Master Qualité - Communication publique des résultats d'un projet d'intégration
Master Qualité - UTC - rue du docteur Schweitzer - CS 60319 - 60203 COMPIÈGNE Cedex - France
master-qualite@utc.fr - Téll : +33 (0)3 44 23 44 23

logo UTC

Avertissement : Si vous arrivez directement sur cette page, sachez que ce travail est un rapport d'étudiants et doit être pris comme tel. Il peut donc comporter des imperfections ou des imprécisions que le lecteur doit admettre et donc supporter. Il a été réalisé pendant la période de formation et constitue avant-tout un travail de compilation bibliographique, d'initiation et d'analyse sur des thématiques associées aux concepts, méthodes, outils et expériences sur les démarches qualité dans les organisations. Nous ne faisons aucun usage commercial et la duplication est libre. Si, malgré nos précautions, vous avez des raisons de contester ce droit d'usage, merci de nous en faire part, nous nous efforcerons d'y apporter une réponse rapide. L'objectif de la présentation sur le Web est de permettre l'accès à l'information et d'augmenter ainsi les échanges professionnels. En cas d'usage du document, n'oubliez pas de le citer comme source bibliographique. Bonne lecture ...

Management du risque performant : Faciliter l'usage de la norme ISO 31000
ABY SALAMI
Odile ABY SALAMI
EL
              HAOULI
Dina EL HAOULI
KONTE
Fatimata KONTE
MANSOUR
Ones MANSOUR
MOTTE
Isabelle MOTTE
OUALI
Bahaa Eddine OUALI
Référence bibliographique à rappeler pour tout usage :
Management du risque performant : Aide à l'intégration de l'ISO 31000
Odile ABY SALAMI, Dina EL HAOULI, Fatimata KONTE, Ones MANSOUR, Isabelle MOTTE, Bahaa Eddine OUALI

Université de Technologie de Compiègne, Master Qualité et Performance dans les Organisations (QPO) & Mastère Spécialisé Normalisation, Qualité, Certification, Essai (NQCE)
Mémoire d'Intelligence Méthodologique du projet d'intégration, janvier 2016, www.utc.fr/master-qualite, puis "Travaux", "Qualité-Management", réf n°333

RÉSUMÉ

Au cours du temps, la multiplication des différents évènements tragiques a démontré l'importance de la gestion adéquate des risques. Désormais, la gestion des risques est un élément indispensable à la survie de tout type d’organisme. Le risque peut être, en effet, pilote de décisions stratégiques, source de nombreuses incertitudes et une menace à la pérennité des activités.

Une approche globale du management du risque permet d’évaluer l’impact de tous les types de risques sur tous les processus, y compris les personnes, les biens et l’environnement.  C’est dans cette logique qu’a été publiée la norme ISO 31000 « Management du risque – Principes et lignes directrices». Elle offre une approche structurée et globale de la mise en œuvre du management du risque en entreprise.

De nombreux organismes rencontrent des difficultés face à la mise en œuvre de cette norme. Ce mémoire met à disposition deux outils simples, conviviaux et ergonomiques qui aideront ces organismes à intégrer l’ISO 31000 au sein de leurs organisations.

Mots-clefs: ISO 31000, management, performance, risque, enjeux, impact, stratégie, outils, autodiagnostic, interface web, évaluation.


ABSTRACT

Through the time, the proliferation of different tragic events demonstrated the importance of adequate risk management. Nowadays, risk management is an essential practice for the survival of all types of organizations. The risk may be, in fact, a driver of strategic decisions, it may be a cause of uncertainty and a threat to the sustainability of the organization.

An enterprise-wide approach to risk management enables an organization to consider the potential impact of all types of risks on all processes, including the people, the goods and the environment. In this context was published the international standard, ISO 31000 " Risk management - Principles and guidelines ". It provides a structured and comprehensive approach to the implementation of risk management in companies.

Many organizations face difficulties with the implementation of this standard. This thesis provides two simple, user-friendly and ergonomic tools to help these organizations to integrate ISO 31000 within their organizations.

Keywords: ISO 31000, management, performance, risk, challenges, impact, strategy, tools, self-diagnosis, web interface, evaluation

Accéder à l'interface web

Remerciements

Nous tenons à remercier notre tuteur et professeur Monsieur Gilbert FARGES de nous avoir accompagnés et guidés tout au long du semestre pour mener à bien notre projet. Nous le remercions pour son dévouement en matière d’enseignement et le temps qu’il nous a consacré.
Nous remercions de surcroit les professeurs Monsieur Jean-Pierre CALISTE, Monsieur Jean ESCANDE et Monsieur Arnaud DERATHE pour toute la richesse des explications et des conseils qu’ils nous ont apportés.
Nous remercions enfin toutes les personnes qui ont contribué, de près ou de loin, au déroulement de ce semestre dans les meilleures conditions.


