Rôle des Normes | Autres thème sur : Rôle des Normes   Pourquoi les Normes ?  Normes pour SI  Normes Générales  Normes ou Règlements ?  Groupes d'études AFNOR  Notre Offre 

NORMES GÉNÉRALES - ISO 31000

ISO 31000 : MANAGEMENT DU RISQUE

Publiée avec une première version en novembre 2009, cette norme générale de management du risque est applicable à tous les organismes, tous les métiers et tous les environnements. L'objectif principal est de présenter les ingrédients essentiels du management du risque et de les cadrer avec les autres activités de l'organisme.

Plan de l’ISO 31000 :

Trois parties :

Principes

11 principes ont été retenus. Le management du risque :

• Créer de la valeur,
• S’intègre aux processus organisationnels,
• S’intègre aux processus de prise de décision,
• Traite de l’incertitude,
• Fonctionne de manière systématique et structurée,
• S’appuie sur la meilleure information,
• S’adapte au contexte,
• Prend en compte les facteurs humains et culturels,
• Est transparent et participatif,
• Fonctionne de manière dynamique, itérative et réactive,
• Facilite l’amélioration continue.

Cadre organisationnel :

Le cadre organisationnel va permettre de décliner le management du risque à tous les niveaux de l’organisme. Il va assurer, entre autre, que les informations liées au risque seront remontées, classées et structurées afin de garantir leur qualité et leur pertinence.

L’objectif n’est pas de créer un système de management mais d’intégrer le management du risque dans le système de management de l’organisme (d’où le titre « management du risque »).

Processus :

Les étapes principales du processus de management du risque sont :

• Etablissement du contexte,
• Identification du risque,
• Analyse du risque,
• Evaluation du risque,
• Traitement du risque.

Management du risque et amélioration continue :

Le management du risque doit participer à l’amélioration continue de toutes les activités de l’organisme. On s’appuiera en particulier sur l’amélioration de la maturité.

Bien entendu, le management du risque doit lui-même entrer dans un cycle d’amélioration continue.

Commentaires sur l'ISO 31000 : risque, opportunité et information

Le risque est défini comme « l’effet de l’incertitude sur l’atteinte des objectifs ». Ensuite, il est précisé que rater une opportunité est également un risque. Le périmètre du management du risque est donc large : on inclut tous les événements défavorables et toutes les opportunités (événements favorables) qui présentent un incertitude dans l’atteinte des objectifs.

Comment une opportunité peut-elle affecter l’atteinte des objectifs ? Impossible, sauf à considérer que l’atteinte des objectifs est un risque en lui-même et dans ce cas, rater une opportunité est bien un risque qu’il faut diminuer. C’est un point de vue qui traduit la présence générale du risque dans toutes les activités business de l’entreprise. Cela traduit le fait que l’incertitude dans le monde des affaires s’est généralisée, que les marchés sont mouvants, qu’il n’existe plus de positions acquises…

Il est précisé par la suite que l’incertitude est un état de défaut d’information. Ainsi, cette norme établi un lien entre risque et information.

Par cette définition du risque ciblée sur l’organisme et sur les objectifs, on passe sous silence tous les risques systémiques, les risques de filière et qui sont souvent les plus importants. De plus, on n’établit aucune relation, dans le management du risque, entre les actions de l’organisme et la coordination avec les règles de la place. Il est indiqué ensuite que les rôles du contexte externe et des parties prenantes externes doivent être précisé…

Voir gestion du risque .