Séminaire "GESTION DES RISQUES DES ENTREPRISES EVOLUTION ET PERSPECTIVES" Mardi 22 novembre 2011 Vers la gestion globale des risques au travers de l'ISO 31-000 Sophie Clusel Ingénieur de recherches à l'AFNOR, doctorante en gestion globale des risques Mme CLUSEL.- L'objectif de mon intervention d'aujourd'hui, comme l'a mentionné Philippe Cadorel, est l'introduction au référentiel ISO 31000, version 2009, intitulé "management du risque : principes et lignes directrices", qui est paru au mois de janvier 2010. Pour cela, le contenu de cette présentation sera organisé autour de deux axes distincts. Un premier axe qui servira à présenter le développement de la norme ainsi que ses ambitions et une seconde partie de mon intervention qui sera un peu plus conséquente et durant laquelle, on rentrera directement dans le référentiel pour en observer les différentes exigences. Je commencerai donc par aborder l'origine de ce référentiel. L'origine de ce référentiel pourrait être observée au regard des 60 années d'activité de la commission de normalisation inhérente au management du risque. Toutefois, aujourd'hui, je vais limiter le spectre historique à l'origine directe de ce référentiel. C’est au niveau international c'est-àdire au niveau de l’International Standards Organization (l’ISO) qu’en 2004, un nouveau sujet d’étude relatif à l’élaboration de lignes directrices pour le management des risques a été proposé par les membres australiens et japonais. Grace au soutien des membres britanniques, la proposition a été approuvée en Juin 2005 pour débuter les travaux en Septembre de la même année sous la présidence de M. Kevin Knight (Australie), spécialiste internationalement reconnu. Ces travaux ont été initiés au regard du très grand nombre de référentiels qui traitent du management des risques et de sa déclinaison. On a des référentiels pour la gestion des risques financiers, des référentiels pour la gestion des risques environnementaux, des référentiels pour la gestion des risques informatiques, etc. De même, dans certains secteurs d'activité particuliers qui ont de très forts niveaux de contraintes, on a vu également apparaître certains référentiels de gestion des risques spécifiques. C'est tout particulièrement le cas au niveau du nucléaire, du ferroviaire, au niveau des procédés, etc. Concrètement, ce groupe de travail a eu l'ambition de répondre à un constat majeur qui est la difficulté, voire l'impossibilité à communiquer et à œuvrer ensemble de la part des différents gestionnaires des risques, qu'ils soient internes ou externes à l'entreprise. D'un autre côté, quoi de plus normal de ne pas pouvoir communiquer et travailler ensemble quand on ne parle pas de la même chose ? On a un très bon exemple sur ces deux jours de séminaire où chacun des intervenants a apporté une définition particulière de ce qu'était l'objet du risque. Donc, on se retrouve avec une myriade de définitions. Par exemple, pour un gestionnaire financier, le risque est un objet positif pour lequel on va avoir un appétit alors que pour le gestionnaire des risques Santé, Sécurité au Travail, son aversion au risque sera supposée maximale. De plus et outre ces aspects fonctionnels, sont également à mentionner des positionnements culturels qui divergent quant à l’appréhension du concept de risque. On observe tout d'abord un positionnement dynamique et quantitatif du risque, qui est plus localisé dans les pays anglo-saxons qui le considèrent comme unique source de gain ou de profit. Quand j'entends gain ou profit, j'entends des gains matériels par exemple, des gains financiers mais également des gains immatériels en termes d'image, de réputation, de bien-être. On a d'un côté ce positionnement et on a, de l'autre côté, un positionnement un peu plus latin qui est beaucoup plus statique et qualitatif au niveau du concept de risque. Dans ce cas, on a l'habitude d'observer le concept de risque en termes uniquement d'espérance d'une perte. Dans ce cas, le premier point de difficultés qui a été à régler pour cette commission de normalisation, a été de trouver une définition du risque qui pourrait être pertinente pour l'ensemble des utilisateurs, c'est-à-dire de l'expert en sûreté de fonctionnement jusqu'à mon assureur. OMNES – "Gestion des risques des entreprises. Evolution et perspectives" – 22/11/11 3 Dans ce cas, l'ISO 31000 propose donc de définir le risque comme étant l'effet de l'incertitude sur l'atteinte des objectifs. Les effets mentionnés sont