SOMMAIRE
INTRODUCTION
1.    ENVIRONNEMENT GÉNÉRAL
1.1.    Contexte
1.2.    Enjeux
1.3.    Le risque en entreprise
1.4.    Chiffres et benchmarking sur le management du risque
1.5.    Lien avec les autres normes abordant la notion de risque
1.6.    Bilan
2.    CRÉATION D’OUTILS
2.1.    Présentation des normes relatives au management du risque
2.2.    Choix des outils
3.    ABOUTISSEMENT DES OUTILS
3.1.    Logigramme sous Scenari process
3.2.    Outil d’autodiagnostic
3.3.    Bilan
CONCLUSION
ANNEXES

BIBLIOGRAPHIE
LEXIQUE
LISTE DES ABRÉVIATIONS


INTRODUCTION


Le risque n’est pas une découverte du monde moderne. En effet, l’homme l’a intégré naturellement dans son mode de fonctionnement depuis la nuit des temps mais de façon intuitive pour sa sauvegarde.

 

Le début du XXIème siècle a été marqué par des événements tragiques (la peur du « bug » de l’an 2000 [2], les attentats du 11 septembre 2001 [3], la crise des subprimes [4], les soulèvements du monde arabe [5], épidémie du virus « Ebola » [6],  …) qui ont bouleversés le quotidien des hommes et ont également fragilisés les interdépendances mondiales.

 

Cette mondialisation des marchés a mis en évidence les difficultés que rencontrent les organismes à gérer l’environnement incertain et fluctuant les entourant.

Cet environnement est source de risques qui peuvent aussi bien être interne qu’externe aux organismes. Ils peuvent mettre les organismes en péril s’ils n’ont pas anticipé les fluctuations de leur environnement. Les anticiper peut aussi être une force, un atout.

 

De ce fait, est apparu le terme de « Risk management » qui est une matière assez nouvelle en France sauf pour les entreprises ayant déjà une envergure internationale. Suivant qu’il est utilisé dans le monde de l’entreprise, ou dans le langage courant, il ne revêt pas la même signification. Afin d’en donner une même lecture, l’ISO 31000 [7] a vulgarisé la notion de risque dans le but de la rendre compatible à tout type d’activité et de permettre ainsi une communication avec dialectique commune.

 

Tout au long de ce mémoire, la norme sera décrypter afin de garantir une lecture conviviale et la mise à disposition des outils vous permettra :

-        de vous situer quant à votre gestion actuelle du risque,

-        et de vous guider pour intégrer la gestion du risque à tous les niveaux de vos processus.

 


 

«Le monde a commencé sans l’Homme, c’est un fait.

Et le risque est qu’il se prolonge sans lui».

Laurent Fabius, le 03/10/2015 au forum « Make It Work » organisé par « Libération » à Sciences Po Paris.



retour sommaire

1.    ENVIRONNEMENT GÉNÉRAL

1.1.    Contexte

Historiquement et contrairement aux entreprises françaises, les entreprises anglo-saxonnes ont toujours été en avance en matière de risk management. En effet, la première apparition de la gestion des risques « moderne » fut aux États-Unis entre les années 1950 et 1960. Cette gestion étant limitée à cette époque au transfert des risques vers un assureur [8]. Cette notion a évolué pour prendre une importance capitale dans la vie des entreprises depuis les années 2000, en étant de plus en plus intégrée dans la stratégie globale de l’entreprise et en devenant un élément clé pouvant influer sur les principes de l’organisation de l’entreprise.


Les organismes, de par leurs diversités en termes de types, secteurs et tailles (entreprise, gouvernement, ONG, individu, etc.) sont confrontés à des facteurs qui les influencent  à l’interne comme à l’externe.  L’incertitude générée par ces facteurs, portant sur l’atteinte des objectifs d’un organisme, en constitue le risque. De nos jours, les organismes se trouvent devant deux objectifs qui semblent, à première vue, contradictoires à savoir :

       La précaution est un traitement du risque qui existait avant que l’opinion publique puis la législation ne l’érigent en principe.
En France, depuis le 2 février 1995, la précaution a une définition légale qui est : « L’absence de certitudes, compte-tenu des connaissances scientifiques et techniques du moment, ne doit pas retarder l’adoption de mesures effectives et proportionnées visant à prévenir un risque de dommages graves et irréversibles à l’environnement à un coût économiquement acceptable. » (Loi 95-101 dite loi Barnier).

