Introduction

En novembre 2009, la nouvelle norme internationale ISO 31000 en management des risques
fut publie avant dtre rapidement adopte en norme franaise par lAFNOR sous NF ISO
31000 :2010 4. Cette norme propose des principes et des lignes directrices du management des
risques ainsi que les processus de mise en uvre au niveau stratgique et oprationnel.

Domaine d'application
Le but de la norme ISO 31000:2009 est de sappliquer et de sadapter "tout public, toute
entreprise publique ou prive, toute collectivit, toute association, tout groupe ou individu."5
Il ne sagit en aucun cas duniformiser les pratiques, ni de crer un systme de management
parallle. Au contraire, la norme ISO 31000 propose un rfrentiel unique pour les
organisations de tout secteur et de toute taille. Elle est adaptable et suffisamment flexible pour
harmoniser les processus de management de tous les types de risques faisant peser une
incertitude sur latteinte des objectifs de lentreprise.
Lapproche propose par la norme ISO 31000 permet de formaliser les pratiques de
management des risques, tout en permettant aux entreprises de mettre en place un cadre ERM
(enterprise risk management) vitant ainsi une approche de management des risques par
silos 6.

Nouvelle dfinition du mot risque

La nouvelle dfinition abandonne la vision de lingnieur ( le risque est la combinaison de
probabilit dvnement et de sa consquence ) pour coupler les risques aux objectifs de
lorganisation : le risque est leffet de lincertitude sur les objectifs 7
Puisque la norme ISO 31000 vise devenir le rfrentiel unique en matire de management
des risques, le Centre Europen de Normalisation a rpertori environ 60 standards en relation
avec le mot risque . Il sagit dune non-conformit en qualit, dune pollution en
environnement, dune dfaillance dun quipement, dune intoxication ou d'une atteinte
corporelle en matire de scurit des personnes, mais aussi dun rendement en finance ou
dune opportunit pour le manager dentreprise. Cest pourquoi, une rvision de l'ISO Guide
73 Vocabulaire du management du risque a t mene paralllement aux dveloppements
de lISO 31000 afin de faciliter les discussions entre professionnels des risques (tous secteurs
confondus).

Les 11 principes du management des risques

1 - Le management des risques cre de la valeur et la prserve.
Le management des risques contribue de faon tangible l'atteinte des objectifs et
l'amlioration des performances de lorganisation, travers la rvision de son systme
de management et de ses processus.
2 - Le management des risques est intgr aux processus dorganisation.

Le management des risques doit tre intgre dans le systme de management existant
tant au niveau stratgique quau niveau oprationnel.
3 - Le management des risques est intgr aux processus de prise de dcision.
Le management des risques est une aide la dcision pour faire des choix arguments,
pour dfinir des priorits et pour slectionner les actions les plus approprie
4 - Le management des risques traite explicitement de l'incertitude.
En identifiant les risques potentiels, lorganisation peut mettre en place des outils de
rduction et de financement des risques dans le but de maximaliser les chances de
succs et minimiser les possibilits de pertes.
5 - Le management des risques est systmatique, structur et utilis en temps utile .
Les processus du management des risques devraient tre cohrents travers
lorganisation afin dassurer lefficacit, la pertinence, la cohrence et la fiabilit des
rsultats.
6 - Le management des risques s'appuie sur la meilleure information disponible.
Pour un management des risques efficace, il est important de considrer et de
comprendre toutes les informations disponibles et pertinentes pour une activit, tout en
reconnaissant les limites des donnes et des modles utiliss
7 - Le management des risques est adapt.
Le management des risques dune organisation doit tre adapt en fonction des
ressources disponibles ressources de personnel, de finance et de temps ainsi quen
fonction de son environnement interne et externe
8 - Le management des risques intgre les facteurs humains et culturels .
Le management des risques doit reconnaitre la contribution des personnes et des
facteurs culturels la ralisation des objectifs de l'organisation.
9 - Le management des risques est transparent et participatif.
En impliquant les parties prenantes, internes et externes, lors des processus de
management des risques, lorganisation reconnait limportance de la communication et
de la consultation lors des tapes didentification, dvaluation et de traitement des
risques.
10 - Le management des risques est dynamique, itratif et ractif au changement .
Le management des risques doit tre flexible. Lenvironnement concurrentiel oblige
lorganisation sadapter au contexte interne et externe, spcialement lorsque de
nouveaux risques apparaissent, lorsque certains risques sont modifis, tandis que
d'autres disparaissent.

11 - Le management des risques facilite l'amlioration continue de l'organisation.

Les organisations possdant une maturit en matire de management des risques sont
celles qui investissent long terme et qui dmontrent la ralisation rgulire de ses
objectifs.

Structure de la norme ISO 31000

Structure de la norme ISO 31000 en management des risques, 2008.

La norme est structure en trois parties, savoir les principes, le cadre dorganisation et le
processus de management (voir schma) :

Les principes rpondent la question pourquoi fait-on du management des risques. Le

processus dintgration de ces principes se fait ensuite deux niveaux : le niveau
dcisionnel et le niveau oprationnel.
Le cadre dorganisation explique comment intgrer, via le processus itratif de la roue
de Deming (Plan-Do-Check-Act), le management des risques dans la stratgie de
lorganisation (conduite stratgique).
Le processus de management prcise comment intgrer le management des risques au
niveau oprationnel de la stratgie de lorganisation (conduite oprationnel). Ce
processus itratif est bien connu des risk-manager (voir schma).

Dvelopper le management global des risques ou ERM

(enterprise risk management)
Le Standard propose une approche pour dvelopper un cadre permettant aux entreprises
d'intgrer le management des risques. Le point dentre est daligner les objectifs de
lorganisation, la politique de management des risques et les responsabilits lgales et
contractuelles. Le cadre du management des risques doit tre intgr dans les processus de
dcisions et dorganisation de toutes les activits de lentreprise, en veillant aux contextes
internes et externes, aux responsabilits de chacun et aux ressources disponibles au niveau
stratgique et oprationnel.
1 - Objectifs stratgiques.
Le Direction Gnrale et son comit excutif est responsable des dcisions
stratgiques de lentreprise. Son approche, gnralement long terme, dcrit sa vision
du management des risques et les objectifs globaux atteindre.
2 - Objectifs oprationnels.

Gnralement, les cadres suprieurs ont la responsabilit de dployer les objectifs

stratgiques gnraux en des plans dorganisation pour raliser des rsultats. Les plans
dvelopps ce niveau pour chaque business unit dfinissent les rsultats atteindre.
3 - Objectifs de production.
De mme, les cadres ont la responsabilit de dvelopper des plans oprationnels plus
spcifiques avec des rsultats court terme atteindre. Ces plans prescrivent en dtail
comment les rsultats des processus ou les activits de lentreprise seront mis en place
et raliss.

Certification
ISO 31000 na pas vocation servir de base une certification. Ce sont des orientations utiles
l'laboration et la ralisation des programmes d'audit internes ou externes, ainsi qu'
l'valuation des pratiques en matire de management du risque.