Aperçu du document - OMNES Air France-KLM
Séminaire
"GESTION DES RISQUES DES ENTREPRISES
EVOLUTION ET PERSPECTIVES"
Mardi 22 novembre 2011
Vers la gestion globale des risques au travers de l'ISO 31-000
Sophie Clusel
Ingénieur de recherches à l'AFNOR, doctorante en gestion globale des risques
Mme CLUSEL.- L'objectif de mon intervention d'aujourd'hui, comme l'a mentionné
Philippe Cadorel, est l'introduction au référentiel ISO 31000, version 2009, intitulé "management
du risque : principes et lignes directrices", qui est paru au mois de janvier 2010. Pour cela, le
contenu de cette présentation sera organisé autour de deux axes distincts. Un premier axe qui servira
à présenter le développement de la norme ainsi que ses ambitions et une seconde partie de mon
intervention qui sera un peu plus conséquente et durant laquelle, on rentrera directement dans le
référentiel pour en observer les différentes exigences.
Je commencerai donc par aborder l'origine de ce référentiel.
L'origine de ce référentiel pourrait être observée au regard des 60 années d'activité de la
commission de normalisation inhérente au management du risque. Toutefois, aujourd'hui, je vais
limiter le spectre historique à l'origine directe de ce référentiel. C’est au niveau international c'est-à-
dire au niveau de l’International Standards Organization (l’ISO) qu’en 2004, un nouveau sujet
d’étude relatif à l’élaboration de lignes directrices pour le management des risques a été proposé par
les membres australiens et japonais. Grace au soutien des membres britanniques, la proposition a été
approuvée en Juin 2005 pour débuter les travaux en Septembre de la même année sous la présidence
de M. Kevin Knight (Australie), spécialiste internationalement reconnu.
Ces travaux ont été initiés au regard du très grand nombre de référentiels qui traitent du
management des risques et de sa déclinaison. On a des référentiels pour la gestion des risques
financiers, des référentiels pour la gestion des risques environnementaux, des référentiels pour la
gestion des risques informatiques, etc. De même, dans certains secteurs d'activité particuliers qui
ont de très forts niveaux de contraintes, on a vu également apparaître certains référentiels de gestion
des risques spécifiques. C'est tout particulièrement le cas au niveau du nucléaire, du ferroviaire, au
niveau des procédés, etc.
Concrètement, ce groupe de travail a eu l'ambition de répondre à un constat majeur qui est la
difficulté, voire l'impossibilité à communiquer et à œuvrer ensemble de la part des différents
gestionnaires des risques, qu'ils soient internes ou externes à l'entreprise.
D'un autre côté, quoi de plus normal de ne pas pouvoir communiquer et travailler ensemble quand
on ne parle pas de la même chose ? On a un très bon exemple sur ces deux jours de séminaire où
chacun des intervenants a apporté une définition particulière de ce qu'était l'objet du risque.
Donc, on se retrouve avec une myriade de définitions. Par exemple, pour un gestionnaire financier,
le risque est un objet positif pour lequel on va avoir un appétit alors que pour le gestionnaire des
risques Santé, Sécurité au Travail, son aversion au risque sera supposée maximale. De plus et outre
ces aspects fonctionnels, sont également à mentionner des positionnements culturels qui divergent
quant à l’appréhension du concept de risque.
On observe tout d'abord un positionnement dynamique et quantitatif du risque, qui est plus localisé
dans les pays anglo-saxons qui le considèrent comme unique source de gain ou de profit. Quand
j'entends gain ou profit, j'entends des gains matériels par exemple, des gains financiers mais
également des gains immatériels en termes d'image, de réputation, de bien-être. On a d'un côté ce
positionnement et on a, de l'autre côté, un positionnement un peu plus latin qui est beaucoup plus
statique et qualitatif au niveau du concept de risque. Dans ce cas, on a l'habitude d'observer le
concept de risque en termes uniquement d'espérance d'une perte.
Dans ce cas, le premier point de difficultés qui a été à régler pour cette commission de
normalisation, a été de trouver une définition du risque qui pourrait être pertinente pour l'ensemble
des utilisateurs, c'est-à-dire de l'expert en sûreté de fonctionnement jusqu'à mon assureur.
OMNES – "Gestion des risques des entreprises. Evolution et perspectives" – 22/11/11
Exposé de Sophie Clusel
3
Dans ce cas, l'ISO 31000 propose donc de définir le risque comme étant l'effet de l'incertitude sur
l'atteinte des objectifs.
Les effets mentionnés sont à considérer comme pouvant être soit des catalyseurs, soit des freins par
rapport aux objectifs poursuivis. L'intégration de la notion d'incertitude matérialise la mise en
exergue de l'incomplétude des zones de connaissances sur lesquelles reposent nos processus de
décision. Enfin un peu d'humilité !
Enfin, l'intégration de la notion d'objectif permet de mettre en évidence la nécessaire prise en
compte des différents objectifs et stratégies associées qui contribuent à la survie mais aussi à la
performance d'une organisation.
