Ouvert il y a deux ans, le chantier de la révision de la norme Iso 31000 implique une soixantaine de pays. « La France n'était initialement pas demandeuse d'une révision, mais celle-ci va dans le bon sens », considère Rodolphe Civet, chef de projet Afnor (cf. Enjeux n° 362). Elle a donné lieu à trois versions de committee draft, dont le dernier a encore fait l'objet de plus de 1 300 commentaires. Qu'en sera-t-il pour le DIS ? « Globalement, la France a approuvé ce texte, en demandant quelques clarifications, précise Rodolphe Civet, parfois liées à des questions de traduction (responsability et accountability étant par exemple tous deux traduits par responsabilité). La nouvelle mouture comporte une vingtaine de pages, elle est plus lisible, plus pragmatique. La notion de performance apparaît plus clairement (performance globale de l'entreprise et aide à la décision). Le facteur humain et culturel est pris en compte... Demeurent l'approche globale, les grands principes de l'Iso 31000, simplifiés et refondus. » C'est une norme de gouvernance, pas une norme de management, elle ne donne pas lieu à certification. « Les risk managers parlent de dispositif de management du risque, pas de système de management », ajoute Rodolphe Civet.
Au coeur de la norme
Le management du risque est un processus dynamique qui aide les organismes à prendre des décisions éclairées, à tous les niveaux, concernant le développement d'une stratégie et l'atteinte d'objectifs. Il fait partie intégrante de la gouvernance et du leadership. Il inclut l'interaction avec les parties prenantes et prend en considération le contexte interne et externe de l'organisme. Le risque est défini dans le texte normatif comme l'« effet de l'incertitude sur les objectifs ». Un effet est un écart par rapport à une attente. Il peut être positif (parfois exprimé en termes d'opportunités), négatif (parfois exprimé en termes de menaces) ou les deux à la fois. Un risque est souvent caractérisé en référence à des événements potentiels, leurs conséquences et leur vraisemblance.
Quant au management du risque, il s'agit d'« activités coordonnées dans le but de diriger et piloter un organisme vis-à-vis du risque ». Un management du risque efficace et efficient s'appuie sur quelques principes : en premier lieu, la création et la préservation de la valeur (il contribue à l'atteinte des objectifs et améliore la performance). Il est intégré à toutes les activités de l'organisme, y compris la prise de décisions (il ne s'agit pas d'une activité indépendante séparée des autres). Il est structuré. Il est adapté au contexte externe et interne de l'organisme et à ses objectifs. Il est participatif (implication appropriée et en temps voulu des parties prenantes). Il est dynamique et réactif (des risques peuvent surgir, être modifiés ou disparaître à la suite d'événements). Il s'appuie sur la meilleure information disponible. Il intègre les facteurs humains et culturels (qui influent de manière significative sur tous les aspects du management du risque). Il prône l'amélioration continue. Outre les principes, la norme définit le cadre organisationnel (leadership et engagement, conception, mise en œuvre... ) et les processus (communication et concertation, établissement du contexte, appréciation du risque...).
Dans les mois à venir
Le projet de norme a été soumis à enquête publique jusqu'au 10 avril en France, une réunion de dépouillement étant programmée par la commission de normalisation dans la foulée. À l'international, chacun des task group ayant travaillé sur une partie de la norme se réunira pour préparer la suite à donner aux commentaires. La réunion de l'Iso/TC 262 Management du risque prévue à San Francisco (Californie) du 10 au 14 juillet doit permettre d'établir la version finale du document. Rappelons que la France assure le secrétariat du WG 2, chargé de la révision de l'Iso 31000, à présidence suisse, le TC étant lui-même à présidence australienne et à secrétariat anglais. À noter qu'un groupe dédié à la communication a mis en place un site Internet (www.riskmanagement.isotc262.org). La publication de la norme est prévue en 2018.
Paroles d'expert
« Un organisme doit gérer le risque de façon consciente, systématique, documentée »
La norme Iso 31000 a fixé en 2009 les fondamentaux « partageables » du management des risques. Elle a atteint une certaine maturité au niveau mondial - même si la France l'utilise moins que d'autres pays. Sa révision doit permettre d'intégrer les retours d'expérience et de promouvoir des savoir-faire français.
Le retour d'expérience porte sur deux axes : la lisibilité et l'approfondissement de thèmes essentiels. La philosophie de la norme est maintenue. Le risque ne relève pas du seul domaine technique ou de l'assurance, il est présent dans toutes les activités d'un organisme (projets, stratégie...). Il nécessite une vision d'ensemble et une réelle transversalité. Un organisme doit gérer le risque de façon consciente, systématique, documentée, pour être efficace. Pour éviter tout biais dans sa mise en œuvre, le management du risque n'est pus considéré comme un système de management, pas certifiable.
La norme doit être facilement lisible par tous. Le texte est amélioré : il est plus court, plus fluide. Un schéma d'ensemble présente les relations entre les principes, le cadre organisationnel et les processus : il montre la structure logique et le caractère itératif du management des risques.
Certains thèmes sont approfondis ou explicites : le caractère positif ou négatif du risque (le risque n'est pas seulement un danger, il peut créer de la valeur), l'articulation avec le décision making (c'est notamment à l'occasion de la prise de décision que le risque doit être apprécié) ; la prise en compte des facteurs humains et culturels : et l'intégration du management du risque dans le système de management global de l'organisme.
Du point de vue de l'IMdR, qui préconise une démarche véritablement globale du risque, des avancées supplémentaires sont souhaitables.
La révision de l'Isop 31000 pourrait utilement intégrer des concepts faisant partie du savoir-faire français et d'organismes internationaux : les facteurs organisationnels et humains (FOH), intégrés dans la réglementation française et évitant une dissociation artificielle entre les facteurs humains et les facteurs latents qui les influencent ; l'approche systémique, nécessaire pour appréhender la variabilité des systèmes complexes et spécialement utile lorsque les approches classiques (dispositifs techniques et systèmes de gestion de la sécurité) ne parviennent plus a réduire les accidents en dessous d'un certain palier ; la consolidation des risques, pour assurer la cohérence entre les différents niveaux de l'organisme (opérationnel, management et gouvernance).
Des avancées sont également possibles dans un cadre plus étendu : le développement du système de management intégré (SMI), sur lequel Afnor a engagé une réflexion et l'IMdR va organiser une journée d'étude ; l'exploitation de la famille, somme toute réduite, des normes Iso relatives au management des risques d'Isa 31010 sur les méthodologies d'appréciation des risques vient d'intégrer la cindynique, qui fait partie des méthodes systémiques) ; le guide 73 dédié à la terminologie devra lever des insuffisances ou ambiguïtés, qui font obstacle à l'adhésion à la norme ; l'Iso 31004, guide d'application, pourrait développer le « comment faire ».
Yves MERIAN, animateur de la commission Normalisation et réglementation de l'Institut pour la maîtrise des risques (IMdR).
Auteur : Marie-Claire BARTHET, revue Enjeux de l'Afnor.
Sur le même sujet : ISO 31000 - Management du risque - Guide pratique pour les PME
Réagissez en laissant votre commentaire !