à considérer comme pouvant être soit des catalyseurs, soit des freins par rapport aux objectifs poursuivis. L'intégration de la notion d'incertitude matérialise la mise en exergue de l'incomplétude des zones de connaissances sur lesquelles reposent nos processus de décision. Enfin un peu d'humilité ! Enfin, l'intégration de la notion d'objectif permet de mettre en évidence la nécessaire prise en compte des différents objectifs et stratégies associées qui contribuent à la survie mais aussi à la performance d'une organisation. Je vais m'arrêter là pour la première partie cette présentation, puisque énormément d'éléments de compréhension et de contextualisation sont explicitement mentionnés au niveau du référentiel. Je vais maintenant rentrer un peu plus en détail au niveau de cette norme, qui est structurée de la manière suivante. D'abord, une partie introductive qui permet une contextualisation générale du référentiel et une partie un peu plus descriptive au niveau des exigences. La partie introductive contient une introduction qui se passera, aujourd'hui, de commentaire et le premier paragraphe du référentiel défini son domaine d'application. Dans ce paragraphe, il est expliqué que la norme ISO 31000 « peut être appliquée par tout public, toute entreprise publique ou privée, toute collectivité, toute association, tout groupe ou individu » indépendamment d’une industrie ou d’un secteur d’activités particulier/spécifique c'est-à-dire que ce référentiel s’adresse à tous les types d’organisations. Un deuxième point important est que l'ISO 31000 « peut être appliquée … à une large gamme d’activités, dont les stratégies et les prises de décisions, les activités opérationnelles, les processus, les fonctions, les projets, les produits, les services et les actifs » De même, l'ISO 31000 « peut s’appliquer à tout type de risque, quelle que soit sa nature, que ses conséquences soit positives ou négatives ». Un point très important au niveau du domaine d'application : c'est la distinction qui est faite entre l'harmonisation et l'uniformisation. L'ISO 31000 ne vise pas l'uniformisation des pratiques de management des risques au sein des organisations. L'uniformisation est quelque chose qui apparaîtrait comme illogique, puisque le management du risque pour sa conception et sa mise en œuvre se doit de tenir compte des besoins de l'entreprise, de ses objectifs, de sa structure, de son activité, de ses pratiques, etc. Dans ce cas, l'objectif du référentiel est l'harmonisation des processus de management du risque dans les normes existantes, dans les normes à venir et ce, en offrant un cadre de référence qui permet à l'ensemble des gestionnaires des risques d'envisager une approche commune. Enfin, le dernier point mentionné au niveau du domaine d'application, c'est que ce référentiel n'est pas certifiable. Il ne donne pas lieu à une certification. Toutefois les débats restent ouverts puisque certains pays y sont favorables (Angleterre, Suisse, Autriche, NZ, Australie…) car ils disposent de référentiels de management de risques qui sont certifiables et qui ont été utilisés pour établir l'ISO 31000 version 2009. Mais pour l’instant, beaucoup d’associations de gestion des risques telle que la FERMA, l’AIRMIC, l’AMRAE…n’y sont pas tout à fait favorable. Le deuxième paragraphe du référentiel regroupe l'ensemble des termes et définitions qui sont utilisés tels que le risque, l'attitude face aux risques, etc. Toutefois, beaucoup de ces définitions sont issues de l’ISO Guide 73 : 2009 (Management du risque – « Vocabulaire ») publié pour la première fois en 2002 (soit 7 ans avant la 31000), remis à jour en 2009 et qui regroupe une 50aine de définitions inhérentes au vocabulaire générique spécifique relatif au management du risque. Exposé de Sophie Clusel OMNES – "Gestion des risques des entreprises. Evolution et perspectives" – 22/11/11 4 Cela montrait déjà la mise en évidence de la nécessité d'un langage commun, d'un vocabulaire commun, pour pouvoir discuter ou mettre en œuvre des pratiques communes au niveau de la gestion des risques. Plus particulièrement, ce référentiel ISO guide 73, version 2009, avait à l'origine pour objectif d'encourager une compréhension mutuelle ainsi qu'une approche cohérente des descriptions des activités qui étaient relatives au management du risque. De plus, ce document tend également à favoriser l’utilisation de la terminologie du management du risque au niveau des process et structures inhérent