 

La norme ISO 31000 constitue une solution efficace pour aider les entreprises à déployer leur approche-risque de façon structurée sans préconiser des moyens opérationnels pour sa mise en œuvre. Cette norme dresse d’intéressantes interrogations de manière à aborder ce sujet complexe qui est la gestion des risques, en ayant comme objectif de fournir des principes et des lignes directrices pour le management du risque en favorisant l’intégration de ce dernier dans le système managérial de l’organisme [9].


retour sommaire

1.2.    Enjeux

Le dictionnaire Larousse [10] donne un éclaircissement du terme enjeu en proposant deux définitions.

        1.    Ce que l’on risque dans un jeu, en particulier une somme d’argent et qui revient au gagnant.

Ici, un terme surprend, le mot jeu. En effet, prendre un risque c’est comme jouer à quitte ou double.

        2.    Ce que l’on peut gagner ou perdre dans une entreprise quelconque.

C’est la probabilité d’un gain ou d’une perte à venir.

Au fil de ce mémoire, la définition du risque selon la norme ISO 31000 sera donnée.

La corrélation des deux définitions, permet de définir l’enjeu comme étant le fait que dans une situation quelconque on peut tout autant gagner que perdre. De plus, l’enjeu se base sur ce qu’on a investi ou on souhaite investir. Cet investissement sera au bénéfice ou au détriment de celui qui a pu investir des éléments tant matériels (financier, propriétés), qu’immatériels (son honneur, son image).

Voici ci-dessous les cinq enjeux majeurs :

L’ensemble de ces enjeux peut avoir des impacts tant sur la santé que sur la sécurité des parties prenantes (salariés, consommateurs, Etat, …) contraignant les organismes à maîtriser leurs activités de manière efficace et efficiente.

Du fait de l'accentuation du contexte concurrentiel, les organismes doivent savoir mieux maîtriser les coûts, les délais, les spécifications techniques des projets ainsi que leurs incidences sur leur environnement immédiat.

D’autre part, l'impact de l'opinion publique sur les activités des organismes n’est plus en reste car elles peuvent entacher leur image de marque.

Ainsi cerner ses enjeux pourra s’avérer bénéfique du point de vue :


La gestion des enjeux revient donc à :


La prise en compte de la gestion d’un risque doit se faire très en amont. En effet, l’organisme pourra anticiper les risques et sensibiliser l’ensemble de son organisation aux éventuels bouleversements pouvant mettre en péril sa pérennité et/ou sa stabilité. L’organisme peut : soit être conscient qu’il ne maîtrise pas totalement son environnement, soit le risque ne fait pas l’objet de toutes ses attentions.

L’enjeu est indissociable du risque car ils sont interdépendants. Manager le risque est déjà un enjeu en soi car il permet de reconnaître les défaillances pouvant apparaître. De plus, la mesure du niveau du risque présent ou potentiel sera meilleure.

Au cas d’espèce, l’enjeu environnemental encourage une entreprise à prendre en compte dans son processus d’achat les éléments pouvant causer un préjudice à l’écosystème ex : pollution, dégradation des ressources naturelles.



retour sommaire

1.3.    Le risque en entreprise

1.3.1.    La définition du risque

Selon la norme ISO 31000 : « Les organismes de toutes sortes sont confrontés à des facteurs et des influences internes et externes, de sorte qu’ils ignorent s’ils vont atteindre ou dépasser leurs objectifs et, si oui, à quel moment et dans quelle mesure. L'incidence de cette incertitude sur l’atteinte des objectifs d’un organisme constitue le risque. »

1.3.2.    Les critères d’évaluation d’un risque

Selon Jean-David DARSA [11], [12], le risque peut être évalué grâce à 3 critères principaux :

    1.  La détectabilité : mesure de la capacité d’un système organisationnel à détecter le risque entrant.

    2.  La sévérité : chiffrage de l’impact (conséquence) du risque, en cas d’émergence

    3.  L’occurrence appelée aussi la vraisemblance : mesure de la probabilité d’apparition du risque identifié dans le système.

La multiplication de ces trois critères permet de calculer un facteur risque qui constitue un critère de qualification pertinent du risque et de son enjeu à traiter.

