Qu'est-ce que la norme ISO 31000 ?
Sommaire
La norme ISO 31000, établie par l'Organisation internationale de normalisation, offre des recommandations internationales pour le management du risque en entreprise. Elle vise à optimiser le processus de gestion des risques en permettant aux organisations d'analyser, d'identifier et de traiter efficacement ces derniers.
Qu’est-ce qu’ISO 31000 ?
La norme ISO 31000 « Management du risque - Lignes directrices », ou ISO 31000:2018, est une norme internationale. Elle est établie par l’Organisation internationale de normalisation, ou ISO.
Elle donne des préconisations globales afin d’analyser, d’identifier, d’estimer, de traiter et de contrôler les risques pour une entreprise. En clair, elle permet à une organisation d’optimiser son processus de management du risque.
Grâce à l’application de la norme ISO 31000, les entreprises devraient être capables de gérer toute forme de risque les concernant. Ces normes leur permettent de développer des stratégies pour optimiser leur performance.
ISO 31000 s’adresse à tout organisme qui souhaite mettre en œuvre un management du risque efficace, de façon globale. Cela peut être des :
- Organisations publiques et gouvernementales ;
- Cabinets d’ingénierie ou de gestion de projet ;
- Sociétés qui cherchent à intégrer une culture du management du risque ;
- Cabinets de conseil qui cherchent à accompagner au mieux leurs clients ;
- Ou encore des entreprises qui se trouvent dans des secteurs particulièrement réglementés. Cela peut concerner la santé, les services financiers ou bien le secteur de l’énergie.
En clair, ces normes concernent tout type d’entreprise sans distinction d’activité, de secteur ou de taille.
Comment avoir la certification de la norme iso 31000 ?
La norme ISO 31000 n’est pas une certification en tant que telle. En effet, il s’agit d’un guide, qui donne les lignes directrices à respecter pour instaurer un programme de gestion des menaces efficace.
Toutefois, les entreprises peuvent s’en servir pour évaluer elles-mêmes leurs actions en matière de gestion des risques. La norme ISO 31000 constitue, en effet, un référentiel des bonnes pratiques pour un management des risques de qualité, notamment au niveau de la gouvernance et de la stratégie. De plus, ce référentiel est reconnu à l’international. Aussi, il permet aux entreprises de trouver des orientations en vue de la réalisation d’audits internes ou externes de conformité.
Bon à savoir :
Si les entreprises souhaitent obtenir une certification ISO 31000, elles peuvent passer par un organisme privé accrédité par l’Organisation internationale de normalisation. Elles seront alors soumises à un examen pour s’assurer qu’elles respectent bien les normes.
Comment utiliser la norme ISO 31000 ?
L’ISO 31000 regroupe les bases du management du risque en 3 catégories : les principes, le cadre organisationnel et le processus.
Les principes
Les principes regroupent les 8 éléments indispensables pour une gestion des risques efficace. Ils permettent d’installer un cadre organisationnel et de définir les procédés. La société peut ainsi atteindre ses objectifs tout en gérant les risques liés à son activité.
Les 8 principes de la norme ISO 31000 sont les suivants :
- Par principe, le risk management doit être intégré à toutes les activités de l’organisation. Pour s’assurer une analyse fiable des résultats, il faut implanter une approche structurée et globale ;
- Aussi, l’ensemble des actions mises en œuvre pour gérer les risques doit être adapté à l’environnement interne de la société et aux agents externes. Elles doivent toujours être en phase avec la vision de l’organisation ;
- Même si les risques ont été détectés et contrôlés, l’entreprise doit se préparer à anticiper et identifier de nouvelles menaces. Elle doit être capable de réagir efficacement à tout changement ;
- Dans la gouvernance de l’organisation, ces principes doivent être structurés ;
- De plus, les données prévisionnelles, actuelles et historiques doivent régulièrement être actualisées. Chacune des parties prenantes doit y avoir accès afin qu’elles aient la meilleure information pour la bonne exécution de leurs missions quotidiennes ;
- Par ailleurs, les facteurs humains et culturels doivent être pris en compte pour définir le processus de gestion des risques ;
- Enfin, le dernier principe repose sur une amélioration continue du dispositif de gestion du risque, grâce à l’expérience et à l’apprentissage.
Le cadre organisationnel
Le cadre organisationnel est important pour l’entreprise, car il lui permet d’intégrer la gestion des risques dans ses activités. Les fonctions dirigeantes d’une société doivent totalement s’impliquer pour en maximiser l’efficacité.
Par ailleurs, il regroupe l'intégration, la conception, la mise en œuvre, l’évaluation et l’amélioration du processus de management des risques dans la société.
D’abord, la conception consiste à :
- Analyser les facteurs internes (ressources, valeurs véhiculées, stratégie…) et externes (relations contractuelles, facteurs sociaux, opportunités, dépendances…) du professionnel ;
- Assigner les ressources nécessaires (formation, système de gestion, personnel…) ;
- Attribuer des responsabilités et des rôles ;
- Consulter les différentes parties prenantes ;
- Communiquer efficacement ;
- Et définir les indicateurs de performance.
Ensuite, la mise en œuvre comprend :
- Une restructuration potentielle des processus existants ;
- La création d’un plan d’action (ressources, calendrier) ;
- L’analyse des chaînes de prise de décision (quand, où, par qui, comment) ;
- L’identification des personnes responsables ;
- Et un contrôle des actions implantées pour vérifier qu’elles ont bien été comprises, mises en place et qu'elles sont efficaces.
Enfin, l’évaluation de l’efficacité se mesure au niveau de :
- La décision de garder le cadre organisationnel, sans effectuer de modifications, car il permet déjà d’atteindre les objectifs fixés ;
- Des changements externes et internes ;
- Et de la performance des effets attendus et des indicateurs.