au management du risque. Après ce premier volet introductif, rentrons un peu plus dans le vif du sujet avec l'organisation des différentes exigences du référentiel. La norme est organisée autour de trois grandes parties distinctes qui sont tout d'abord les principes, le cadre organisationnel et enfin, le processus de management du risque. Nous allons aborder individuellement chacune des trois parties afin de voir ce qu'elles recouvrent un peu plus particulièrement. Concrètement, les principes renseignent sur le "pourquoi mon organisation fait du management du risque". Le cadre organisationnel va me renseigner sur le comment je vais intégrer ou comment j'intègre déjà le management du risque au sein de mon organisation. Enfin, le processus renseigne sur les activités à conduire. Les principes sont au nombre de onze et sans viser l'exhaustivité, il est important de mentionner tout d'abord que le management du risque crée de la valeur et la préserve. C'est-à-dire que le management du risque « contribue de façon tangible à l'atteinte des objectifs et à l’amélioration des performances » de l'organisation dans laquelle il est déployé. Les performances mentionnées au niveau de l'organisation, sont très variées et ne sont pas uniquement à appréhender en termes financiers mais on parle bien de performance Santé et Sécurité au Travail, de conformité règlementaire et légale, de protection de l’environnement, de qualité des produits, de management de projet, d’efficacité opérationnelle, de gouvernance, de réputation, etc. Deuxièmement, le management du risque est intégré aux processus organisationnels. Il est utile pour la maîtrise des activités et des processus de l'organisation. Ensuite, le management du risque est adapté. C'est-à-dire qu'il est "taillé sur mesure" pour l'organisation dans laquelle il va être déployé, au regard du contexte interne et externe de cet organisme mais également au regard de son profil de risque. Un point très important : le management du risque intègre les facteurs humains et culturels. Cela signifie que le management du risque doit prendre en compte les aptitudes, les perceptions et les intentions des personnes internes et externes à l'organisation et ce, sur toutes les personnes qui pourraient catalyser, aider ou freiner l'atteinte des objectifs de l'organisation. *Federation of European Risk Management Associations ** ***Association pour le Management des Risques et des Assurances de l’Entreprise Enfin, le management du risque est transparent et participatif, c'est-à-dire qu'il permet de s'assurer de l'implication des différentes parties prenantes internes et externes et ce, tant en termes de représentation que de prise en compte de leurs opinions. Après les onze principes du management du risque, la norme aborde le cadre organisationnel. Comme mentionné précédemment, le cadre organisationnel définit comment le management du risque s'intègre ou est déjà intégré au sein de mon organisation. Exposé de Sophie Clusel OMNES – "Gestion des risques des entreprises. Evolution et perspectives" – 22/11/11 5 Le paragraphe inhérent au cadre organisationnel ne décrit pas un système de management du risque qui serait à mettre en œuvre. Il définit plutôt le processus par lequel les processus de management du risque sont mis en place et améliorés de façon cohérente et continue au sein d'une organisation. Le processus du cadre organisationnel est constitué sur la base d'un cycle PDCA (plan, do, check, act) et est organisé autour des cinq sous-processus présentés. Premièrement, le mandat et l'engagement. Ce premier point relatif au cadre organisationnel permet de mettre en lumière la nécessité « d'un engagement fort et durable de la Direction » pour la construction et l'amélioration d'un système de management du risque. Dans ce cas, le référentiel préconise que la Direction travaille à la définition et à la validation d'une politique de management des risques, à la détermination d'indicateurs de performance du management des risques, indicateurs qui doivent être en cohérence avec les indicateurs de performance de l'organisation. Il convient également que la Direction travaille à l'affectation des ressources et des responsabilités nécessaires au management des risques. Une fois qu'on est sûr que la Direction veut faire du management des risques et qu'elle est prête à mettre en œuvre tout ce qu'il faut pour faire du management des risques, on passe à la conception du cadre organisationnel du