Focus sur : L'ISO 31000

Un article de IEpedia.

l’ISO 31000 « Management du risque – Principes et lignes directrices ».

En matière de management des risques, ce ne sont pas les normes sectorielles qui manquent, nous en conviendrons (l’exemple archétypal de l’ISO 27005 en management des risques des SSI peut être ainsi rappelé). Mais justement, le cadre sectoriel ne devait il pas, tout d’abord, intégrer un cadre généraliste ? C’est ce que semble proposer cette norme ISO 31000.

l’ISO 31000 a été présentée le 9 novembre 2011 lors du colloque « L’intelligence économique face aux risques sociétaux, sectaires et militants » à Talence (33) par le Groupe AFNOR et ce n’est donc pas un hasard si celle ci se veut clairement partie intégrante de la pratique de l’Intelligence Economique. Fruit d’un travail qui s’est achevé en 2008, son élaboration a eu le mérite de faire converger, à la même table, des « parties prenantes » d’horizons, à priori, très différents. C’est ainsi qu’entreprises, ONG, institutions ont pu discuter ensemble sur la thématique de la gestion du risque devenue fondamentale pour toute organisation. Ces travaux ont abouti à un véritable consensus autour de la conception et de la pratique de la gestion des risques. Une premier point fort de cette norme.

Même si l’ISO 31000 ne se cache pas de ne fournir que des principes et des lignes directrices, elle tire justement sa force de ce consensus multi-partenarial en ayant vocation à s’appliquer à tout organisme « de tous types et de toutes dimensions ». Nous sommes bien en présence d’une innovation.

En second lieu, la présentation de la norme insiste sur la notion d’établissement du contexte qui permettra « d’appréhender les objectifs de l’organisme, l’environnement…les parties prenantes et la diversité des critères de risques ». Le risque n’est plus autocentré sur l’organisme en interne mais est désormais appréhendé dans son aspect global. S’il ne s’agit pas forcément d’une innovation, l’affirmation de ce principe est, pour autant, fort appréciable et nous incite à porter un regard transversal sur l’écosystème de l’organisme.

Nous noterons au passage la « nouvelle » définition du risque donnée par l’ISO 31000, à savoir : « Effet de l’incertitude sur l’atteinte des objectifs » Il ne fait pas de doute que cette notion de risque, par essence très subjective, a du faire débats lors des réunions de travail sur la norme. Néamoins, il est intéressant de constater que le risque est désormais appréhender sous l’angle d’une valeur d’incertitude et qu’il est directement rattaché à l’atteinte d’un objectif par l’organisme…Le risque n’est plus forcément une notion à caractère négatif, une menace, mais peut aussi être envisagé sous un angle positif…Autre innovation apportée par cette norme semble t’il…

Ensuite, nous remarquerons que le processus de management du risque proposé a vocation à s’intégrer pleinement à tous les niveaux de l’organisme. Supportés par des indicateurs de performance et des dispositifs d’évaluation en continue, l’ISO 31000 affirme une approche pro-active du management du risque. Un dynamisme imposé, bien évidemment, par la substance même du risque.

Pour ce qui est des grands principes que nous évoquions plus haut, la norme renvoie aux 11 points fondamentaux suivants :

• Le management du risque crée de la valeur et la préserve.
• Le management du risque est intégré aux processus organisationnels
• Le management du risque est intégré au processus de décision.
• Le management du risque traite explicitement de l’incertitude.
• Le management du risque est systématique, structuré et utilisé en temps utile
• Le management du risque s’appuie sur la meilleure information disponible
• Le management du risque est adapté
• Le management du risque intègre les facteurs humains et culturels
• Le management du risque est transparent et participatif
• Le management du risque est dynamique, itératif et réactif au changement
• Le management du risque facilité l’amélioration continue de l’organisme.

En dernier lieu, il nous a semblé opportun de remarquer que l’ISO 31000 taillait la part belle à la communication et à la concertation. Ces deux points fondamentaux sont ainsi assurés « à toutes les étapes du processus… ». La nature de cette concertation – communication avec les parties prenantes de l’organisation (internes / externes) doit ainsi faciliter l’échange d’informations franc, précis et compréhensibles. Un échange qui tiendra compte de la confidentialité et de l’intégrité personnelle des participants.

Voilà donc un rapide topo de ce que l’ISO 31000 propose en démarche de « guidance » du management du risque.

Prise en compte du contexte global, aide à la décision, utilisation de l’information, norme cadre pour de futures normes sectorielles…l’ISO 31000 s’intègre effectivement à l’intelligence économique et aura certainement un bel avenir devant elle.

Références (non exhaustives) :

• http://www.boutique-formation.afnor.org/ecpfre/2011/integration-de-systemes-et-management-du-risque/management-du-risque/systeme-de-management-du-risque/c1008?codeaff=1
• http://www.iso.org/iso/fr/iso_catalogue/management_and_leadership_standards/risk_management.htm

Votre serviteur