* Il existe de nombreuses normes ou documents métier concernant le

Management des risques et sa déclinaison dans des domaines tels que la

sécurité. Cependant, ces normes sont sectorielles (avionique, ferroviaire,
nucléaire, procédés, pharmacie, etc.). De plus, elles concernent souvent des
points de vue limités comme des étapes particulières du développement de
projets (par exemple la conception). D’autres documents traitent de risques
affectant des technologies spécifiques (par exemple le logiciel ou
l’électronique). D’autres, enfin, répondent à des sources de dangers ciblées
(par exemple, les explosions ou les rayonnements électromagnétiques). Or, la
gestion des risques de systèmes sociotechniques complexes comme une
installation industrielle ou un développement de projet industriel, nécessite
d’aborder la question des risques d’un point de vue global. Ainsi, même si
chaque domaine a développé des terminologies et des techniques d’usage
partiel et spécifique, il existe des problématiques qui requièrent une approche
globale et générique.

* Par ailleurs, on constate que les ingénieurs ont parfois une perte de repères
lorsqu’ils appliquent les standards sectoriels. Ils peinent à les positionner dans
une approche de Management des risques globale à l’organisme et ainsi à bien
comprendre les apports mais aussi les limites de l’application de ces
documents. La nouvelle norme ISO 31000 a tiré profit des échanges entre des
experts internationaux issus d’organismes très variés (industriels,
administrations, ONG, etc.) relevant de multiples secteurs d’activités. Elle
favorise la prise en compte des risques par l’ensemble de l’organisme et
fournit aux parties prenantes l’assurance d’une meilleure maîtrise de ces
risques. L’ISO 31000 est une« norme chapeau» permettant d’établir un
dialogue entre les secteurs d’activité en leur proposant un vocabulaire et un
cadre commun. Cette norme facilitera également le développement des
formations dans le domaine de la gestion des risques qui était jusqu’alors
rendu difficile par l’impossibilité de multiplier les présentations de pratiques
sectorielles.
* L’ISO 31000 propose une approche générique du Management des risques
mais ne préconise pas de moyens opérationnels de mise en œuvre. Cette
norme suggère de bonnes questions pour aborder le sujet complexe de la
gestion des risques et non de bonnes pratiques pour y répondre. Les moyens
de mise en œuvre du Management des risques sont développés dans les
documents métiers sectoriels qui ne sont donc pas rendus obsolètes par cette
norme. Ils y trouvent au contraire un vocabulaire et un cadre global pour les
situer. L’ISO 31000 ne concerne pas exclusivement les grands groupes
industriels ou financiers ou les grandes administrations publiques, mais tout
type d’organisme, de tous secteurs et de toutes tailles (entreprise,
gouvernement, ONG, individu, etc.). Ses principes stipulent d’ailleurs que sa
mise en œuvre doit être adaptée aux caractéristiques de l’organisme (taille,
type de risque traité, etc.). Elle n’a donc pas pour but d’uniformiser les
pratiques, mais d’harmoniser les démarches en termes de principes et de
processus. L’ISO 31000 fournit tout d’abord une redéfinition du terme de
risque qui permet de prendre en compte explicitement de nombreuses
problématiques récentes. Le processus de Management des risques qu’elle
propose, complète ceux existants en y intégrant par exemple la prise en
compte explicite du contexte dans lequel le risque est étudié. La norme
introduit un second processus appelé Cadre organisationnel structurant les
activités des organismes pour mettre en place et améliorer continûment le
processus de Management des risques. Enfin, elle base l’ensemble de ces
activités sur des principes généraux qui doivent réagir la structure de ces
processus et leur mise en œuvre. L’ISO 31000 est structurée en 4 grandes
sections : la première définit le vocabulaire employé dans la norme, la
seconde établit les principes, la troisième décrit le cadre organisationnel et la
quatrième expose le processus de Management des risques.
**Les implantations des processus de Management du risque sont issues des
activités du Cadre organisationnel. La norme ISO 31000 base la réalisation de
ce cadre et donc des processus sur onze « Principes». Il est important de
mentionner que ces principes ne concernent pas les risques particuliers à gérer
mais affectent la façon de les gérer. Les questions telles que « Quel est le
niveau de risque acceptable?» relèvent de l’« Établissement du contexte» de
chaque processus de Management du risque. Par exemple, la norme érige en
principe que« le Management des risques doit créer de la valeur ». Cette
phrase ne doit pas être interprétée d’un point de vue financier. Elle exprime
que l’ensemble des activités de gestion des risques mises en place doivent
contribuer efficacement à l’atteinte des objectifs de l’organisme afin de
maîtriser les effets de l’incertitude. Ce principe induit notamment les activités
d’évaluation des moyens du processus de Management des risques par le
Cadre organisationnel et l’évaluation de l’efficacité de l’utilisation de ces
moyens par le processus de Management des risques lui-même. Par exemple,
elle pourrait conduire à évaluer l’efficacité réelle d’une réglementation avant
de la promulguer. Des techniques comme l’analyse coût bénéfices pourraient
être utilisées comme outil d’évaluation. Un second principe stipule que « le
Management des risques traite explicitement de l’incertitude ». Cette
incertitude concerne par exemple les connaissances sur les sources du risque.
Les modèles et outils d’analyse doivent donc prendre en compte cette
méconnaissance. L’acceptation de l’incertitude induit également l’aspect
itératif du processus de Management du risque a_n d’intégrer les nouvelles
connaissances disponibles. L’incertitude affecte aussi les moyens utilisés pour
gérer le risque, comme ceux concernant son analyse et son traitement (par
exemple l’efficacité des barrières de protection). L’impact de l’incertitude sur
les usages de ces moyens doit être explicité. Le principe qui énonce que « le
Management du risque doit intégrer les facteurs humains et culturels» est par
exemple pris en compte dans la tâche « Mandat et engagement» du Cadre
organisationnel. En effet, elle requiert de s’assurer de la disponibilité des
ressources humaines adéquates. Dans le processus de Management des
risques, ce principe impacte, entre autres, la mise en œuvre de la tâche d’«
Établissement du contexte ». Par exemple, celle-ci doit identifier les critères
d’appréciation des risques adoptés par les parties prenantes. L’explicitation
des principes qui régissent le Management des risques est essentielle. En effet,
ces principes vont induire la façon de gouverner toutes les activités.
L’organisme devrait donc au préalable stipuler son degré d’adhésion à ces
principes