1.3.3.    Les différentes catégories de risque

Il existe une multitude de risques qui peuvent menacer et mettre en cause la pérennité ainsi que l’atteinte des objectifs d’une organisation. Afin de les gérer de manière efficace, chaque organisme doit identifier et classer ses risques en fonction de ses enjeux prioritaires.

Pour chaque secteur d’activité existe un faisceau spécifique de risques susceptibles d’impacter les organismes, de manière propre et spécifique. Et, pour chaque organisme du même secteur d’activité, le spectre des risques à couvrir sera spécifique, en fonction de son histoire, de sa taille, de son ancienneté, de son organisation, de son mode de fonctionnement, de son encadrement, etc.

De même, chaque processus et sous-processus traduisant une activité de l’organisme va être aussi exposé à un spectre de risques spécifiques, plus ou moins sévères.

 

D’une manière exhaustive, Jean-David DARSA a déterminé 11 principales catégories de risques (voir Annexe A).


Catégorie de risques

Exemples

Risques géopolitiques

Blocus économique, attentats, guerres, climat insurrectionnel…

Risques économiques

Inflation, évolution de la demande, des besoins, des marchés…

Risques stratégiques

Incohérence entre les différents segments constitutifs du modèle stratégique

Risques financiers

Illiquidité, taux de change, risque de crédit, dilution du capital…

Risques opérationnels

Risques engendrés par les infrastructures, les énergies, les cycles de production…

Risques industriels

Risques liés aux activités de fabrication, de transformation…

Risques juridiques

Contrefaçon, responsabilité pénale du dirigeant…

Risques informatiques

Risques liés aux matériels, aux logiciels, aux applications, aux infrastructures réseaux…

Risques sociaux ou psychosociaux

Perte d’homme clé, mal-être, stress, harcèlement sexuel, suicide…

Risques d’image ou de réputation

Contrefaçon, rumeurs, concurrence déloyale, espionnage industriel…

Risques de knowledge management

Perte de connaissance et de savoir-faire


Figure 1 : Les différentes catégories de risque [11]
retour sommaire

1.4.    Chiffres et benchmarking sur le management du risque

1.4.1.    Les associations traitant de la gestion du risque

Il est intéressant de savoir qu’il existe aujourd’hui, dans plusieurs pays, des associations qui s’occupent du management et de la gestion des risques. Ces associations rassemblent des acteurs privés et/ou publiques qui concourent à la maîtrise des risques dans les organisations auxquelles ils appartiennent.

En France, par exemple, l’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise) promeut les travaux en matière de gestion de risques au niveau national mais aussi international. D’une part, elle a pour principaux objectifs de développer et faire évoluer les méthodologies de gestion des risques et d’autre part, aider ses membres à respecter les standards les plus exigeants concernant la maîtrise des risques.

Cette association fait partie d’une organisation qui rassemble toutes les autres associations des pays européens autour de la gestion des risques. C’est la fédération des associations européennes du management du risque FERMA (Federation of European Risk Management Associations). Elle permet de coordonner les travaux du management du risque des associations y adhérant, et optimise les effets de ces dernières en dehors de leurs frontières nationales au niveau européen.

1.4.2.    Le management du risque en Europe

En 2012, une étude sur les pratiques de Risk Management en Europe a été réalisée par la fédération européenne FERMA (Federation of European Risk Management Associations) en collaboration avec AXA Corporate Solutions et Ernst & Young [13].

Le sondage, composé de 41 questions, a reçu 809 réponses représentant 20 pays. Ses objectifs sont les suivants :


        Le nombre de réponses à ce type de sondage a augmenté depuis 2002, ce qui suggère que les organismes deviennent de plus en plus intéressés et familiarisées avec le Risk Management.

 Evolution du nombre de participant au sondage de FERMA cocernant le Risk Management

Figure 2 : Évolution du nombre de participants au sondage de FERMA
concernant le Risk management [13]


        Les données ont montré que les participants ayant répondu ont des profils variés et appartiennent à des secteurs différents. Le management des risques concernent donc tous les organismes de tous types et de toutes tailles.

      La répartition des particants par secteurs d'activité

Figure 3 : La répartition des participants par secteurs d'activité [13]




72% des personnes, qui ont rempli le questionnaire, sont en charge du Risk Management et/ou de l’assurance.

LEs profils métiers des        personnes ayant répondu aux questionnaires

Figure 4 : Les profils métier des personnes ayant répondu aux questionnaires [13]



Le questionnaire, interrogeant les entreprises sur les facteurs externes qui les incitent à pratiquer le Risk Management, a révélé que les exigences de conformité, réglementaires et légales sont les facteurs primaires. Il est à remarquer que la responsibilité sociétale est davantage prise en compte par rapport aux évènements catastrophiques.

