Outils pour une réflexion fondée sur les risques

Le catalogue des exigences des normes ISO 9001:2015 et ISO 14001:2015 révisées comporte un nouveau chapitre important. Dans la rubrique 6 "Planification", le premier point est 6.1 "Mesures pour faire face aux risques liés aux dangers et aux opportunités". Cela signifie qu'une entreprise qui veut se conformer aux normes doit être en mesure de démontrer des processus qui servent à identifier les opportunités et les dangers, à évaluer et à apprécier leurs risques et à définir et mettre en œuvre toutes les mesures nécessaires pour l'utilisation optimale des opportunités ou la prévention des dangers. Les organismes de normalisation et de certification partent du principe que cette pensée fondée sur le risque n'est pas nouvelle dans les entreprises, mais qu'elle a toujours été implicitement présente. Ce qui est nouveau, cependant, c'est qu'elle doit être explicitement documentée dans le cadre du système de gestion. Nous présentons ci-après quelques outils qui peuvent être utilisés dans l'entreprise pour se conformer à la nouvelle exigence.

L'analyse des parties prenantes

L'analyse des parties prenantes est elle-même une nouvelle exigence des normes révisées. En même temps, il s'agit d'un outil permettant d'identifier les opportunités et les risques pertinents à partir des attentes des parties prenantes. La figure 1 montre la structure d'une telle analyse des parties prenantes. Les acteurs concernés sont identifiés ligne par ligne. Cela implique de penser à toutes les parties prenantes qui a) ont des attentes particulières vis-à-vis de l'organisation ou b) ont des possibilités particulières d'influencer l'organisation. Il s'agit généralement de clients, de fournisseurs, de salariés, d'actionnaires, de certaines associations, de groupes d'intérêt, d'ONG, de pouvoirs publics, etc. Dans deux groupes de colonnes, les intérêts et l'influence potentielle de chaque partie prenante identifiée sont ensuite notés et les opportunités et menaces pour l'organisation en découlent. Dans un dernier groupe de colonnes, des pistes d'action possibles à l'égard de cette partie prenante sont dérivées. Ces options comportementales sont des mesures au sens de l'exigence standard. L'objectif est d'influencer la partie prenante de manière à ce que les opportunités identifiées puissent être exploitées et les menaces écartées.

L'analyse de la pertinence environnementale (dans le cadre de la norme ISO 14001)

L'analyse de la pertinence environnementale, établie de longue date (cf. fig. 2), identifie les domaines de l'organisation qui ont des effets pertinents sur l'environnement et détermine les aspects environnementaux dans lesquels ces effets se produisent et leur ampleur. Un impact environnemental important est toujours associé à des opportunités et à des menaces. L'absence de contrôle de l'impact environnemental entraîne le risque de violations de la loi et de réactions gouvernementales correspondantes et/ou de dommages à l'image de l'entreprise. D'autre part, une bonne gestion des impacts environnementaux peut renforcer la réputation de l'organisation. L'analyse d'impact environnemental doit être prise en compte lors de l'élaboration des objectifs et mesures environnementaux, et donc aussi de la manière de traiter les opportunités et menaces qui y sont identifiées.

Le processus de gestion des risques

Il n'est pas nécessaire d'avoir et d'utiliser un processus formel de gestion des risques, même dans le cadre des normes ISO 9001 et ISO 14001 révisées. Cependant, un processus formel de gestion des risques garantit l'identification nécessaire des opportunités et des menaces et la dérivation de mesures appropriées de manière extrêmement efficace et est donc fortement recommandé. La figure 3 montre un processus de gestion des risques conforme à la norme ISO 31000 et qui s'est avéré très efficace dans la pratique. Le processus est adapté à tout type de risque - le périmètre correspondant et les catégories d'impact appropriées doivent être définis dans chaque cas à l'étape "Définir le contexte". En général, une organisation doit appliquer le processus à sa stratégie, à ses grands projets d'investissement, aux risques qui menacent sa survie et, éventuellement, au développement de ses produits et à l'approvisionnement.

Un processus de gestion des risques exige qu'en plus des outils d'identification des opportunités et des menaces et des méthodes d'évaluation des risques, l'organisation détermine également où se situe la limite d'acceptation des risques. Les risques doivent non seulement être réduits par des mesures, mais aussi être évalués au préalable afin de déterminer s'ils sont acceptables ou non. Ce système, ainsi que le suivi et l'examen des risques identifiés et traités, représentent un surplus par rapport aux exigences des normes ISO 9001 et ISO 14001. Toutefois, elle présente de grands avantages pour une gestion cohérente des opportunités et des risques, ce qui inclut également les processus décisionnels.

Identification des dangers le long du tableau de bord prospectif (BSC)

Un outil recommandé pour identifier et documenter les opportunités et les menaces est une carte mentale dont les quatre branches principales sont affectées aux quatre domaines principaux du BSC. Lors d'une séance de brainstorming, ces quatre domaines sont systématiquement examinés et les déclencheurs ou les raisons des opportunités et des menaces sont recherchés. Le processus est affiné du général au particulier en posant toujours la question "que pourrait-il se passer là-bas". Les résultats correspondants sont inscrits sur la carte mentale. Les plus intéressantes et potentiellement plus importantes de ces opportunités et menaces peuvent alors être évaluées en termes de risque et traitées avec des mesures si le risque n'est pas tolérable.

Le portefeuille des risques

Le portefeuille de risques est très approprié pour classer les opportunités et les menaces, évaluer les risques correspondants et en tirer des mesures. Le portefeuille de risques est simplement constitué d'une matrice, sur un axe de laquelle est inscrite la probabilité d'occurrence ou la fréquence d'un scénario d'opportunité ou de menace. L'étendue/impact du scénario d'opportunité ou de menace est inscrit sur l'autre axe. Le risque d'un scénario d'opportunité ou de danger est directement dérivé de la position dans le portefeuille selon la formule Risque = Probabilité multipliée par l'étendue. Les zones présentant un risque tolérable, conditionnellement tolérable et intolérable peuvent être marquées en vert, jaune et rouge dans le portefeuille de risques. Les scénarios qui se situent dans la fourchette intolérable doivent être traités avec des mesures.

"L'organisation détermine les risques associés aux dangers et aux opportunités et s'assure que le système de gestion atteint les résultats escomptés et prévient ou réduit les effets indésirables". Voilà pour les normes. Les outils qui peuvent être utilisés à cette fin proviennent souvent de la gestion traditionnelle des risques. L'assemblage de "secteurs spécifiques" (qualité, environnement...) dans des systèmes de gestion intégrale qui incluent la gestion des risques est certainement encouragé par cela, ce qui est parfaitement logique.