management du risque. Pour cela, il est question de respecter les sept activités suivantes. Premièrement, la compréhension de l'organisme et de son contexte par l'évaluation du contexte interne et externe de l'organisation. Deuxièmement, l'établissement de la politique de management du risque qui permet, entre autres, la formalisation des objectifs et de l'engagement de l'organisation dans le domaine. Troisièmement, la définition des responsabilités, autorités et compétences en matière de management du risque et ce, y compris au niveau du processus du management du risque. Quatrièmement, l'intégration au processus organisationnel. Le processus du management du risque doit être pris en compte au niveau des plans stratégiques, des processus du management du changement, etc. Le cinquième point est l'allocation de ressources qui est nécessaire pour le management du risque. Les deux derniers points sont l'établissement des mécanismes de communication et de rapports internes et externes à l'organisation. Après la conception du cadre organisationnel de management du risque, il est question de traiter de sa mise en œuvre. Pour cela, on a d'abord la mise en œuvre du cadre organisationnel qui permet de s'assurer que la politique et le processus de management du risque s'appliquent aux différents processus organisationnels. Et d'un autre côté, la mise en œuvre du processus de management du risque qui permet de s’assurer que ce processus s'applique à l'ensemble des processus métiers de l'organisation. Après la mise en œuvre, vient la surveillance et la revue du cadre organisationnel. Cette composante particulière permet de s'assurer que le management du risque est efficace. C'est-à-dire qu'il contribue effectivement à l'atteinte des performances organisationnelles. Enfin, vient l'amélioration continue du cadre organisationnel. Au regard des résultats qui ont été obtenus lors de la surveillance et de la revue, il va être question d'identifier les opportunités et de les mettre en œuvre dans le but d'améliorer le cadre organisationnel, la politique mais également le ou les plans de management du risque. La dernière partie de la norme décrit le processus de management du risque qui explique les différentes activités à conduire. Ce paragraphe peut être appréhendé au regard de cinq sousprocessus distincts. Exposé de Sophie Clusel OMNES – "Gestion des risques des entreprises. Evolution et perspectives" – 22/11/11 6 Tout-abord, la communication et la concertation, pour lesquelles le référentiel stipule qu'elles doivent être réalisées avec l'ensemble des parties prenantes et à toutes les étapes de processus de management de risques. Ceci se traduit opérationnellement, entre autres, par l'élaboration de plans de communication qui visent, dans certains cas, à la formalisation d'une approche consultative. Après la communication et la concertation, vient l'établissement du contexte qui a pour objectif général de définir les paramètres fondamentaux dans lesquels l'activité de management des risques s'intègre ou va s'intégrer. Ces paramètres fondamentaux sont issus de différentes sources. Tout d'abord du contexte externe, c'est-à-dire de l'environnement dans lequel une organisation va chercher à atteindre ses objectifs. De façon non exhaustive, le contexte externe peut comprendre l'environnement social, culturel, politique, réglementaire, technologique, etc., mais il est également question de prendre en compte, à ce niveau, les relations entretenues avec les parties prenantes externes en intégrant leurs perceptions et valeurs. Une deuxième source pour les paramètres fondamentaux, est le contexte interne à l'organisation. C'est-à-dire que ces critères vont être issus de la gouvernance des politiques en place, des aptitudes, de la culture de l’organisation, etc. La troisième étape de l'établissement du contexte est l'établissement du contexte du processus de management du risque qui va nous permettre de définir les objectifs, les stratégies associées qui seront déployées au sein de l'organisation, les domaines d'application, etc. Enfin, le dernier point de l'établissement du contexte, c'est la définition des critères de risque qui vont nous servir de « termes de référence vis-à-vis desquels l’importance d’un risque est évaluée ». Après l'établissement du contexte vient l'appréciation du risque. L'appréciation du risque est au cœur du processus de management du risque. Elle regroupe l'identification, l'analyse et l'évaluation des