Classement des facteurs externes incitant les entreprises au Risk management

Figure 5 : Classement des facteurs externes incitant
les entreprises au Risk management [13]



Les participants ont été également interrogés sur quel référentiel ils se basent pour appliquer le Risk Management. Le graphe ci-dessous montre que 37% des entreprises se basent sur le référentiel interne de leur entreprise et non pas sur un référentiel standard comme COSO 2, ISO 31000 ou les référentiels nationaux de Risk Management. Par contre, en comparant les données de 2012 avec ceux de 2010, il a été noté que la norme ISO 31000 devient de plus en plus utilisée (25% en 2012 au lieu de 13% en 2010).

      Les référentiels du Risk management lers plus utilisés        par les entreprises

Figure 6 : Les référentiels du Risk management les plus utilisés par les entreprises [13]



Les participants ont été ensuite amenés à classifier les risques selon leur importance. Les résultats ont montré qu’en 2012, les cinq risques les plus importants selon les entreprises sont :

retour sommaire

1.4.3.    Le référentiel COSO 2

Comme il a été constaté dans les données ci-dessus, le référentiel COSO 2 est actuellement le référentiel le plus appliqué par les entreprises européennes en matière de management des risques. Qu’est-ce-que le référentiel COSO 2 ?

A l’origine, en 1985, cinq associations professionnelles aux États-Unis, se sont alliées pour établir une Commission Nationale qui se consacre aux fraudes financières.  Suite à de nombreux scandales aux États-Unis, la commission a mis en place, en 1992, un cadre commun de contrôle interne appelé COSO (Committee Of Sponsoring Organizations). En 2004, la commission élargit le périmètre de ses réflexions et élabore un nouveau référentiel  COSO 2 qui est axé davantage sur le processus de management des risques en entreprise.

Ce référentiel a donc été mis en place avant l’ISO 31000 ce qui peut expliquer le fait qu’il est plus utilisé par les entreprises. En revanche, il a été montré que de nombreuses organisations ont rencontré des difficultés à mettre en place le référentiel COSO.

L’ISO 31 000 offre une approche rationalisée qui est plus facile à mettre en œuvre. Il est basé sur un processus de gestion qui s’adapte à chaque organisation et qui s’intègre dans la gestion préexistante. Le modèle COSO, basé sur le contrôle de la conformité, est par contre plus difficilement exploitable pour la gestion de risque global.

retour sommaire

1.5.    Lien avec les autres normes abordant la notion de risque

        Le management du risque est souvent évoqué de manière partielle ou globale dans d’autres normes comme dans la nouvelle version 2015 de l’ISO 9001 [14] et de l’ISO 14001 [15]. Il semble judicieux de faire le lien entre ces différentes normes et la norme ISO 31000 afin de guider les organismes à intégrer ce management de façon adéquate dans le cadre de leur application. Cette partie est donc dédiée à tout utilisateur ayant des interrogations sur la façon d’utiliser la norme ISO 31000 à d’autres fins normatives.

1.5.1.    L’ISO 13485 et le management du risque

Dans sa partie « 7. Réalisation du produit », la norme 13485 [16], qui énonce les exigences relatives au système de management de la qualité dans le cas des dispositifs médicaux, précise que l’organisme doit établir des exigences documentaires relatives au management des risques tout au long du processus de réalisation du produit. De ce fait, tout organisme fournissant des dispositifs médicaux et des services associés est  dans l’obligation d’intégrer un certain management de risque dans son organisation afin d’être conforme à cette norme. Toutefois, le recours à la norme ISO 31000 ne permettra pas de répondre totalement aux exigences de la norme 13485 puisqu’il existe une norme plus spécifique et plus adaptée à ce type de management. C’est la norme ISO 14971 qui s’applique à la gestion des risques aux dispositifs médicaux. Elle permet aux fabricants d’identifier les phénomènes et les situations dangereux associés aux dispositifs médicaux, d’évaluer et de maîtriser ce type de risques.

