaboration de plans
de communication qui visent, dans certains cas, à la formalisation d'une approche consultative.
Après la communication et la concertation, vient l'établissement du contexte qui a pour objectif
général de définir les paramètres fondamentaux dans lesquels l'activité de management des risques
s'intègre ou va s'intégrer. Ces paramètres fondamentaux sont issus de différentes sources. Tout
d'abord du contexte externe, c'est-à-dire de l'environnement dans lequel une organisation va
chercher à atteindre ses objectifs.
De façon non exhaustive, le contexte externe peut comprendre l'environnement social, culturel,
politique, réglementaire, technologique, etc., mais il est également question de prendre en compte, à
ce niveau, les relations entretenues avec les parties prenantes externes en intégrant leurs perceptions
et valeurs.
Une deuxième source pour les paramètres fondamentaux, est le contexte interne à l'organisation.
C'est-à-dire que ces critères vont être issus de la gouvernance des politiques en place, des aptitudes,
de la culture de l’organisation, etc.
La troisième étape de l'établissement du contexte est l'établissement du contexte du processus de
management du risque qui va nous permettre de définir les objectifs, les stratégies associées qui
seront déployées au sein de l'organisation, les domaines d'application, etc.
Enfin, le dernier point de l'établissement du contexte, c'est la définition des critères de risque qui
vont nous servir de « termes de référence vis-à-vis desquels l’importance d’un risque est évaluée ».
Après l'établissement du contexte vient l'appréciation du risque. L'appréciation du risque est au
cœur du processus de management du risque. Elle regroupe l'identification, l'analyse et l'évaluation
des risques.
Quand je dis que l'appréciation du risque est au cœur du processus de management du risque, son
importance est telle que cette activité fait l'objet d'un référentiel spécifique qui est l'ISO 31010,
version 2009 qui fournit les lignes directrices sur les techniques d'appréciation du risque.
L'objectif de l'identification du risque est « de dresser une liste exhaustive des risques » qui
pourraient favoriser ou freiner l'atteinte des objectifs de l'organisation. À la sortie de cette
identification des risques, on doit avoir une liste exhaustive des risques que l'organisation doit gérer.
Si un risque n'est pas identifié à ce stade, il y a très peu de chances qu'on l'identifie à la suite du
processus, à part au niveau de la surveillance et de la revue. D'où l'importance de s'assurer de
l'exhaustivité de la liste qui a été établie.
L'identification des risques doit apporter des éléments de réponse à la chaîne du risque. C'est-à-dire
qu'il est question de travailler au niveau des sources, des causes, des événements, des domaines
d'impact ainsi qu'au niveau des conséquences potentielles d'un risque, conséquences potentielles qui
peuvent être soit positives, soit négatives.
Une fois l'identification réalisée, l'objectif de l'analyse du risque est de comprendre comment le
risque se développe au sein de mon organisation. Pour cela, on va travailler à l'établissement d'un
niveau de risque et ce, à partir du travail réalisé autour des conséquences d'une part, qu'elles soient
positives ou négatives et d'autre part, autour de leurs vraisemblances.
Après l'analyse, vient l'évaluation du risque qui est réalisée au regard des résultats obtenus durant
l'analyse. Concrètement, l'évaluation du risque est réalisée par comparaison entre le niveau de
risque qui a été établi au niveau de l'analyse et le critère de risque qui a été préalablement défini au
niveau de l'établissement du contexte.
Exposé de Sophie Clusel
OMNES – "Gestion des risques des entreprises. Evolution et perspectives" – 22/11/11
7
Au niveau de cette étape, il est possible de déterminer quels sont les risques à traiter mais également
quelles sont les priorités de mise en œuvre au niveau des traitements.
Le traitement du risque qui repose surtout d'abord sur l'identification des options de traitement. Les
options de traitement peuvent comprendre par exemple, le refus du risque, c'est-à-dire que l'on
arrête le projet ou l'activité ; la modification des conséquences pour que le niveau de risque
devienne acceptable ; ou l'acceptation, voire l'augmentation du risque lorsqu'on veut saisir une
opportunité.
Après l'identification des options, vient l'évaluation et la sélection de celles-ci. Et ce, grâce entre
autres, au niveau de tolérabilité du risque résiduel. Une fois qu'on a sélectionné les solutions de
traitement, vient l'élaboration des plans qui permettent de documenter la mise en œuvre du
traitement et enfin la mise en œuvre.
Finalement, la dernière composante du processus de management du risque est la surveillance et
revue. L'objectif de la surveillance et revue au niveau du processus du management du risque est de
réévaluer les activités du management du risque qui sont conduites par l'organisation. Cette
surveillance et revue doit s'appliquer à tous les aspects du processus du management du risque et
permet, par exemple, l'identification de risques émergents.
Nous venons de voir l'ensemble des points importants relatifs à la norme ISO 31000 version 2009.
Il ne me reste plus qu'à conclure. Pour cela, je dirais que ce référentiel qui est en passe d'être
reconnu internationalement est réellement un bond en avant, un bond de géant en avant dans le
domaine du management du risque. Cela nous permet d'entrevoir l'émergence de nouvelles
pratiques que j'attends avec impatience.
De plus, en proposant un langage commun aux différents acteurs du management du risque, je
pense que ce référentiel va permettre d'offrir une voix à certains acteurs qui n'avaient pas
énormément de poids jusque là.
Toutefois, même si ce référentiel représente une avancée significative, il reste encore beaucoup de
travail à fournir pour s'assurer que l'ensemble des acteurs économiques aient accès à ce type d'outil.
Et quand je parle d'accessibilité, j'entends tout particulièrement au niveau des acteurs socioéconomiques qui sont les plus petits, comme par exemple les TPE ou les PME, pour qui ce type de
référentiel reste encore assez lourd, malgré sa robustesse.
Exposé de Sophie Clusel
Documents connexes
Fax Coversheet
Fax Coversheet
chef de service – développement organisationnel
chef de service – développement organisationnel
ISO 31000 - management du risque
ISO 31000 - management du risque
Préparer certification ISO 20000
Préparer certification ISO 20000
Définitions, théories et applications des organisations
Définitions, théories et applications des organisations
Analyse  des o rganisations  et d esign o rganisationnel
Analyse  des o rganisations  et d esign o rganisationnel
La gouvernance au sénégal
La gouvernance au sénégal
Open access
Open access
Introduction
Introduction
Fiche Service FLE n°1
Fiche Service FLE n°1
View summary
View summary
The missing concept in organizational studies
The missing concept in organizational studies
Aucun titre de diapositive
Aucun titre de diapositive
Poster Patient
Poster Patient
développement durable - Boites aux lettres RENZ
développement durable - Boites aux lettres RENZ
la norme iso 9001v2015
la norme iso 9001v2015
PARTIE 1 LES FONDEMENTS Chapitre 1 L`état des lieux et les
PARTIE 1 LES FONDEMENTS Chapitre 1 L`état des lieux et les
Téléchargement
publicité