ISO 31000

ISO 31000

ISO 31000 regroupe une famille de normes de gestion des risques codifiés par l’organisme International Organization for Standardization. Le but de la norme ISO 31000:2009 est de fournir des principes et des lignes directrices du management des risques ainsi que les processus de mise en œuvre au niveau stratégique et opérationnel. Elle ne vise pas à promouvoir l'uniformisation du management du risque au sein des organismes, mais plutôt à harmoniser la myriade d’approches, de standards et de méthodologies existantes en matière de management des risques.


Actuellement, la famille ISO 31000 comprend :

  • ISO 31000:2009 – Management du risque — Principes et lignes directrices [1]
  • ISO/IEC 31010:2009 - Gestion des risques - Techniques d'évaluation des risques [2]
  • ISO Guide 73:2009 - Management du risque — Vocabulaire [3]


Sommaire

Introduction

En novembre 2009, la nouvelle norme internationale ISO 31000 en management des risques fut publiée avant d’être rapidement adoptée en norme française par l’AFNOR sous NF ISO 31000 :2010 [4]. Cette norme propose des principes et des lignes directrices du management des risques ainsi que les processus de mise en œuvre au niveau stratégique et opérationnel.


Domaine d'application

Le but de la norme ISO 31000:2009 est de s’appliquer et de s’adapter à "tout public, toute entreprise publique ou privée, toute collectivité, toute association, tout groupe ou individu."[5] Il ne s’agit en aucun cas d’uniformiser les pratiques, ni de créer un système de management parallèle. Au contraire, la norme ISO 31000 propose un référentiel unique pour les organisations de tout secteur et de toute taille. Elle est adaptable et suffisamment flexible pour harmoniser les processus de management de tous les types de risques faisant peser une incertitude sur l’atteinte des objectifs de l’entreprise.

L’approche proposée par la norme ISO 31000 permet de formaliser les pratiques de management des risques permettant aux entreprises mettre en place un cadre ERM (enterprise risk management) évitant une approche de management des risques par « silos »[6].


Nouvelle définition du mot risque

Puisque la norme ISO 31000 vise à devenir le référentiel unique en matière de management des risques, le Centre Européen de Normalisation a répertorié environ 60 standards en relation avec le mot « risque ». Il s’agit d’une non-conformité en qualité, d’une pollution en environnement, d’une défaillance d’un équipement, d’une intoxication ou d'une atteinte corporelle en matière de sécurité des personnes, mais aussi d’un rendement en finance ou d’une opportunité pour le manager d’entreprise. C’est pourquoi, une révision de l'ISO Guide 73 – Vocabulaire du management du risque – a été menée parallèlement aux développements de l’ISO 31000 afin de faciliter les discussions entre professionnels des risques (tous secteurs confondus). La nouvelle définition abandonne la vision de l’ingénieur (« le risque est la combinaison de probabilité d’évènement et de sa conséquence ») pour coupler les risques aux objectifs de l’organisation : « le risque est l’effet de l’incertitude sur les objectifs » [7]

Les 11 principes du management des risques

  1. Le management des risques crée de la valeur et la préserve . Le management des risques contribue de façon tangible à l'atteinte des objectifs et à l'amélioration des performances de l’organisation, à travers la révision de son système de management et de ses processus.
  2. Le management des risques est intégré aux processus organisationnels . Le management des risques doit être intégrée dans le système de management existant tant au niveau stratégique qu’au niveau opérationnel
  3. Le management des risques est intégré aux processus de prise de décision . Le management des risques est une aide à la décision pour faire des choix argumentés, pour définir des priorités et pour sélectionner les actions les plus appropriée
  4. Le management des risques traite explicitement de l'incertitude . En identifiant les risques potentiels, l’organisation peut mettre en place des outils de réduction et de financement des risques dans le but de maximaliser les chances de succès et minimiser les possibilités de pertes.
  5. Le management des risques est systématique, structuré et utilisé en temps utile . Les processus du management des risques devraient être cohérents à travers l’organisation afin d’assurer l’efficacité, la pertinence, la cohérence et la fiabilité des résultats.
  6. Le management des risques s'appuie sur la meilleure information disponible . Pour un management des risques efficace, il est important de considérer et de comprendre toutes les informations disponibles et pertinentes pour une activité, tout en reconnaissant les limites des données et des modèles utilisés
  7. Le management des risques est adapté . Le management des risques d’une organisation doit être adapté en fonction des ressources disponibles – ressources de personnel, de finance et de temps – ainsi qu’en fonction de son environnement interne et externe
  8. Le management des risques intègre les facteurs humains et culturels . Le management des risques doit reconnaitre la contribution des personnes et des facteurs culturels à la réalisation des objectifs de l'organisation.
  9. Le management des risques est transparent et participatif . En impliquant les parties prenantes, internes et externes, lors des processus de management des risques, l’organisation reconnait l’importance de la communication et de la consultation lors des étapes d’identification, d’évaluation et de traitement des risques.
  10. Le management des risques est dynamique, itératif et réactif au changement . Le management des risques doit être flexible. L’environnement concurrentiel oblige l’organisation à s’adapter au contexte interne et externe, spécialement lorsque de nouveaux risques apparaissent, lorsque certains risques sont modifiés, tandis que d'autres disparaissent.
  11. Le management des risques facilite l'amélioration continue de l'organisation Les organisations possédant une maturité en matière de management des risques sont celles qui investissent à long terme et qui démontrent la réalisation régulière de ses objectifs.


