Version révisée de la norme ISO 31000 sur le management du risque

ISO 31000 est une norme décrivant brièvement les éléments importants du management du risque. Ces dernières années, la norme ISO 31000 s’est imposée comme le cadre de référence mondial pour un bon management du risque.

ISO 31000 peut être appliquée dans des situations très différentes: pour la gestion des risques au niveau de l’entreprise (ERM), mais aussi pour les risques stratégiques et opérationnels, dans des projets et pour tous les types d’organisations. Le concept du management du risque selon la norme ISO 31000 était également un apport important pour la nouvelle génération de normes sur les systèmes de management ‘risk-based’, comme la norme ISO 9001 pour le management de la qualité, la norme 14001 pour le management environnemental et la norme ISO 45001 pour la santé et la sécurité au travail.

Réflexion axée sur les risques

Cette nouvelle édition de la norme est encore plus claire et plus accessible pour tous ceux qui souhaitent travailler au management du risque. Le définition du risque dans la norme ISO 31000 est la suivante: effet de l’incertitude sur des objectifs. Le management du risque est donc un outil pour contrôler les menaces et les effets négatifs et pour mettre à profit les opportunités et les effets positifs. Il peut ainsi améliorer les prestations d’une organisation, d’un projet ou d’un produit.

Dans la norme ISO 31000, le nouvel objectif central du management du risque est par conséquent "la réalisation et protection de valeur". Les 8 principes que la norme reformule soutiennent cet objectif, mais il y a eu davantage de changements par rapport à l’édition précédente.

Nombre de définitions limité

Le nombre de définitions est limité à celles qui sont nécessaires pour bien décrire le concept de risque: cause, événement, opportunité et effet et mesures de gestion. Toutes les autres définitions apparaissent dans la nouvelle version du Guide ISO 73.

Le rôle du top management

Une attention plus grande est portée au rôle du top management. Celui-ci doit veiller à ce que le management du risque soit intégré dans toutes les activités et tous les processus décisionnels de l’organisation et à ce que, ce faisant, il fasse partie intégrante de la gouvernance de l’organisation. Le chapitre sur le cadre pour le management du risque comporte par conséquent un paragraphe distinct sur l’intégration du management du risque dans l’organisation.

Description claire du processus

La description du processus de management du risque en relation avec le cadre est beaucoup plus claire. Elle indique clairement ce dont il faut tenir compte pour déterminer la portée du processus et en quoi la compréhension nécessaire du contexte diffère de celle qui existe au niveau de l’organisation, par exemple les circonstances plus spécifiques, les parties prenantes, la législation applicable et les sous-objectifs. De cette manière, la détermination des critères pour l’évaluation des risques est également mieux encadrée.

Attention au rapportage

Une attention particulière est accordée au rapportage des résultats des processus de management du risque. Celui-ci dépend des intérêts spécifiques et des besoins en informations des parties prenantes. Ici aussi, l’on retrouve un nouveau lien avec la gouvernance d’une organisation.

Teaser pour l’organisation

De manière générale, le texte a été assoupli. Plus encore qu’avant, la norme ISO 31000 fonctionne comme "teaser" pour une organisation et la direction afin de travailler au management du risque.

La commission ISO idoine développe d’ailleurs actuellement un manuel. ISO 31000 est toujours une norme et, par conséquent, elle ne vise pas une certification, mais le concept peut être utilisé pour renforcer la réflexion axée sur les risques dans le management de la qualité et de l’environnement.

(Source: Prebes)