**Les implantations des processus de Management du risque sont issues des

activités du Cadre organisationnel. La norme ISO 31000 base la réalisation de
ce cadre et donc des processus sur onze « Principes». Il est important de
mentionner que ces principes ne concernent pas les risques particuliers à gérer
mais affectent la façon de les gérer. Les questions telles que « Quel est le
niveau de risque acceptable?» relèvent de l’« Établissement du contexte» de
chaque processus de Management du risque. Par exemple, la norme érige en
principe que« le Management des risques doit créer de la valeur ». Cette
phrase ne doit pas être interprétée d’un point de vue financier. Elle exprime
que l’ensemble des activités de gestion des risques mises en place doivent
contribuer efficacement à l’atteinte des objectifs de l’organisme afin de
maîtriser les effets de l’incertitude. Ce principe induit notamment les activités
d’évaluation des moyens du processus de Management des risques par le
Cadre organisationnel et l’évaluation de l’efficacité de l’utilisation de ces
moyens par le processus de Management des risques lui-même. Par exemple,
elle pourrait conduire à évaluer l’efficacité réelle d’une réglementation avant
de la promulguer. Des techniques comme l’analyse coût bénéfices pourraient
être utilisées comme outil d’évaluation. Un second principe stipule que « le
Management des risques traite explicitement de l’incertitude ». Cette
incertitude concerne par exemple les connaissances sur les sources du risque.
Les modèles et outils d’analyse doivent donc prendre en compte cette
méconnaissance. L’acceptation de l’incertitude induit également l’aspect
itératif du processus de Management du risque a_n d’intégrer les nouvelles
connaissances disponibles. L’incertitude affecte aussi les moyens utilisés pour
gérer le risque, comme ceux concernant son analyse et son traitement (par
exemple l’efficacité des barrières de protection). L’impact de l’incertitude sur
les usages de ces moyens doit être explicité. Le principe qui énonce que « le
Management du risque doit intégrer les facteurs humains et culturels» est par
exemple pris en compte dans la tâche « Mandat et engagement» du Cadre
organisationnel. En effet, elle requiert de s’assurer de la disponibilité des
ressources humaines adéquates. Dans le processus de Management des
risques, ce principe impacte, entre autres, la mise en œuvre de la tâche d’«
Établissement du contexte ». Par exemple, celle-ci doit identifier les critères
d’appréciation des risques adoptés par les parties prenantes. L’explicitation
des principes qui régissent le Management des risques est essentielle. En effet,
ces principes vont induire la façon de gouverner toutes les activités.
L’organisme devrait donc au préalable stipuler son degré d’adhésion à ces
principes.