Je vais m'arrêter là pour la première partie cette présentation, puisque énormément d'éléments de
compréhension et de contextualisation sont explicitement mentionnés au niveau du référentiel. Je
vais maintenant rentrer un peu plus en détail au niveau de cette norme, qui est structurée de la
manière suivante. D'abord, une partie introductive qui permet une contextualisation générale du
référentiel et une partie un peu plus descriptive au niveau des exigences.
La partie introductive contient une introduction qui se passera, aujourd'hui, de commentaire et le
premier paragraphe du référentiel défini son domaine d'application. Dans ce paragraphe, il est
expliqué que la norme ISO 31000 «
peut être appliquée par tout public, toute entreprise publique
ou privée, toute collectivité, toute association, tout groupe ou individu
» indépendamment d’une
industrie ou d’un secteur d’activités particulier/spécifique c'est-à-dire que ce référentiel s’adresse à
tous les types d’organisations. Un deuxième point important est que l'ISO 31000 «
peut être
appliquée … à une large gamme d’activités, dont les stratégies et les prises de décisions, les
activités opérationnelles, les processus, les fonctions, les projets, les produits, les services et les
actifs
»
De même, l'ISO 31000 «
peut s’appliquer à tout type de risque, quelle que soit sa nature, que ses
conséquences soit positives ou négatives
».
Un point très important au niveau du domaine d'application : c'est la distinction qui est faite entre
l'harmonisation et l'uniformisation.
L'ISO 31000 ne vise pas l'uniformisation des pratiques de management des risques au sein des
organisations. L'uniformisation est quelque chose qui apparaîtrait comme illogique, puisque le
management du risque pour sa conception et sa mise en œuvre se doit de tenir compte des besoins
de l'entreprise, de ses objectifs, de sa structure, de son activité, de ses pratiques, etc. Dans ce cas,
l'objectif du référentiel est l'harmonisation des processus de management du risque dans les normes
existantes, dans les normes à venir et ce, en offrant un cadre de référence qui permet à l'ensemble
des gestionnaires des risques d'envisager une approche commune.
Enfin, le dernier point mentionné au niveau du domaine d'application, c'est que ce référentiel n'est
pas certifiable. Il ne donne pas lieu à une certification. Toutefois les débats restent ouverts puisque
certains pays y sont favorables (Angleterre, Suisse, Autriche, NZ, Australie…) car ils disposent de
référentiels de management de risques qui sont certifiables et qui ont été utilisés pour établir l'ISO
31000 version 2009. Mais pour l’instant, beaucoup d’associations de gestion des risques telle que la
FERMA, l’AIRMIC, l’AMRAE…n’y sont pas tout à fait favorable. Le deuxième paragraphe du
référentiel regroupe l'ensemble des termes et définitions qui sont utilisés tels que le risque, l'attitude
face aux risques, etc.
Toutefois, beaucoup de ces définitions sont issues de l’ISO Guide 73 : 2009 (Management du risque
– « Vocabulaire ») publié pour la première fois en 2002 (soit 7 ans avant la 31000), remis à jour en
2009 et qui regroupe une 50aine de définitions inhérentes au vocabulaire générique spécifique
relatif au management du risque.
OMNES – "Gestion des risques des entreprises. Evolution et perspectives" – 22/11/11
Exposé de Sophie Clusel
4
Cela montrait déjà la mise en évidence de la nécessité d'un langage commun, d'un vocabulaire
commun, pour pouvoir discuter ou mettre en œuvre des pratiques communes au niveau de la gestion
des risques.
Plus particulièrement, ce référentiel ISO guide 73, version 2009, avait à l'origine pour objectif
d'encourager une compréhension mutuelle ainsi qu'une approche cohérente des descriptions des
activités qui étaient relatives au management du risque. De plus, ce document tend également à
favoriser l’utilisation de la terminologie du management du risque au niveau des process et
structures inhérent au management du risque.
Après ce premier volet introductif, rentrons un peu plus dans le vif du sujet avec l'organisation des
différentes exigences du référentiel.
La norme est organisée autour de trois grandes parties distinctes qui sont tout d'abord les principes,
le cadre organisationnel et enfin, le processus de management du risque.
Nous allons aborder individuellement chacune des trois parties afin de voir ce qu'elles recouvrent
un peu plus particulièrement.
Concrètement, les principes renseignent sur le "pourquoi mon organisation fait du management du
risque". Le cadre organisationnel va me renseigner sur le comment je vais intégrer ou comment
j'intègre déjà le management du risque au sein de mon organisation. Enfin, le processus renseigne
sur les activités à conduire.
Les principes sont au nombre de onze et sans viser l'exhaustivité, il est important de mentionner tout
d'abord que le management du risque crée de la valeur et la préserve. C'est-à-dire que le
management du risque «
contribue de façon tangible à l'atteinte des objectifs et à l’amélioration des
performances
» de l'organisation dans laquelle il est déployé.
