Risques et entreprise : vers une organisation du bon sens ? : ISO 31000 : Le « shaker » des préceptes du management des risques…

Une nouvelle norme  ISO 31000 (sans certification) apparait cette année dans le secteur déjà riche du « management des risques »…  Cette référence semble rendre possible le consensus nécessaire dans l’entreprise pour unir tous les acteurs dans une démarche commune. 

« L’union fait la force » : dans la méthode ORCAE, j’ai eu l’occasion d’évoquer cette indispensable  dynamique , vous y trouverez d’ailleurs également les principes essentiels de l’ISO 31000, chers à la « capacité d’anticipation de l’entreprise » qui veut s’inscrire dans ce que l’on appelle « une démarche d’intelligence économique ».

Avec un processus (et des règles) très proche de celui de l’ISO 27005 (2008), l’ISO 31000 peut-elle devenir le véritable « shaker » des différentes approches du management des risques, capable de valoriser leurs complémentarités et de faciliter ainsi une réflexion globale ? Voici quelques éléments de ma réflexion …

Comment évoquer la notion de « risque » et plus encore de « gestion des risques » devant une assemblée de spécialistes dévolus, suivant leurs propres secteurs d’activités, à ISO 9001(domaines de la qualité), à l’ISO 14001 (management environnemental), OHSAS 18001 (santé et sécurité du travail), SA 8000 et peut-être la future et prometteuse ISO 26000 (responsabilité sociétale), ISO 27001-27005 (sécurité de l’information et des SI), ISO 13485 (qualité des dispositifs médicaux), ISO 19011 (audit de systèmes), ISO 22000 (sécurité des denrées alimentaires) … sans oublier ceux qui ne parlent que de « contrôle interne », de « gouvernance d’entreprise », de standard COSO, de référentiel COBIT, d’ITIL et d’ISO 20000 (qualité des services informatiques)…

La solution maintenant proposée par l’ISO 31000 est un cadre de référence qui est chargé d’établir un dialogue entre les différents secteurs d’activité  de l’entreprise.

Cette norme s’organise autour de 4 sections :

1 – le vocabulaire

2 – les principes

3 – le cadre organisationnel

4 – le processus de management des risques

 L’ISO 31000  définit le risque comme « l’effet de l’incertitude sur l’atteinte des objectifs »… (« méthodologie au service de l’identification et de la gestion de tout évènement pouvant influencer de façon positive ou négative sur l’atteinte d’un objectif »).

Vous y trouverez d’ailleurs, maintenant rassemblés en un seul référentiel, les conseils et concepts  que vous connaissez déjà et dont vous avez pu suivre l’évolution ces dernières années, comme :

  • la gestion globale et intégrée des risques …  l’harmonisation des pratiques des différents acteurs …
  • l’intégration du management des risques dans la stratégie de l’entreprise…
  • Le développement de la culture de gestion des risques …l’importance du rôle des décideurs, des responsables opérationnels …
  • la gestion des risques, création de valeur … l’avantage concurrentiel …
  • la prise en compte du facteur humain … le risque opérationnel (cf. affaire kerviel sur ce blog)…

Comme le démontre les schémas ci-après, nous retrouvons des processus similaires entre l’ISO 27005 (orientée sur la sécurité de l’information mais développant déjà cette « approche globale ») et l’ISO 31000  :

L’établissement du contexte

L’identification des risques

l’analyse des risques

l’évaluation des risques

Le traitement des risques

 

 

 

 

 

 

 

 

… et naturellement les principes PDCA de la roue de Deming (schéma en introduction du post et sur  ORCAE page 38).

A l’origine de cette approche de « gestion globale », devant l’importance grandissante du capital immatériel en entreprise et le rôle central du système d’information, l’ISO 27005 est devenue le véritable pilier de la gestion des risques de la sécurité de l’information.

Reprenant les grands préceptes des normes spécifiques à tous les secteurs d’activité, l’ISO 31000 semble pouvoir, en complémentarité, aider l’entreprise à développer un consensus entre tous ses acteurs, notamment dans les règles directrices de sa stratégie de protection. Ne s’agit-il pas déjà de l’organisation du bon sens ?

Joseph Triquell – Avril 2010

 www.amrae.fr  (association pour le management des risques et des assurances de l’entreprise).

Méthode ORCAE – Organisation Réfléchie et Capacité d’Anticipation dans l’Entreprise.

Publicités

Une réflexion au sujet de « Risques et entreprise : vers une organisation du bon sens ? : ISO 31000 : Le « shaker » des préceptes du management des risques… »

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s