Quel est le rôle de la norme ISO 31000 dans la gestion des risques?

role-iso-3000-gestion-risque_EGE

Parmi les nombreuses certifications et normes de qualité arborées par les entreprises, la norme ISO 31000 est un peu à part. Ne s'agissant pas d'une certification officielle, elle définit en tout état de cause une ligne de conduite face au management des risques et de la sécurité en entreprise, lui apportant une réelle plus-value concernant son attractivité et sa démonstration de responsabilités.


Qu'est-ce que la norme ISO 31000 et pourquoi est-elle essentielle ?

Applicable à tous les types d'organisations, de l'association locale à l'entreprise en passant par les établissements publics comme privés, la norme ISO 31000 constitue un cadre international de management des risques sans considération du secteur d'activité. En ce sens, elle fournit un cadre et un protocole pour encourager l'étude systématique des risques et des dangers en milieu professionnel, pour les identifier et aider à leur trouver une parade. Essentielle à la démonstration de responsabilités quant à la sécurité financière, opérationnelle ou stratégique de ses activités, elle permet de montrer au public, collaborateurs ou investisseurs que l'entreprise se soucie de cet aspect sécuritaire, et qu'elle est digne de confiance à ce sujet. 
 

Origine et objectifs de la norme ISO 31000

La norme ISO 31000 a été créée en 2009, sur la base d'un référentiel des pratiques internationales de management des risques en entreprise. Tout d'abord introduite avec une visée éducative et pédagogique, elle avait pour but unique d'aider les différentes organisations qui l'adoptaient à standardiser leurs pratiques pour améliorer leurs prises de décisions et faire face aux aléas. Elle a été révisée en 2018, et s'est peu à peu répandue pour devenir un signe distinctif, une sorte de label qualité officieux, montrant la volonté des signataires de s'organiser et de lutter contre tous les risques inhérents à leurs activités. Elle a pris de la valeur aux yeux des différents acteurs, comme les futurs salariés ou les investisseurs, qui voient en elle une marque de sérieux et de responsabilité professionnelle vis-à-vis des risques en général et de l'attitude de l'organisation face à ces derniers. 

Ses objectifs sont donc de promouvoir des pratiques communes d'identification, de gestion et de surveillance des risques. 
 

Éléments clés de la norme ISO 31000 dans le processus du management des risques

En plus de redéfinir de manière plus large et globale la notion même de risque, la norme ISO 31000 structure son approche en trois points clés. Elle définit donc les principes, le cadre, et le processus de gestion des risques. 
 

Les principes de la gestion du risque selon la norme ISO 31000

Les principes ainsi énoncés par la norme ISO 31000 concernent l'intégration du risque dans la gouvernance, l'objectif de prise de décision éclairée ainsi que l'amélioration continue des processus liés au risque. En d'autres termes, le risque est hissé au rang de priorité des dirigeants, et sa gestion doit être au centre des processus décisionnels. Selon ces principes, les projets des entreprises devraient tous succéder à une analyse de risques propres et spécifiques à l'activité. Par exemple, les risques intrinsèques d'un chantier particulier devront être pris en compte avant la validation du début des travaux, tout comme une analyse du ratio risque/bénéfices devra précéder toute décision d'investissement. De plus, les risques devront être constamment réévalués sur le long terme, pour permettre à l'entreprise de s'adapter rapidement et ainsi de réduire les aléas. 
 

Le cadre du risk management

Le cadre de gestion des risques prescrit par la norme ISO 31000 implique donc le leadership autant que le soutien des employés et autres acteurs décisionnels, qui devront l'intégrer à leur manière de travailler. Ce cadre n'est pas pour autant rigide et doit être adapté à chaque entreprise et organisation qui s'appuie dessus. Une petite entreprise pourra en effet se permettre de le mettre en application de manière très informelle, tandis qu'une multinationale devra probablement mettre en place des procédés plus stricts et encadrés pour s'assurer de leur respect et de leur efficacité. 
 

Le processus d'application de la norme ISO 31000

Les processus mis en évidence par la norme ISO 31000 concernent l'identification, l'évaluation et le traitement des risques, associés à une communication efficace entre toutes les parties, que ce soit en milieu entrepreneurial ou associatif. Le mot risques est à prendre au sens élargi, et inclut donc l'aspect sanitaire, réglementaire, financier... 

Les processus d'évaluation devront prendre en compte la probabilité du risque et son impact, au moyen par exemple d'une courbe de Farmer, afin de prendre des décisions concernant les parades et mesures à mettre en place au regard de l'investissement nécessaire. 
 

Comment appliquer la norme ISO 31000 dans votre organisation

Concrètement, la première mesure à prendre concernant l'application de la norme ISO 31000 dans une organisation est d'organiser une réunion pour étudier le texte et en faire comprendre les implications et les objectifs à tout le monde. Ce n'est qu'après que l'on pourra la mettre réellement en œuvre sur le terrain. 
 