Les performances mentionnées au niveau de l'organisation, sont très variées et ne sont pas
uniquement à appréhender en termes financiers mais on parle bien de performance Santé et Sécurité
au Travail, de conformité règlementaire et légale, de protection de l’environnement, de qualité des
produits, de management de projet, d’efficacité opérationnelle, de gouvernance, de réputation, etc.
Deuxièmement, le management du risque est intégré aux processus organisationnels. Il est utile
pour la maîtrise des activités et des processus de l'organisation.
Ensuite, le management du risque est adapté. C'est-à-dire qu'il est "taillé sur mesure" pour
l'organisation dans laquelle il va être déployé, au regard du contexte interne et externe de cet
organisme mais également au regard de son profil de risque.
Un point très important : le management du risque intègre les facteurs humains et culturels. Cela
signifie que le management du risque doit prendre en compte les aptitudes, les perceptions et les
intentions des personnes internes et externes à l'organisation et ce, sur toutes les personnes qui
pourraient catalyser, aider ou freiner l'atteinte des objectifs de l'organisation.
*Federation of European Risk Management Associations
**
***Association pour le Management des Risques et des Assurances de l’Entreprise
Enfin, le management du risque est transparent et participatif, c'est-à-dire qu'il permet de s'assurer
de l'implication des différentes parties prenantes internes et externes et ce, tant en termes de
représentation que de prise en compte de leurs opinions.
Après les onze principes du management du risque, la norme aborde le cadre organisationnel.
Comme mentionné précédemment, le cadre organisationnel définit comment le management du
risque s'intègre ou est déjà intégré au sein de mon organisation.
OMNES – "Gestion des risques des entreprises. Evolution et perspectives" – 22/11/11
Exposé de Sophie Clusel
5
Le paragraphe inhérent au cadre organisationnel ne décrit pas un système de management du risque
qui serait à mettre en œuvre. Il définit plutôt le processus par lequel les processus de management
du risque sont mis en place et améliorés de façon cohérente et continue au sein d'une organisation.
Le processus du cadre organisationnel est constitué sur la base d'un cycle PDCA (plan, do, check,
act) et est organisé autour des cinq sous-processus présentés.
Premièrement, le mandat et l'engagement. Ce premier point relatif au cadre organisationnel permet
de mettre en lumière la nécessité «
d'un engagement fort et durable de la Direction
» pour la
construction et l'amélioration d'un système de management du risque. Dans ce cas, le référentiel
préconise que la Direction travaille à la définition et à la validation d'une politique de management
des risques, à la détermination d'indicateurs de performance du management des risques, indicateurs
qui doivent être en cohérence avec les indicateurs de performance de l'organisation. Il convient
également que la Direction travaille à l'affectation des ressources et des responsabilités nécessaires
au management des risques.
Une fois qu'on est sûr que la Direction veut faire du management des risques et qu'elle est prête à
mettre en œuvre tout ce qu'il faut pour faire du management des risques, on passe à la conception du
cadre organisationnel du management du risque. Pour cela, il est question de respecter les sept
activités suivantes.
Premièrement, la compréhension de l'organisme et de son contexte par l'évaluation du contexte
interne et externe de l'organisation.
Deuxièmement, l'établissement de la politique de management du risque qui permet, entre autres, la
formalisation des objectifs et de l'engagement de l'organisation dans le domaine.
Troisièmement, la définition des responsabilités, autorités et compétences en matière de
management du risque et ce, y compris au niveau du processus du management du risque.
Quatrièmement, l'intégration au processus organisationnel. Le processus du management du risque
doit être pris en compte au niveau des plans stratégiques, des processus du management du
changement, etc.
Le cinquième point est l'allocation de ressources qui est nécessaire pour le management du risque.
Les deux derniers points sont l'établissement des mécanismes de communication et de rapports
internes et externes à l'organisation.
Après la conception du cadre organisationnel de management du risque, il est question de traiter de
sa mise en œuvre. Pour cela, on a d'abord la mise en œuvre du cadre organisationnel qui permet de
s'assurer que la politique et le processus de management du risque s'appliquent aux différents
processus organisationnels. Et d'un autre côté, la mise en œuvre du processus de management du
risque qui permet de s’assurer que ce processus s'applique à l'ensemble des processus métiers de
l'organisation.
Après la mise en œuvre, vient la surveillance et la revue du cadre organisationnel. Cette composante
particulière permet de s'assurer que le management du risque est efficace. C'est-à-dire qu'il
contribue effectivement à l'atteinte des performances organisationnelles.
Enfin, vient l'amélioration continue du cadre organisationnel. Au regard des résultats qui ont été
obtenus lors de la surveillance et de la revue, il va être question d'identifier les opportunités et de les
mettre en œuvre dans le but d'améliorer le cadre organisationnel, la politique mais également le ou
les plans de management du risque.
La dernière partie de la norme décrit le processus de management du risque qui explique les
différentes activités à conduire. Ce paragraphe peut être appréhendé au regard de cinq sous-
processus distincts.
6
7
1
/
7
100%
