Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

60 la tribune de l’assurance • n° 133 •février 2009 T ribunes incertitude sur l

60 la tribune de l’assurance • n° 133 •février 2009 T ribunes incertitude sur l’atteinte des objectifs de l’entreprise. NOUVELLE DÉFINITION DU RISQUE Le mot risque désigne une non-conformité en qualité, une pollution en environne- ment, une défaillance d’un équipement, une intoxication ou des atteintes corporelles en matière de sécurité des per- sonnes, mais aussi un rende- ment en finance ou des op- portunités pour le manager d’entreprise. La norme ISO 31000 visant à devenir le réfé- rentiel unique en matière de management des risques, une révision du guide ISO 73 – vo- cabulaire du management du risque – a été menée parallè- lement aux développements de l’ISO 31000 afin de faciliter les discussions entre profes- sionnels des risques (tous sec- teurs confondus). La nouvelle définition abandonne la vision de l’ingénieur (« le risque est la combinaison de probabilité d’événement et de sa consé- quence ») pour coupler les ris- ques aux objectifs de l’orga- nisation : le risque est l’effet de l’incertitude sur l’atteinte des objectifs. Cette définition est extraite de la dernière ver- sion du guide ISO 73 qui sera publiée en même temps que la norme ISO 31000. PAS DE CERTIFICATION Le texte actuel de l’ISO 31000 est très clair : « La présente norme internationale n’a pas vocation à servir de base à une certification. » Cependant, cer- tains pays seraient être ouverts à un tel processus à partir de la norme internationale. La norme BSI 31 100 en Angleterre et l’ONR 49000 en Autriche (utilisé également en Allema- gne et en Suisse) semblent s’orienter vers un tel proces- sus. La norme AS/NZS4360 mise à jour en 2009 restera une obligation en Australie/ Nouvelle-Zélande. Ces trois ré- férentiels reprendront intégra- lement la norme ISO 31000. En France, l’Afnor, l’associa- tion française de normalisa- tion, a participé activement aux débats au sein du comité ISO pour le management des risques et était représenté, en autres, par Jean-Paul Louisot, directeur pédagogique du Carm Institute, institut pour la formation ARM en France, et par Gilles Motet, directeur scientifique de l’ICSI, institut R écemment finalisée, la norme ISO 31000 (lire en- cadré ci-dessous) a été rédigée pour l’essentiel à par- tir de la norme australienne AS/ NZS 4360. Elle définit les lignes directrices du management des risques et les processus de mise en œuvre au niveau stratégi- que et opérationnel. STRUCTURE DE LA NORME ISO 31000 La norme est structurée en trois parties : les principes, le cadre organisationnel et le pro- cessus de management : • Les principes répondent à la question « pourquoi fait-on du management des ris- ques ? ». Le processus d’inté- gration de ces principes se fait ensuite à deux niveaux : dé- cisionnel et opérationnel. • Le cadre organisationnel explique comment intégrer, via le processus itératif de la roue de Deming (Plan-Do- Check-Act), le management des risques dans la stratégie de l’organisation (conduite stratégique). •Le processus de management précise comment intégrer le management des risques au ni- veau opérationnel de la straté- gie de l’organisation (conduite opérationnelle). Ce processus itératif est bien connu des risk managers (voir infographie). Il ne s’agit en aucun cas d’uni- formiser les pratiques, ni de créer un système de manage- ment parallèle, comme certains l’ont pensé, à tort, de la norme ISO 9000. En revanche, la norme ISO 31000 propose un référentiel unique pour les or- ganisations de tout secteur et de toute taille. Elle est adapta- ble et suffisamment flexible pour harmoniser les processus de management de tous les ty- pes de risques faisant peser une Réaction de Alex Dali, directeur associé d’Atlascope* Les enjeux de la norme ISO 31000 en gestion des risques DR La future norme ISO 31000 (management des risques, principes et lignes directrices de mise en œuvre) est en cours de finalisation et devrait s’imposer comme le cadre de référence international en gestion des risques. Principes Cadre organisationnel Processus de management La norme ISO 31000 - Historique : • Juin 2004 : demande de reprise « fast-track » de l’AS/NZS 4360 refusée. • Juin 2005 : lancement de la procédure ISO. • Septembre 2005 : ISO 31000 sera un guideline non certifiable. • Plusieurs réunions en 2006 et 2007. • Avril 2008 : rédaction du Draft DIS et enquête. • Début 2009 : vote des membres. • Juin 2009 : publication probable. - Points importants : • Principes généraux et lignes directrices de mise en œuvre. • Processus de management des risques orienté par rapport aux objectifs de l’organisation. • Nouvelle définition du vocabulaire : risque = incertitude sur les objectifs. • Impact négatif des risques (menaces) ou impact positif (opportunités). • Importance