Management du risque performant : Faciliter l'usage de l'ISO 31000

Responsable :

Direction

Suppléant :

Responsable de processus

Conception du cadre (§ 4.3)

Version imprimable

Définitions

Cadre organisationnel de management du risque
Ensemble d'éléments établissant les fondements et dispositions organisationnelles présidant à la conception, la mise en œuvre, la surveillance, la revue et l'amélioration continue du management du risque dans tout l'organisme.
NOTE 1 : Les fondements incluent la politique, les objectifs, le mandat et l'engagement envers le management du risque.
NOTE 2 : Les dispositions organisationnelles incluent les plans, les relations, les responsabilités, les ressources, les processus et les activités.
NOTE 3 : Le cadre organisationnel du management du risque fait partie intégrante des politiques stratégiques et opérationnelles ainsi que des pratiques de l'ensemble de l'organisme.
Établissement du contexte
Définition des paramètres externes et internes à prendre en compte lors du management du risque et définition du domaine d'application ainsi que des critères de risque pour la politique de management du risque.
Politique de management du risque
Déclaration des intentions et des orientations générales d'un organisme en relation avec le management du risque.
Propriétaire du risque
Personne ou entité ayant la responsabilité du risque et ayant autorité pour le gérer.
Partie prenante
Personne ou organisme susceptible d'affecter, d'être affecté ou de se sentir lui-même affecté par une décision ou une activité.
NOTE : Un décideur peut être une partie prenante.
Plan de management du risque
Programme inclus dans le cadre organisationnel de management du risque, spécifiant l'approche, les composantes du management et les ressources auxquelles doit avoir recours le management du risque.
NOTE 1 : Les composantes du management incluent, par exemple, les procédures, les pratiques, l'attribution des responsabilités, le déroulement chronologique des activités.
NOTE 2 : Le plan de management du risque peut être appliqué à un produit, un processus, un projet particulier, à une partie de l'organisme ou à l'organisme tout entier.
Communication et concertation
Processus itératifs et continus mis en œuvre par un organisme afin de fournir, partager ou obtenir des informations et d'engager un dialogue avec les parties prenantes et autres parties, concernant le management du risque.
NOTE 1 : Ces informations peuvent concerner l'existence, la nature, la forme, la vraisemblance, l'importance, l'évaluation, l'acceptabilité et le traitement du management du risque.
NOTE 2 : La concertation est un processus de communication argumentée à double sens entre un organisme et ses parties prenantes sur une question donnée avant de prendre une décision ou de déterminer une orientation concernant ladite question. La concertation est :
- un processus dont l'effet sur une décision s'exerce par l'influence plutôt que par le pouvoir, et
- une contribution à une prise de décision, et non une prise de décision conjointe.
Propriétaire du risque
Personne ou entité ayant la responsabilité du risque et ayant autorité pour le gérer.

Finalité :

