Tribunes

Réaction de Alex Dali, directeur associé d’Atlascope* d’entreprise. La norme ISO

31000 visant à devenir le réfé-

Les enjeux de la norme rentiel unique en matière de

management des risques, une

ISO 31000 en gestion révision du guide ISO 73 – vo-

cabulaire du management du

des risques risque – a été menée parallè-

lement aux développements
DR

de l’ISO 31000 afin de faciliter

les discussions entre profes-
La future norme ISO 31000 (management des risques, principes et lignes directrices de sionnels des risques (tous sec-
mise en œuvre) est en cours de finalisation et devrait s’imposer comme le cadre de teurs confondus). La nouvelle
définition abandonne la vision
référence international en gestion des risques. de l’ingénieur (« le risque est
la combinaison de probabilité

R
écemment finalisée, la
norme ISO 31000 (lire en-
cadré ci-dessous) a été
rédigée pour l’essentiel à par-
tir de la norme australienne AS/
NZS 4360. Elle définit les lignes
directrices du management des
risques et les processus de mise
en œuvre au niveau stratégi-
que et opérationnel.
STRUCTURE DE
LA NORME ISO 31000
La norme est structurée en
trois parties : les principes, le
cadre organisationnel et le pro-
cessus de management :
Cadre Processus de
Principes
organisationnel management
• Les principes répondent à
la question « pourquoi fait-on
du management des ris-
ques ? ». Le processus d’inté-
gration de ces principes se fait
ensuite à deux niveaux : dé-
cisionnel et opérationnel.
• Le cadre organisationnel
explique comment intégrer,
via le processus itératif de la
roue de Deming (Plan-Do-
Check-Act), le management
des risques dans la stratégie
de l’organisation (conduite
stratégique).
• Le processus de management
précise comment intégrer le
management des risques au ni-
veau opérationnel de la straté-
gie de l’organisation (conduite
opérationnelle). Ce processus
itératif est bien connu des risk
managers (voir infographie). incertitude sur l’atteinte des d’événement et de sa consé-
Il ne s’agit en aucun cas d’uni- objectifs de l’entreprise. quence ») pour coupler les ris-
formiser les pratiques, ni de ques aux objectifs de l’orga-
créer un système de manage- NOUVELLE DÉFINITION nisation : le risque est l’effet
ment parallèle, comme certains DU RISQUE de l’incertitude sur l’atteinte
l’ont pensé, à tort, de la norme Le mot risque désigne une des objectifs. Cette définition
ISO 9000. En revanche, la non-conformité en qualité, est extraite de la dernière ver-
norme ISO 31000 propose un une pollution en environne- sion du guide ISO 73 qui sera
référentiel unique pour les or- ment, une défaillance d’un publiée en même temps que
ganisations de tout secteur et équipement, une intoxication la norme ISO 31000.
de toute taille. Elle est adapta- ou des atteintes corporelles en
ble et suffisamment flexible matière de sécurité des per- PAS DE CERTIFICATION
pour harmoniser les processus sonnes, mais aussi un rende- Le texte actuel de l’ISO 31000
de management de tous les ty- ment en finance ou des op- est très clair : « La présente
pes de risques faisant peser une portunités pour le manager norme internationale n’a pas
vocation à servir de base à une
certification. » Cependant, cer-
La norme ISO 31000 tains pays seraient être ouverts
à un tel processus à partir de
- Historique : la norme internationale. La
• Juin 2004 : demande de reprise « fast-track » de l’AS/NZS 4360 norme BSI 31100 en Angleterre
refusée. et l’ONR 49000 en Autriche
• Juin 2005 : lancement de la procédure ISO. (utilisé également en Allema-
• Septembre 2005 : ISO 31000 sera un guideline non certifiable. gne et en Suisse) semblent
• Plusieurs réunions en 2006 et 2007. s’orienter vers un tel proces-
• Avril 2008 : rédaction du Draft DIS et enquête. sus. La norme AS/NZS4360
• Début 2009 : vote des membres. mise à jour en 2009 restera
• Juin 2009 : publication probable. une obligation en Australie/
- Points importants : Nouvelle-Zélande. Ces trois ré-
férentiels reprendront intégra-
• Principes généraux et lignes directrices de mise en œuvre. lement la norme ISO 31000.
• Processus de management des risques orienté par rapport En France, l’Afnor, l’associa-
aux objectifs de l’organisation.
tion française de normalisa-
• Nouvelle définition du vocabulaire : risque = incertitude
sur les objectifs. tion, a participé activement
• Impact négatif des risques (menaces) ou impact positif aux débats au sein du comité
(opportunités). ISO pour le management des
• Importance de la communication à chaque étape. risques et était représenté, en
• Toujours préciser le contexte interne et externe. autres, par Jean-Paul Louisot,
• Norme ISO non certifiable. directeur pédagogique du
Globalement, la norme souligne que le management des risques Carm Institute, institut pour
fait partie intégrante de la structure, des responsabilités la formation ARM en France,
et des objectifs d’une organisation. et par Gilles Motet, directeur
scientifique de l’ICSI, institut