de la communication à chaque étape. • Toujours préciser le contexte interne et externe. • Norme ISO non certifiable. Globalement, la norme souligne que le management des risques fait partie intégrante de la structure, des responsabilités et des objectifs d’une organisation. Norme ISO 31000 61 la tribune de l’assurance • n° 133 •février 2009 pour la culture et la sécurité industrielle. A ce jour, la plu- part des associations nationa- les de gestion des risques (Am- rae, Airmic, Belrim, etc.) ainsi que Ferma, la fédération eu- ropéenne, sont opposées à la certification de cette norme. PROBLÉMATIQUES DE LA NORME Cependant, plusieurs éléments du standard sont à l’origine de vifs débats entre les représen- tants des associations nationa- les de normalisation. Par exem- ple, le fait que le standard se focalise sur la communication et la consultation, donc sur la perception des risques par les quences positives (opportuni- tés) ou négatives (menaces), car en matière d’hygiène/sécurité, le risque est intrinsèquement négatif, tandis qu’en matière de santé, il s’agit d’une straté- gie thérapeutique arrêtée avec le patient et/ou sa famille », explique Jean-Paul Louisot. Autre difficulté : le besoin d’identifier, pour chaque ris- que, une seule personne com- me « propriétaire du risque » (risk owner, en anglais) et, donc, comme seul responsa- ble du management de ces ris- ques. Les notions de respon- sabilité collective ou de « res- ponsable, mais pas coupable » n’ont pas été accueillies favo- tionnement des notions d’ap- pétit du risque et d’aversion au risque dans une politique de risque ; et la notion même de management des risques », explique Christopher Lajtha, fondateur d’Adageo, un cabi- net de ressources en gestion des risques. Il ajoute qu’« il est très important que la vo- lonté originale de ne pas cer- tifier le guideline ISO 31000 soit respectée ». PLUS DE CRÉDIBILITÉ POUR LES RISK MANAGERS En France, les risk managers ont des profils très différents d’une entreprise à l’autre. Ce- pendant, quelles que soient sa formation, ses responsabi- lités et ses compétences, le risk manager trouvera un ou- til de référence choisi sur le- quel il pourra s’appuyer pour renforcer l’intégration du ma- nagement du risque au sein de l’organisation. L’existence de ce standard in- ternational plutôt que des nor- mes nationales, lorsqu’elles existent, offre aux risk mana- gers une plus grande crédibi- lité et une meilleure reconnais- sance interne face aux autres fonctions traditionnelles de l’entreprise. La fonction appa- raîtra comme plus structurée, renforçant son rôle de facilita- teur et de communicateur, sur- tout s’il travaille pour une so- ciété internationale. Le risk manager d’une grande société française nous avoue même qu’il attend impatiem- ment le standard ISO 31000 afin de renforcer sa crédibilité auprès de la direction de ses filiales aux Etats-Unis ! En tant que norme-cadre uni- que pour toutes les classes de risques et d’activités, elle de- vrait être accueillie favorable- ment par le secteur de l’assu- rance. L’inclusion du référen- tiel ISO dans les questionnai- res d’assurance permettrait une meilleure mutualisation des risques dommages et RC des entreprises assurées. Les pays et organisations habitués au standard australien AS/NZS 4360 devraient adopter rapi- dement cette nouvelle norme, alors que d’autres auront plus de difficultés. « Les entreprises devront adapter le référentiel à leur propre organisation en tenant compte de leurs spécifi- cités culturelles et humaines », explique Kevin Knight. • *Atlascope, société de conseil en ges- tion des risques, lance début 2009 le site internet www.ISO31000.fr qui ser- vira de portail d’information et d’échanges pour les entreprises et or- ganisations françaises désireuses de mettre en place adéquatement ou d’adapter leur programme de gestion des risques (contact : iso31000@atlas- cope.fr). Parallèlement, Carm Institute a déjà incorporé l’ISO 31000 dans l’en- seignement de la qualification profes- sionnelle ARM (associé en risk mana- gement) en France. Projet de processus ISO Communiquer et consulter Piloter et revoir Etablir le contexte Identification des risques Analyse des risques Evaluation des risques Traitement des risques APPRÉCIATION DES RISQUES NON TRAITER RISQUES ? OUI Source : Carm Institute Position de Ferma Dès 2004, Thierry Van Santen, alors président de Ferma (Federation of European Risk Management Associations) adopte le standard anglais rédigé conjointement par l’Airmic (équivalent britannique de l’Amrae, l’association française des risk managers), l’IRM (institut) et Alarm (secteur public). Dans sa prise de position datée du 22 juin 2007, Ferma soutient l’adoption d’un standard international en gestion des risques qui soit uploads/Management/ tribune-iso-31000-version-francaise-finale.pdf