risques. Quand je dis que l'appréciation du risque est au cœur du processus de management du risque, son importance est telle que cette activité fait l'objet d'un référentiel spécifique qui est l'ISO 31010, version 2009 qui fournit les lignes directrices sur les techniques d'appréciation du risque. L'objectif de l'identification du risque est « de dresser une liste exhaustive des risques » qui pourraient favoriser ou freiner l'atteinte des objectifs de l'organisation. À la sortie de cette identification des risques, on doit avoir une liste exhaustive des risques que l'organisation doit gérer. Si un risque n'est pas identifié à ce stade, il y a très peu de chances qu'on l'identifie à la suite du processus, à part au niveau de la surveillance et de la revue. D'où l'importance de s'assurer de l'exhaustivité de la liste qui a été établie. L'identification des risques doit apporter des éléments de réponse à la chaîne du risque. C'est-à-dire qu'il est question de travailler au niveau des sources, des causes, des événements, des domaines d'impact ainsi qu'au niveau des conséquences potentielles d'un risque, conséquences potentielles qui peuvent être soit positives, soit négatives. Une fois l'identification réalisée, l'objectif de l'analyse du risque est de comprendre comment le risque se développe au sein de mon organisation. Pour cela, on va travailler à l'établissement d'un niveau de risque et ce, à partir du travail réalisé autour des conséquences d'une part, qu'elles soient positives ou négatives et d'autre part, autour de leurs vraisemblances. Après l'analyse, vient l'évaluation du risque qui est réalisée au regard des résultats obtenus durant l'analyse. Concrètement, l'évaluation du risque est réalisée par comparaison entre le niveau de risque qui a été établi au niveau de l'analyse et le critère de risque qui a été préalablement défini au niveau de l'établissement du contexte. Exposé de Sophie Clusel OMNES – "Gestion des risques des entreprises. Evolution et perspectives" – 22/11/11 7 Au niveau de cette étape, il est possible de déterminer quels sont les risques à traiter mais également quelles sont les priorités de mise en œuvre au niveau des traitements. Le traitement du risque qui repose surtout d'abord sur l'identification des options de traitement. Les options de traitement peuvent comprendre par exemple, le refus du risque, c'est-à-dire que l'on arrête le projet ou l'activité ; la modification des conséquences pour que le niveau de risque devienne acceptable ; ou l'acceptation, voire l'augmentation du risque lorsqu'on veut saisir une opportunité. Après l'identification des options, vient l'évaluation et la sélection de celles-ci. Et ce, grâce entre autres, au niveau de tolérabilité du risque résiduel. Une fois qu'on a sélectionné les solutions de traitement, vient l'élaboration des plans qui permettent de documenter la mise en œuvre du traitement et enfin la mise en œuvre. Finalement, la dernière composante du processus de management du risque est la surveillance et revue. L'objectif de la surveillance et revue au niveau du processus du management du risque est de réévaluer les activités du management du risque qui sont conduites par l'organisation. Cette surveillance et revue doit s'appliquer à tous les aspects du processus du management du risque et permet, par exemple, l'identification de risques émergents. Nous venons de voir l'ensemble des points importants relatifs à la norme ISO 31000 version 2009. Il ne me reste plus qu'à conclure. Pour cela, je dirais que ce référentiel qui est en passe d'être reconnu internationalement est réellement un bond en avant, un bond de géant en avant dans le domaine du management du risque. Cela nous permet d'entrevoir l'émergence de nouvelles pratiques que j'attends avec impatience. De plus, en proposant un langage commun aux différents acteurs du management du risque, je pense que ce référentiel va permettre d'offrir une voix à certains acteurs qui n'avaient pas énormément de poids jusque là. Toutefois, même si ce référentiel représente une avancée significative, il reste encore beaucoup de travail à fournir pour s'assurer que l'ensemble des acteurs économiques aient accès à ce type d'outil. Et quand je parle d'accessibilité, j'entends tout particulièrement au niveau des acteurs socioéconomiques qui sont les plus petits, comme par exemple les TPE ou les PME, pour qui ce type de référentiel reste encore assez lourd, malgré sa robustesse. Exposé de Sophie Clusel