Comprendre l’ISO 31000 – Management du risque – Lignes directrices

L’ISO 31000 place le management des risques sous l’égide et la finalité de la création/préservation de la valeur pour l’organisme et ses parties intéressées.

Il s’agit de créer de la valeur au sens financier du terme, mais également dans les performances de l’entreprise. Le management du risque permet donc l’atteinte des objectifs, tout en améliorant la sécurité et la santé des biens et des personnes, le respect des exigences réglementaires et contractuelles, la protection de l’environnement, la conformité des produits et services.

Le référentiel identifie huit principes directeurs pour mettre en œuvre dans l’organisme la démarche de management des risques, lui permettant de gérer les effets de l’incertitude sur ses objectifs.

Principe d’intégration

Il s’agit de l’intégration du management des risques à toutes les activités de l’organisme. Pour que le management du risque soit efficace, il faut qu’il soit intégré à tous les processus de l’entreprise. Cela concerne notamment les processus de planification stratégique, de management de projet, de conduite du changement et de prise de décision.

Principe de structuration globale

Une approche structurée et globale renforce la cohérence des pratiques et des résultats dans tous les secteurs de l’organisme et permet leurs comparaisons.

Principe d’adaptation

Le principe d’adaptation permet d’agir de manière proportionnée aux contextes externe et interne, aux enjeux et objectifs, et au profil de risque de l’organisme.

Principe d’inclusion

Ce principe vise à impliquer, inclure les parties prenantes à chaque fois que possible pour prendre en compte leurs connaissances, leurs opinions et leurs perceptions. Ceci pour un management des risques mieux éclairé et plus pertinent.

Principe de dynamisme

La prise en compte dynamique des changements et des événements issus des contextes externe et interne de l’organisme, influant sur la nature et l’intensité des risques, participe à un management des risques approprié et adapté.

Principe d’incertitude

L’incertitude associée aux informations disponibles concernant les risques doit être prise en compte pour estimer les marges et limites des analyses et résultats produits.

Les sources d’informations sont multiples, elles peuvent être internes à l’organisme (retours d’expérience, archives, etc.), mais également externes (données historiques, experts, etc.). Dans tous les cas, il est important que les informations utilisées soient exploitées en tenant compte de leurs limites (divergences d’experts, modèles incertains, etc.).

Principe des facteurs humains et de la culture

Les facteurs humains et la culture avec les comportements qui en découlent influent sur tous les aspects du management des risques, à chaque niveau et à chaque étape, dans une perspective involontaire (erreur, méconnaissance, manque de vigilance…) comme volontaire (non-respect intentionnel, malveillance…).

Principe d’amélioration continue

L’expérience et l’apprentissage que l’on peut en tirer sont les vecteurs principaux de l’amélioration continue du management des risques.

Cette démarche implique souvent l’établissement d’une cartographie des risques de l’organisme, puis une pratique d’évaluation et de revue périodique de ceux-ci.