 

Il est donc recommandable d’utiliser la norme ISO 14971 afin d’intégrer un management des risques adapté selon la norme ISO 13485.


retour sommaire


1.5.2.    L’ISO 9001:2015 et le management du risque

Récemment publiée, la nouvelle norme ISO 9001 version 2015 [14], relative au système de management de la qualité, incite les organismes à prendre en compte les risques et les opportunités associés à leur contexte et à leurs objectifs à tout moment du processus de décision et à tout niveau de leur organisation. Cette approche par les risques est évoquée à plusieurs moments dans le contenue de la norme ISO 9001, notamment dans le paragraphe « 0.3.3. Approche par les risques » et « 6.1. Actions à mettre en œuvre face aux risques et opportunités ». Tout organisme, pour se conformer à cette norme, doit déterminer les risques  et mettre en œuvre des actions face à ces derniers. Néanmoins, la norme précise qu’il n’existe pas d’exigences concernant les méthodes formelles de management du risque ou un processus de management de risque documenté. L’organisme peut choisir d’appliquer le référentiel ou la méthode la plus adapté à son organisation. Il peut même opter pour un management de risque plus étendue que n’exige la norme.

 

Afin de répondre aux exigences de la norme ISO 9001 en ce qui concerne l’approche par les risques, l’organisme peut se baser sur la norme ISO 31000. Elle lui permet de :

   Si toutefois, l’organisme souhaite plus approfondir son évaluation de risques et se concentrer sur le traitement de ses derniers, il peut faire recours directement à la norme ISO 31010 qui va le guider à choisir les méthodes d’évaluation de risques les plus adaptées à son organisation.

retour sommaire


1.5.3.    L’ISO 14001:2015 et le management des risques

De la même façon, la nouvelle version de la norme 14001 [15] relative au système de management environnemental, intègre une approche par les risques. Elle permet à un organisme d’employer un même raisonnement fondé sur le risque pour intégrer son système de management environnemental aux exigences d’autres systèmes de management. Pour ce faire, l’organisme doit déterminer les risques et les opportunités liés à :


 La prise en compte de ces risques permet de :

 

Pour être conforme à l’ISO 14001, l’organisme doit aussi planifier les actions pour traiter les risques et évaluer l’efficacité de ses actions. Cette norme n’impose pas non plus des exigences pour un management formel du risque. Il revient à l’organisme de choisir la méthode qu’il utilisera pour déterminer les risques.

Comme pour la norme ISO 9001, tout organisme souhaitant se baser sur un référentiel pour faire une évaluation de risques adaptée dans le cadre de l’ISO 14001, peut faire recours à la norme ISO 31010 et si le souhaite à la norme 31000 pour un management du risque plus global.

1.5.4.    L’ISO 26000:2010

Cette norme met en avant les bénéfices de la responsabilité sociétale pour une organisation. En effet, elle favoriserait la prise de décision plus éclairée fondée sur une meilleure appréhension des opportunités et des risques liés au fait de ne pas assumer sa responsabilité sociétale.

La norme ISO 26000 [17] aborde la notion de risque sous différents angles en évoquant des risques liés :


      Une organisation souhaitant s’engager auprès de la société doit prendre en compte tous les risques liés à son activité. Pour cela elle doit identifier, analyser, éviter et atténuer les différents risques. Afin de réaliser cela, cette organisation peut se baser sur la norme ISO 31000 pour la partie évaluation du risque. Puis s’appuyer sur la norme ISO 31010 qui l’aidera à adopter des méthodes et des techniques d’évaluation de risques les plus adaptés à son organisation.

retour sommaire

1.6.    Bilan

Il est nécessaire pour tout organisme désireux de rester dans la course et voir même désireux d’avoir une longueur d’avance, qu’il identifie dans un premier temps les enjeux pouvant impacter directement son activité et ensuite identifier les risques pouvant en découler.

L’anticipation sera une valeur positive tant financière qu’intellectuelle car les membres de l’organisme ayant anticipé le risque ne seront pas pris au dépourvu et agiront au mieux pour les intérêts de l’organisation.

 

L’ISO 31000 est un fil d’Ariane qui vous sera simplifié afin de vous en faciliter l’exploitation.

Pour ce faire, les normes ISO 31004 [18] et 31010 [19] serviront de base pour élaborer des outils simples et conviviaux d’aide à l’intégration de l’ISO 31000.

retour sommaire


2.    CRÉATION D'OUTILS

Les normes relatives au management du risque sont destinées aux divers intervenants dans la gestion de management des risques à savoir :

  • Les personnes en charge de la mise en place des activités de management des risques au sein des organismes

  • Les personnes définissant des pratiques

  • Les personnes chargées de gérer des risques particuliers

  • Les personnes chargées d’évaluer les pratiques

 

Le management du risque est une approche comprise par les grands organismes qui ont la capacité de se faire aider par des services internes mais aussi par des prestataires en conseil spécialisés dans l’accompagnement pour la mise en œuvre de démarche qualité.