Une analyse de risque complète avant chaque décision

L'application de la norme ISO 31000 passera ensuite par une intégration des risques de manière générale dans tous les processus et décisions de l'organisation, en suivant les points clés de la norme que sont l'identification, l'évaluation et la mise en place de mesures. 
 

Vérification et validation de l'application de la norme

Une fois la norme ISO 31000 mise en place, un audit interne permet d'évaluer l'efficacité des mesures adoptées et d'identifier d'éventuels ajustements nécessaires. Cette auto-évaluation assure une meilleure conformité aux principes de la norme avant de solliciter une expertise externe. 

Un audit externe, réalisé par un organisme indépendant, peut ensuite attester du bon respect du cadre défini par la norme. Bien que l'ISO 31000 ne donne pas lieu à une certification officielle, ce contrôle externe peut aboutir à un rapport attestant de la mise en œuvre effective des bonnes pratiques en matière de gestion des risques. 
 

Surveillance périodique des résultats

Des audits et surveillances périodiques seront ensuite mis en place pour garder cette dynamique. Après quelques années, voire quelques mois pour les entreprises les plus actives, il est possible de comparer les audits annuels pour se rendre compte des résultats, le plus souvent bénéfiques, que l'application de la norme ISO 31000 aura eus sur les performances de l'entreprise
 

Limites et défis liés à la mise en œuvre de la norme ISO 31000

Même si la norme ISO 31000 n'est pas contraignante, elle n'est pas sans apporter son lot de difficultés et de défis à l'entreprise qui l'adopte. Il s'agit de défis humains, idéologiques ou simplement administratifs, qu'il est facile de surmonter en utilisant les bons outils et la bonne approche, du moment que l'on ne perd pas de vue l'objectif. 
 

Résistance humaine et habitudes : le rôle du management

Lorsque l'on adopte une nouvelle norme, il n'est pas rare de rencontrer une certaine inertie dans son application de la part des employés ou des différents acteurs du secteur. La norme ISO 31000 peut bouleverser les habitudes, notamment en privilégiant l'étude objective des risques à la simple intuition professionnelle à laquelle beaucoup sont habitués. D'où la nécessité pour sa mise en place d'organiser des réunions de management, pour s'assurer de la compréhension du texte et surtout obtenir l'adhésion du groupe. Cette difficulté d'application sera la tâche principale du management durant les premières semaines de l'adoption de la norme. 
 

Ressources et compétences : le rôle de la formation

Selon l'organisation qui souhaite adopter la norme ISO 31000, il peut être difficile de mettre en place une gestion efficace du risque pour deux raisons : le manque de compétences dans la compréhension et l'analyse du risque, et le manque de moyens financiers pour investir dans des outils d'analyse ou les parades à mettre en œuvre. Dans les milieux industriels ou informatiques, le matériel lié à la lutte contre le risque peut en effet être onéreux. En revanche, de nombreuses formations peuvent être suivies par les employés, comme un MBA Management de la sécurité, pour pouvoir ensuite promouvoir la culture de gestion du risque et en assurer les missions. 
 

Adaptation des mesures à l'entreprise

L'une des principales difficultés sera d'adapter les prescriptions de la norme ISO 31000 à chaque organisation. En effet, le texte reste assez flexible et général concernant son application concrète. Par exemple, une petite PME artisanale et une entreprise à vocation nationale et industrielle devront adapter les mesures à leur taille, leur secteur d'activité, leur culture d'entreprise... L'essentiel étant de garder en vue l'objectif de la norme qui est la prise en compte des risques et leur gestion. 
 

L'objectivisation du risque

La plupart des entreprises ont encore une approche subjective des risques, et se fient à l'expérience ou à l'intuition pour juger de la probabilité de certains risques et de leur impact potentiel. Adopter la norme ISO 31000, c'est déjà accepter le risque comme une donnée objective, et lui ôter toute dimension affective pour le traiter comme un simple paramètre. Dans certains domaines d'activité, surtout lorsque l'on débute dans le management des risques, il peut être difficile de faire ce changement, ou de le faire accepter. 
 

Une norme non officielle et non contraignante

Au contraire de nombreuses autres normes ISO, la norme ISO 31000 n'est pas délivrée de manière officielle. Elle fait appel à la volonté de l'entreprise d'appliquer ses principes et de s'en revendiquer publiquement, mais certaines considèrent qu'en l'absence de véritable certification contraignante, il n'y aurait pas véritablement de plus-value dans l'esprit du public. D'autres espèrent qu'elle fera un jour l'objet d'une vraie certification contraignante et opposable, décernée par un organisme assez important pour pouvoir se prévaloir publiquement de l'adoption de cette norme, comme c'est le cas pour les normes ISO les plus répandues