De plus, l’amélioration suppose que le professionnel contrôle le cadre organisationnel déployé, de façon continue. L’établissement doit, en effet, se préparer aux changements qui peuvent survenir.
Le processus
Le processus de gestion des risques comprend l'application systématique de politiques et de procédés, qui vont de la communication à la surveillance :
- La communication et la consultation aident les parties prenantes à comprendre le risque et les décisions nécessaires. Elles coordonnent les échanges pour des prises de décisions éclairées ;
- La définition du contexte et des critères adapte le procédé pour une appréciation efficace. Les objectifs, ressources et interactions internes sont pris en compte ;
- L’environnement interne et externe, incluant les facteurs organisationnels, est aussi essentiel à considérer pour une gestion adéquate du risque ;
- L’enregistrement et l’élaboration de rapports ;
- Une appréciation du risque ;
- Et un suivi des actions mises en places.
Critères de risque
Le manager du risque doit déterminer le type de risque que l’entreprise peut prendre ou non. Cela se fait en fonction de ses souhaits en termes de sécurité.
Pour ce faire, l’organisation doit choisir les critères qui permettent d’évaluer l’importance de chaque risque. Ces derniers doivent être en cohérence avec les valeurs, les ressources et les politiques de chaque activité de l’entreprise.
Appréciation du risque
L’appréciation du risque doit être faite de façon collaborative et pour chacun des risques. Elle comporte 3 étapes :
- L’identification des problèmes de sécurité ;
- L’analyse des informations ;
- Et l’évaluation.
Traitement du risque
L’étape de traitement des risques consiste, dans un premier temps, à définir les différentes options pour réduire les risques. Dans un deuxième temps, les actions choisies sont mises en œuvre.
Après avoir mené différentes actions, l’entreprise doit apprécier leur impact. Elle doit d’abord déterminer si le risque résiduel peut être accepté ou non. Si la réponse est non, l’entreprise peut réaliser ensuite un processus de traitement complémentaire.
Suivi et revue
Enfin, le suivi et la revue ont pour objectif d’améliorer l’efficacité et la qualité des solutions retenues pour faire face aux risques.
Les différentes étapes du suivi et de la revue sont les suivantes :
- La planification ;
- La récolte et l’analyse de la data ;
- L’enregistrement des résultats ;
- Et le retour d’information.
Par ailleurs, le système complet du management des risques et les données sur les actions qui ont été menées doivent être documentés. L’entreprise doit alors réaliser des rapports à partir de ces données. Cela permet de faciliter l’échange d’informations au sein de la société et de favoriser les interactions des différentes parties prenantes.
Évolution de la norme ISO
La version de la norme ISO en vigueur est l’édition ISO 31000:2018.
Avant cela, la norme utilisée était l'ISO 31000:2009. Cependant, l’Organisation internationale de normalisation a été contrainte de la réviser et d’en publier une nouvelle édition pour s’adapter au contexte.
En effet, il y a eu une émergence de nouveaux risques, parmi lesquels : cybercriminalité, réputation, terrorisme... Il y a donc eu une nécessité de faire évoluer les pratiques de gestion des risques.
Les principaux changements par rapport à la précédente édition ISO 31000:2009 sont les suivants :
- Les principes de la gestion des risques ont été revus ;
- Une plus grande importance est désormais accordée à la nature itérative du management du risque ;
- Le contenu a été simplifié pour s’adapter aux besoins et aux situations ;
- Enfin, l’intégration du management du risque et du leadership sont maintenant mis en avant.
Les intérêts et inconvénients de la norme ISO 31000
Adopter la norme ISO 31000 au sein de son établissement peut avoir plusieurs avantages, mais comporte aussi des inconvénients.
Les avantages de la norme ISO 31000
Adopter ISO 31000 offre les intérêts suivants à une organisation :
- Des critères réglementés pour le suivi, l’étude et la constante amélioration du risk management ;
- Des outils qui permettent d’établir des rapports et de savoir comment communiquer sur les risques dans l’entreprise ;
- Les éléments de base et des recommandations qui sont reconnus à l’international ;
- Un procédé structuré pour aider à la mise en application des processus réglementés du risk management ;
- Et enfin, elle indique toutes les bases de l’intégration du management du risque pour l’ensemble de l’entreprise.
A noter :
Les entreprises qui utilisent ISO 31000 accroissent leurs chances d’atteindre leurs objectifs. Elles sont alors capables de mieux identifier les opportunités et les menaces pour leur activité. Cela leur permet aussi d’utiliser efficacement les ressources dont elles disposent pour le management des risques.
Les inconvénients de la norme ISO 31000
Cependant, l’intégration des normes de conformité ISO 31000 s’accompagne d’un inconvénient : son implantation nécessite du temps et peut s’avérer coûteuse.
En effet, pour mettre en place de façon globale les normes, l’entreprise doit prendre le temps de réaliser un examen complet de son organisation. Il doit permettre d’identifier les risques possibles et les actions déjà en place pour y faire face.
De plus, le professionnel peut décider de suivre les règles d’ISO 31000 et d’implanter de nouveaux procédés pour y arriver, ce qui peut engendrer des coûts.
Autres définitions de la catégorie Entreprise
- Agent immobilier
- Capital intellectuel
- Comité d’entreprise
- Conjoint associé
- Coworking
- Dirigeant de fait
- Entreprise individuelle
- Entreprise sociale
- GAFA
- Lean startup
- Legaltech
- MarTech
- Medtech
- Organisation fonctionnelle
- Pacte d’actionnaires
- Personnalité morale
- Pivot
- Raison sociale
- Société civile
- Société d’accélération du transfert de technologies