Des études portant sur l’utilisation des normes par les TPE, PME et ETI révèlent les nombreuses difficultés rencontrées par ces dernières [20] :

 

  • sensibilisation limitée ou inexistante aux normes et à leur importance,

  • connaissance limitée ou inexistante des normes pertinentes et de la manière de se les procurer,

  • compréhension limitée ou inexistante des normes, et difficultés lors de leur mise en œuvre.

 

L’objectif est de mettre à disposition des organismes type TPE, PME et ETI, des outils simples de compréhension de la démarche à suivre pour la mise en place du management du risque à tous les niveaux de leurs structures (ou sur une partie suivant la volonté et les besoins de ces dernières). En effet, disposant souvent de moins de temps et de capacité à faire appel à des aides extérieures, elles se retrouvent souvent seules devant l’interprétation de ces normes qui nécessitent une lecture approfondie pour en comprendre tout l’intérêt mais aussi une méthodologie pour parvenir, à terme, à la maîtrise du management du risque.

Il est important que ces outils facilitent l’intégration à n’importe quels niveaux des différentes étapes du management du risque afin que chaque organisme puisse se positionner par rapport à ses besoins et ses capacités. Par exemple, une option pourrait consister à introduire des critères de risque lors de la planification d’un nouveau projet important, ce qui permettrait aux personnels de se familiariser avec les concepts du management du risque et d’acquérir l’expérience voulue. Ces outils tentent d’apporter une lecture simple de la capacité à intégrer les risques et donc d’avoir de l’anticipation par rapport à l’avenir même si le risque, comme il sous-entend, reste une incertitude à venir. Incertitude qui peut être négative si non identifiée mais positive si identifiée, anticipée, prévue et encadrée.

retour sommaire

2.1.    Présentation des normes relatives au management du risque

Actuellement trois normes traitent du management du risque. L’ISO 31000 évoque les principes généraux du management du risque. L’ISO 31004 et 31010 sont, quant à elles, des supports de l’ISO 31000. Ci-après, leur contenu en quelques lignes.

2.1.1.    Norme ISO 31000 : 2009, Management du risque – Principes et lignes directrices

Cette norme énonce les principes et lignes directrices pour toute forme de risque rencontrée en organisation. L’ISO 31000 définit le risque comme « l’effet de l’incertitude sur l’atteinte des objectifs ». L’application de cette norme donne la  possibilité aux organismes d’atteindre de manière significative leurs objectifs, de saisir de nouvelles opportunités et de faire face aux éventuelles menaces.

Toute organisation peut intégrer le management des risques dans son système. Cependant cette norme n’a pas vocation à servir de base à une certification.

 

La mise en œuvre d’ISO 31000 permet, par exemple, à un organisme :


2.1.2.    Norme ISO 31004 : 2014, Lignes directrices pour l'implémentation de l'ISO 31000

Cette norme a pour objectif d’aligner aisément au sein des organisations les pratiques de leur management du risque avec les principes d'ISO 31000. Un rapport technique est intégré à cette norme (ISO/TR 31004). Il propose aux organismes des lignes directrices de management efficace du risque par la mise en œuvre de l’ISO 31000:2009 par la détection, la compréhension et la gestion des risques. Il est destiné à être utilisé par ceux qui, au sein des organismes prennent les décisions qui influent sur la réalisation de leurs objectifs et ceux qui fournissent aux organismes, conseils et accompagnement en matière de management du risque.  Il s’applique à tous types d’activités et à toutes les composantes de tous les organismes.

 

C’est une approche structurée et adaptable aux différentes organisations.

retour sommaire


2.1.3.    Norme ISO 31010 : 2009,  Gestion des risques – Techniques d'évaluation des risques

Cette norme est axée sur l'évaluation des risques, qui donne aux décideurs un meilleur éclairage des risques pouvant gêner la réalisation des objectifs et leur permet d'évaluer l'adéquation et l'efficacité des contrôles déjà mises en place. Cette norme traite des concepts de l'évaluation des risques, des processus et de la sélection des techniques d'évaluation des risques. Elle permet de se poser des questions pertinentes sur le processus du management des risques telles que :


Les responsables chargés de l’évaluation des risques doivent être informés des éléments suivants :


2.1.4.    Lien entre les 3 normes

Le lien entre les trois normes peut se résumer suivant cette représentation :


Lien entre les normes ISO 31000, 31004 et 31010

Figure 7 : Lien entre les normes ISO 31000, 31004 et 31010 [Source : Auteurs]


L’ISO 31000 propose le schéma ci-dessous qui permet de visualiser de façon plus détaillée, le lien entre les différentes normes du management du risque.