Structure de la norme ISO31000

Structure de la norme ISO 31000 en management des risques, 2008.

La norme est structurée en trois parties, à savoir les principes, le cadre organisationnel et le processus de management (voir schéma) :

  • Les principes répondent à la question pourquoi fait-on du management des risques. Le processus d’intégration de ces principes se fait ensuite à deux niveaux : le niveau décisionnel et le niveau opérationnel.
  • Le cadre organisationnel explique comment intégrer, via le processus itératif de la roue de Deming (Plan-Do-Check-Act), le management des risques dans la stratégie de l’organisation (conduite stratégique).
  • Le processus de management précise comment intégrer le management des risques au niveau opérationnel de la stratégie de l’organisation (conduite opérationnel). Ce processus itératif est bien connu des risk-manager (voir schéma).


Développer le management global des risques ou ERM (enterprise risk management)

Le Standard propose une approche pour développer un cadre assistant les entreprises à intégrer le management des risques. Le point d’entrée est d’aligner les objectifs de l’organisation, la politique de management des risques et les responsabilités légales et contractuelles. Le cadre du management des risques doit être intégrer dans les processus de décisions et d’organisation de toutes les activités de l’entreprise, en veillant aux contextes internes et externes, aux responsabilités de chacun et aux ressources disponibles au niveau stratégique et opérationnel.

  1. Objectifs stratégiques. Le Direction Générale et son comité exécutif est responsable des décisions stratégiques de l’entreprise. Son approche, généralement à long terme, décrit sa vision du management des risques et les objectifs globaux à atteindre.
  2. Objectifs opérationnels. Généralement, les cadres supérieurs ont la responsabilité de déployer les objectifs stratégiques généraux en des plans d’organisation pour réaliser des résultats. Les plans développés à ce niveau pour chaque business unit définissent les résultats à atteindre.
  3. Objectifs de production. De même, les cadres ont la responsabilité de développer des plans opérationnels plus spécifiques avec des résultats à court terme à atteindre. Ces plans prescrivent en détail comment les résultats des processus ou les activités de l’entreprise seront mis en place et réalisés.


Certification

ISO 31000 n’a pas vocation à servir de base à une certification.


Voir également

Références

  1. Référence officielle ISO 31000:2009 – Management du risque — Principes et lignes directrices [1]
  2. Référence officielle ISO/IEC 31010:2009 - Gestion des risques - Techniques d'évaluation des risques [2]
  3. Référence officielle ISO Guide 73:2009 - Management du risque — Vocabulaire [3]
  4. Référence officielle française AFNOR NF ISO 31000 :2010 [4]
  5. ISO 31000 catalogue http://www.iso.org/iso/catalogue_detail.htm?csnumber=43170
  6. Article ISO 31000 - The Gold Standard, Alex Dali and Christopher Lajtha, Strategic Risk, September 2009 [5]
  7. ISO Guide 73: Risk Management - Vocabulary [6]

Liens externes



Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article ISO 31000 de Wikipédia en français (auteurs)

Игры ⚽ Нужно решить контрольную?

Regardez d'autres dictionnaires:

  • ISO 19011 — ISO 19011:2011 «Руководящие указания по аудиту систем менеджмента»  международный стандарт, содержащий руководящие указания по аудиту систем менеджмента организаций. Стандарт разработан Техническим комитетом ТК 176 Международной организации… …   Википедия

  • ISO/CEI 27005 — Suite ISO/CEI 27000 ISO/CEI 27000:2009 ISO/CEI 27001:2005 ISO/CEI 27002:2005 ISO/CEI 27003:2010 ISO/CEI 27004:2009 ISO/CEI 27005:2011 …   Wikipédia en Français

  • ISO 3166-1 — ISO 3166 1  часть стандарта ISO 3166, содержащая коды названий стран и подчинённых территорий. Впервые опубликована в 1974 году. Определяет три разных кода для каждой страны: ISO 3166 1 alpha 2 (англ.)русск., двухбуквенная система …   Википедия

  • ISO 4217 — (ИСО 4217) Коды для представления валют и фондов Codes for the representation of currencies and funds  (англ.) Codes pour la représentation des monnaies et types de fonds  (фр.) …   Википедия

  • ISO 9000 — ISO 9000  серия международных стандартов, описывающих требования к системе менеджмента качества организаций и предприятий. Серия стандартов ISO 9000 разработана Техническим комитетом 176 (ТК 176) Международной организации по стандартизации.… …   Википедия

  • ISO 3166 — is a standard published by the International Organization for Standardization (ISO). It defines codes for the names of countries, dependent territories, special areas of geographical interest, and their principal subdivisions (e.g., provinces or… …   Wikipedia

  • ISO 8601 — Data elements and interchange formats – Information interchange – Representation of dates and times is an international standard covering the exchange of date and time related data. It was issued by the International Organization for… …   Wikipedia

  • ISO 8583 — ISO 8583  стандарт ISO, описывающий процесс передачи и формат финансовых сообщений (транзакций) систем, обрабатывающих данные банковских платёжных карт. Содержание 1 Введение 2 Индикатор типа сообщения 2.1 …   Википедия

  • ISO 22000 — ISO 22000  серия международных стандартов на Системы менеджмента в области безопасности пищевой продукции. Содержание 1 ISO 22000:2005 1.1 Назначение стандарта …   Википедия

  • ISO 216 — ISO 269 sizes (mm × mm) C Series C0 917 × 1297 C1 648 × 917 C2 458 × 648 C3 324 × 458 C4 229 × 324 C5 162 × 229 C6 114 × 162 …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”