60 la tribune de l’assurance • n° 133 •février 2009

 Norme ISO 31000

pour la culture et la sécurité quences positives (opportuni-

industrielle. A ce jour, la plu-
part des associations nationa-
les de gestion des risques (Am-
rae, Airmic, Belrim, etc.) ainsi
tés) ou négatives (menaces), car Projet de processus ISO
en matière d’hygiène/sécurité,
le risque est intrinsèquement Communiquer Piloter
Etablir le contexte
négatif, tandis qu’en matière et consulter et revoir

que Ferma, la fédération eu- de santé, il s’agit d’une straté-

ropéenne, sont opposées à la
certification de cette norme.
PROBLÉMATIQUES
gie thérapeutique arrêtée avec Identification des risques
le patient et/ou sa famille », APPRÉCIATION
Analyse des risques
explique Jean-Paul Louisot.
Autre difficulté : le besoin Evaluation des risques
DES RISQUES

DE LA NORME d’identifier, pour chaque ris-

Source : Carm Institute

Cependant, plusieurs éléments que, une seule personne com-
du standard sont à l’origine de me « propriétaire du risque » TRAITER RISQUES ? NON
OUI
vifs débats entre les représen- (risk owner, en anglais) et,
tants des associations nationa- donc, comme seul responsa- Traitement des risques
les de normalisation. Par exem- ble du management de ces ris-
ple, le fait que le standard se ques. Les notions de respon-
focalise sur la communication sabilité collective ou de « res- tionnement des notions d’ap- tout s’il travaille pour une so-
et la consultation, donc sur la ponsable, mais pas coupable » pétit du risque et d’aversion ciété internationale.
perception des risques par les n’ont pas été accueillies favo- au risque dans une politique Le risk manager d’une grande
de risque ; et la notion même société française nous avoue
de management des risques », même qu’il attend impatiem-
Les notions de responsabilité collective explique Christopher Lajtha, ment le standard ISO 31000
ou de « responsable, mais pas coupable » fondateur d’Adageo, un cabi- afin de renforcer sa crédibilité
n’ont pas été accueillies favorablement net de ressources en gestion auprès de la direction de ses
des risques. Il ajoute qu’« il filiales aux Etats-Unis !
par les instances du groupe ISO. est très important que la vo- En tant que norme-cadre uni-
lonté originale de ne pas cer- que pour toutes les classes de
parties prenantes, a troublé plu- rablement par les instances du tifier le guideline ISO 31000 risques et d’activités, elle de-
sieurs groupes nationaux, rap- groupe ISO. soit respectée ». vrait être accueillie favorable-
porte Kevin Knight, coordina- « Il faut souligner que dans ment par le secteur de l’assu-
teur du groupe de travail ISO l’esprit de consensus et de re- PLUS DE CRÉDIBILITÉ rance. L’inclusion du référen-
31000 et concepteur du stan- cueils de commentaires du pro- POUR LES RISK tiel ISO dans les questionnai-
dard australien de référence, cessus ISO, la dernière version MANAGERS res d’assurance permettrait
créé il y a plus de dix ans. de l’ISO 31000 s’est considéra- En France, les risk managers une meilleure mutualisation
Un autre sujet à controverse blement améliorée depuis ont des profils très différents des risques dommages et RC
est la notion de risque « posi- 2002. Certains points notables d’une entreprise à l’autre. Ce- des entreprises assurées. Les
tif », qui a soulevé une oppo- doivent encore être résolus, no- pendant, quelles que soient pays et organisations habitués
sition des responsables de tamment, la terminologie uti- sa formation, ses responsabi- au standard australien AS/NZS
santé, et plus encore des spé- lisée non incluse (ISO/IEC lités et ses compétences, le 4360 devraient adopter rapi-
cialistes d’hygiène/sécurité Guide 73) avec la dernière ver- risk manager trouvera un ou- dement cette nouvelle norme,
présents. « Le consensus adopté sion du ISO 31000 ; la perti- til de référence choisi sur le- alors que d’autres auront plus
est de parler de risque à consé- nence de l’annexe A ; le posi- quel il pourra s’appuyer pour de difficultés. « Les entreprises
renforcer l’intégration du ma- devront adapter le référentiel
nagement du risque au sein à leur propre organisation en
Position de Ferma de l’organisation.
L’existence de ce standard in-
tenant compte de leurs spécifi-
cités culturelles et humaines »,
Dès 2004, Thierry Van Santen, alors président de Ferma ternational plutôt que des nor- explique Kevin Knight. •
(Federation of European Risk Management Associations) adopte mes nationales, lorsqu’elles
le standard anglais rédigé conjointement par l’Airmic (équivalent *Atlascope, société de conseil en ges-
existent, offre aux risk mana- tion des risques, lance début 2009 le
britannique de l’Amrae, l’association française des risk managers), site internet www.ISO31000.fr qui ser-
gers une plus grande crédibi-
l’IRM (institut) et Alarm (secteur public). Dans sa prise de position vira de portail d’information et
lité et une meilleure reconnais- d’échanges pour les entreprises et or-
datée du 22 juin 2007, Ferma soutient l’adoption d’un standard ganisations françaises désireuses de
international en gestion des risques qui soit de haut niveau, sance interne face aux autres
mettre en place adéquatement ou
court, utilisant le vocabulaire du guide ISO/IEC73, et non fonctions traditionnelles de d’adapter leur programme de gestion
l’entreprise. La fonction appa- des risques (contact : iso31000@atlas-
« certifiable ». Des contacts ont actuellement lieu au niveau cope.fr). Parallèlement, Carm Institute
européen avec le CEN et ses membres européens. raîtra comme plus structurée, a déjà incorporé l’ISO 31000 dans l’en-
seignement de la qualification profes-
renforçant son rôle de facilita- sionnelle ARM (associé en risk mana-
teur et de communicateur, sur- gement) en France.

la tribune de l’assurance • n° 133 •février 2009 61