Relation entre les principes, le cadre organisationnel et le processus du management du risque

Figure 8 : Relation entre les principes, le cadre organisationnel et le processus du management du risque [7]


Cette figure met en exergue l’ensemble du processus définit par la norme ISO 31000 réalisable via les normes ISO 31004 et 31010 qui permettent l’établissement du contexte jusqu’à la surveillance.

retour sommaire

2.2.    Choix des outils

Pour répondre principalement aux besoins des TPE, PME et ETI, il semble judicieux d’utiliser deux outils qui auront l’avantage de laisser l’utilisateur libre de partir du point où il le souhaite dans sa recherche de compréhension du management du risque et ainsi débuter sa mise en œuvre du management du risque.

 

Pour ce faire, deux outils semblent pouvoir répondre à cette souplesse de mise en place du management du risque : l’interface web dynamique et l’autodiagnostic.

2.2.1.    Interface web dynamique



Choix du support pour l'outil logigramme [source : Auteurs]

Figure 9 : Choix du support pour l’outil logigramme [source : Auteurs]


Pour l’interface web, le SCENARIChain© [21]  est l’outil qui est le plus ergonomique donc il sera facile d’utilisation et de compréhension. La seule lacune relevée concerne le manque de reconnaissance de cet outil. D’autres outils tels que Word® ou Excel® aurait pu être envisageable mais l’un des objectifs majeurs de la création d’outils de l’aide à l’implémentation de la norme ISO 31000 est sa praticité et son aspect convivial.

 

Une présentation sous SCENARIChain© va permettre de présenter sous forme d’une interface web dynamique la structure de la norme ISO 31000 avec :

 

Cette approche permettra à la personne intéressée :

retour sommaire

2.2.2.    Autodiagnostic

Pour l’Autodiagnostic, le choix du format Excel® semble le plus pertinent pour pouvoir répondre aux questions suivantes :

En effet, par le biais d’un questionnaire associé à une évaluation de la situation, ce type de programme est en mesure de générer des représentations graphiques des données recueillies sous forme de radar dans notre cas. Également, Excel® est outil relativement connu et utilisé par l’ensemble des organisations.


Choix du support pour l'outil auto-diagnostic
Figure 10 : Choix du support pour l’outil autodiagnostic (source : Auteurs)


Cette visualisation va ainsi permettre de :

 

Le fichier sera bâti en partant de l’ISO 31000 pour la trame de base puis compléter à l’aide de l’ISO 31004 et 31010.
 

retour sommaire

3.    ABOUTISSEMENT DES OUTILS

3.1.    L'interface web sous SCENARIChain©

Il va permettre de visualiser trois articles de la norme ISO 31000 à partir de fenêtre dynamique web. Le lecteur va ainsi se déplacer librement dans l’arborescence créé suivant ses besoins et attentes. Revenir en arrière ou passer à un autre article sans difficulté.

3.1.1.    Structure de l'interface web

        La page d’accueil de la norme permet d’accéder aux trois articles informant sur les points à suivre pour un management du risque intégré aux processus de l’organisme.


Page d'accueil web

Figure 11 : Page d’accueil web [source auteurs]



Représentaiton graphiques des trois articles de la norme et son annexe [ source : Autreurs]

Figure 12 : Représentation graphiques des trois articles de la norme et son annexe
[source : Auteurs]

retour sommaire

3.1.2.    Mode d’utilisation de l'interface web

Des onglets actifs sont créés au niveau des représentations graphiques permettant d’atteindre le sous niveau correspondant.

Suivant les niveaux, diverses informations sont présenter dans les onglets comme :


Représenttion graphique de l'article 4 et onglets d'information

Figure 13 : Représentation graphique de l’article 4 et onglets d’information
[source : Auteurs]



Dans le dernier niveau de l’arborescence, le développement du contenu d’un item avec les étapes à suivre, des remarques et des informations.


Extrait du dernier niveau de l'arborescence

Figure 14 : Extrait du dernier niveau de l’arborescence [source : Auteurs]


Présent en haut à droite de chaque page, quatre items sont mis à disposition donnant accès au :


retour sommaire

3.2.    Outil d’autodiagnostic

3.2.1.    Structure de l’outil d’autodiagnostic

3.2.1.1.    Mode d’emploi