**La finalité du management du risque est la création et la préservation de la

valeur. Il améliore la performance, favorise l’innovation et contribue à
l’atteinte des objectifs. Les principes fournissent les grands axes relatifs aux
caractéristiques d’un management du risque efficace et efficient, en
communiquant sa valeur et en expliquant son intention et sa finalité. Les
principes sont le fondement du management du risque et il convient de les
prendre en considération lors de l’établissement du cadre organisationnel et
des processus de management du risque de l’organisme. Il convient que ces
principes permettent à un organisme de gérer les effets de l’incertitude sur ses
objectifs.
** Un système de management de risque efficace doit être Intégré : Le
management du risque est intégré à toutes les activités de l’organisme.

**Structuré et global Une approche structurée et globale du management du

risque contribue à la cohérence de résultats qui peuvent être comparés.

**Adapté Le cadre organisationnel et le processus de management du risque

sont adaptés et proportionnés au contexte externe et interne de l’organisme
aussi bien qu’à ses objectifs.

**Inclusif : L’implication appropriée et au moment opportun des parties

prenantes permet de prendre en compte leurs connaissances, leurs opinions et
leur perception. Ceci conduit à un management du risque mieux éclairé et plus
pertinent.

** Dynamique : Des risques peuvent surgir, être modifiés ou disparaître

lorsque le contexte externe et interne d’un organisme change. Le management
du risque anticipe, détecte, reconnaît et réagit à ces changements et
événements en temps voulu et de manière appropriée.

**Meilleure information disponible : Les données d’entrée du management du

risque sont fondées sur des informations historiques et actuelles ainsi que sur
les attentes futures. Le management du risque tient compte explicitement de
toutes limites et incertitudes associées à ces informations et attentes. Il
convient que les informations soient disponibles à temps, claires et accessibles
aux parties prenantes pertinentes.
**Facteurs humains et culturels : Le comportement humain et la culture
influent de manière significative sur tous les aspects du management du risque
à chaque niveau et à chaque étape.

**Amélioration continue : Le management du risque est amélioré en continu

par l’apprentissage et l’expérience.

** La finalité du cadre organisationnel de management du risque est d’aider

l’organisme à intégrer le management du risque dans les activités et les
fonctions significatives. L’efficacité du management du risque va dépendre de
son intégration dans la gouvernance de l’organisme, y compris la prise de
décisions. Cela nécessite un soutien et une implication des parties prenantes,
en particulier de la direction. Le développement du cadre organisationnel
englobe l’intégration, la conception, la mise en œuvre, l’évaluation et
l’amélioration du management du risque au sein de l’organisme.

**Leadership et engagement : Il convient que la direction et les organes de

surveillance, le cas échéant, s’assurent que le management du risque est
intégré dans toutes les activités de l’organisme et démontrent leur leadership
et leur engagement en: — adaptant et mettant en place toutes les composantes
du cadre organisationnel ; — diffusant une déclaration ou une politique qui
énonce une approche, un plan ou une ligne de conduite en matière de
management du risque; — s’assurant que les ressources nécessaires sont
allouées au management du risque; — attribuant l’autorité et la responsabilité
aux niveaux appropriés de l’organisme. Ceci aidera l’organisme à: — aligner
le management du risque sur sa stratégie, ses objectifs et sa culture; —
reconnaître et prendre en charge toutes les obligations ainsi que ses
engagements volontaires; — établir le niveau et le type de risque pouvant ou
non être pris, afin de servir de guide à la mise en place de critères de risque,
en s’assurant qu’ils sont communiqués à l’organisme et à ses parties
prenantes; — communiquer sur la valeur d’un management du risque pour
l’organisme et ses parties prenantes; — promouvoir un suivi systématique des
risques; — s’assurer que le cadre organisationnel de management du risque
reste approprié au contexte de l’organisme. La direction est responsable du
management du risque alors que les organes de surveillance sont responsables
de la supervision du management du risque. Les organes de surveillance sont
souvent censés ou tenus de: — s’assurer que les risques sont pris en compte
de manière adéquate lors de l’établissement des objectifs de l’organisme; —
comprendre les risques auxquels l’organisme s’expose dans la poursuite de
ses objectifs; — s’assurer que des systèmes permettant de gérer ces risques
sont mis en œuvre et fonctionnent efficacement; — s’assurer que ces risques
sont adaptés au contexte des objectifs de l’organisme; — s’assurer que les
informations relatives à ces risques et à leur management sont communiquées
de façon appropriée.