Préciser la position de l'organisme dans son management du risque

Compréhension de l'organisme et de son contexte
Nécessité d'évaluer et de comprendre le contexte interne et externe de l'organisme car celui-ci peut influencer la conception du cadre de façon significative.
Évaluation du contexte externe avec :
l'environnement social et culturel, politique, légal, réglementaire, financier, technologique, économique, naturel et concurrentiel, au niveau international, national, régional ou local,
les facteurs et tendances ayant un impact déterminant sur les objectifs de l'organisme, et
les relations avec les parties prenantes externes, leurs perceptions et leurs valeurs.
Évaluation du contexte interne avec :
la gouvernance, l'organisation, les rôles et les responsabilités,
les politiques, les objectifs et les stratégies mises en place pour atteindre ces derniers,
les aptitudes, en termes de ressources et de connaissances (par exemple capital, temps, personnels, processus, systèmes et technologies),
les systèmes d'information, les flux d'information et les processus de prise de décision (à la fois formels et informels),
les relations avec les parties prenantes internes, leurs perceptions et leurs valeurs,
la culture de l'organisme,
les normes, lignes directrices et modèles adoptés par l'organisme, et
la forme et l'étendue des relations contractuelles.
Établissement de la politique de management du risque
Nécessité de préciser les objectifs et l'engagement de l'organisme en matière de management.
Engagement en abordant les points suivants :
les motivations de l'organisme en matière de management du risque,
les liens entre les objectifs et autres politiques de l'organisme et sa politique de management du risque,
les responsabilités en matière de management du risque,
la manière dont les conflits d'intérêts sont traités,
l'engagement de mettre les ressources nécessaires à la disposition des personnes responsables du management du risque,
la manière dont les performances du management du risque vont être mesurées et rapportées,
l'engagement à revoir et à améliorer la politique et le cadre organisationnel de management du risque périodiquement et à la suite d'un événement ou d'un changement de circonstances.
Nécessité de communiquer de manière appropriés sur la politique de management du risque.
Responsabilité
L'organisme s'assure :
- que sont établies les responsabilités, l'autorité et les compétences appropriées en matière de management du risque,
- l'adéquation, de l'efficacité et de la performance de tous moyens de maîtrise du risque.
En s'assurant de :
l'identification des propriétaires du risque qui ont la responsabilité du risque et l'autorité pour le gérer,
l'identification des responsables de l'élaboration, de la mise en œuvre et de la tenue à jour du cadre organisationnel de management du risque,
l'identification des autres responsabilités à tous les niveaux de l'organisme en matière de processus de management du risque,
la définition de mesures de performance et de processus internes et/ou externes de rapports et de transmission à un niveau supérieur, et
l'établissement de niveaux de reconnaissance appropriés.
Intégration aux processus organisationnels
Le management du risque doit :
- être intégré à toutes les pratiques et tous les processus de l'organisme de façon à être pertinent, efficace et performant,
- faire partie intégrante et ne doit pas être séparé de ces processus organisationnels,
- être pris en compte dans l'élaboration de la politique, les plans d'activité et stratégiques et leur revue, et dans les processus de management du changement.
Le plan de management du risque doit être à l'échelle de l'organisme pour s'assurer que :
- la politique de management du risque est mise en œuvre,
- le management du risque est intégré à l'ensemble des pratiques et des processus de l'organisme.
Remarque
Le plan de management du risque peut être intégré à d'autres plans organisationnels, comme un plan stratégique.
Ressources
L'organisme doit allouer les ressources nécessaires au management du risque en prenant en compte :
- les personnels, les aptitudes, l'expérience et les compétences,
- les ressources nécessaires à chaque étape du processus de management du risque,
- les processus de l'organisme, les méthodes et outils de l'organisme servant au management du risque,
- les processus et procédures documentés,
- les systèmes de gestion des informations et des connaissances, et
- les programmes de formation.
Établissement de mécanismes de communication et de rapports internes
L'organisme doit mette en place des mécanismes de communication et de rapports internes pour :
- soutenir et encourager les responsabilités et l'appropriation du risque
- garantir :
  la communication appropriée des principales composantes du cadre organisationnel de management du risque, et de toutes modifications ultérieures,
  l'existence de rapports internes appropriés sur le cadre organisationnel de management du risque, son efficacité et ses effets,
  la disponibilité des informations pertinentes issues de l'application du management du risque aux niveaux et aux moments appropriés, et
  l'existence de processus de concertation avec des parties prenantes internes.
Remarque
Ces mécanismes doivent comporter le cas échéant des processus permettant de rassembler les informations relatives au risque provenant de différentes sources, et pouvant avoir besoin de considérer la sensibilité de l'information.
Établissement de mécanismes de communication et de rapports externes
L'organisme élabore et met en œuvre un plan sur la façon de communiquer avec les parties externes. Cela implique :
- la participation des parties prenantes externes appropriées et l'assurance d'un échange efficace d'informations,
- l'établissement de rapports externes conformes aux obligations légales, réglementaires et aux exigences de la gouvernance de l'organisme,
- la mise en place d'un retour d'information et de rapports sur la communication et la concertation,
- l'utilisation de la communication pour renforcer la confiance dans l'organisme, et
- la communication avec les parties prenantes en cas de crise ou d'imprévu.
Remarque
Ces mécanismes doivent comporter le cas échéant des processus permettant de rassembler les informations relatives au risque provenant de différentes sources, et pouvant avoir besoin de considérer la sensibilité de l'information.