**Intégration : L’intégration du management du risque s’appuie sur la

compréhension des structures et du contexte de l’organisme. Les structures
diffèrent selon la finalité, les objectifs et la complexité de l’organisme. Le
risque est géré dans chaque partie de la structure de l’organisme. Chacun au
sein d’un organisme a une responsabilité en matière de management du
risque. La gouvernance guide l’évolution de l’organisme, de ses relations
externes et internes et des règles, processus et pratiques nécessaires pour
atteindre sa finalité. Les structures de management traduisent l’orientation de
la gouvernance en stratégie et objectifs associés requis pour atteindre les
niveaux souhaités de performance durable et de viabilité à long terme. La
détermination de la responsabilité du management du risque et des rôles de
suivi au sein d’un organisme fait partie intégrante de la gouvernance de
l’organisme.
**L’intégration du management du risque dans un organisme est un processus
dynamique et itératif, qu’il convient d’adapter aux besoins et à la culture de
l’organisme. Il convient que le management du risque fasse partie, et ne soit
pas séparé, de la finalité, de la gouvernance, du leadership et de l’engagement,
de la stratégie, des objectifs et des opérations de l’organisme.

**Conception : Compréhension de l’organisme et de son contexte Lors de la

conception du cadre organisationnel de management du risque, il convient que
l’organisme analyse et comprenne son contexte externe et interne. L’analyse
du contexte externe d’un organisme peut comprendre, entre autres: — les
facteurs sociaux, culturels, politiques, légaux, réglementaires, financiers,
technologiques, économiques et environnementaux, au niveau international,
national, régional ou local; — les moteurs et tendances clés ayant une
incidence sur les objectifs de l’organisme; — les relations avec les parties
prenantes externes, leurs perceptions, leurs valeurs, leurs besoins et leurs
attentes; — les relations contractuelles et les engagements; — la complexité
des réseaux et des dépendances. L’analyse du contexte interne d’un organisme
peut comprendre, entre autres: — la vision, la mission et les valeurs; — la
gouvernance, l’organisation, les rôles et les responsabilités; — la stratégie, les
objectifs et les politiques; — la culture de l’organisme; — les normes, les
lignes directrices et les modèles adoptés par l’organisme; — les capacités, en
termes de ressources et de connaissances (par exemple capital, temps,
personnel, propriété intellectuelle, processus, systèmes et technologies); — les
données, les systèmes d’information et la circulation de l’information; — les
relations avec les parties prenantes internes, en tenant compte de leurs
perceptions et de leurs valeurs; — les relations contractuelles et les
engagements; — les interdépendances et les interconnexions. Compréhension
de l’organisme et de son contexte Lors de la conception du cadre
organisationnel de management du risque, il convient que l’organisme analyse
et comprenne son contexte externe et interne. L’analyse du contexte externe
d’un organisme peut comprendre, entre autres: — les facteurs sociaux,
culturels, politiques, légaux, réglementaires, financiers, technologiques,
économiques et environnementaux, au niveau international, national, régional
ou local; — les moteurs et tendances clés ayant une incidence sur les objectifs
de l’organisme; — les relations avec les parties prenantes externes, leurs
perceptions, leurs valeurs, leurs besoins et leurs attentes; — les relations
contractuelles et les engagements; — la complexité des réseaux et des
dépendances. L’analyse du contexte interne d’un organisme peut comprendre,
entre autres: — la vision, la mission et les valeurs; — la gouvernance,
l’organisation, les rôles et les responsabilités; — la stratégie, les objectifs et
les politiques; — la culture de l’organisme; — les normes, les lignes
directrices et les modèles adoptés par l’organisme; — les capacités, en termes
de ressources et de connaissances (par exemple capital, temps, personnel,
propriété intellectuelle, processus, systèmes et technologies); — les données,
les systèmes d’information et la circulation de l’information; — les relations
avec les parties prenantes internes, en tenant compte de leurs perceptions et de
leurs valeurs; — les relations contractuelles et les engagements; — les
interdépendances et les interconnexions.