Mise en œuvre de l'IS0 31000:2009
Ces dernières années, la norme ISO 31000:2009 s'est rapidement imposée comme une référence reconnue en matière de gestion du risque. De nombreuses entreprises ont reconnu les avantages de la norme ISO 31000:2009 pour le management du risque. Mais la mise en œuvre est un défi. Les modèles de maturité constituent une bonne base méthodologique pour relever ce défi avec succès.
La gestion des risques a connu une évolution très dynamique au cours des dix dernières années, et plus particulièrement au cours des cinq dernières années. Jusqu'en 2009, il n'existait pas de norme internationale ISO en matière de gestion du risque. Très souvent, la gestion des risques était
La norme GenericRM
Par le passé, la gestion des risques dans les entreprises était un paysage de solutions isolées : Outre les domaines de risque prescrits par la loi, à savoir la sécurité au travail, la sécurité des produits et la sécurité des processus, il existait une gestion des risques dans le domaine opérationnel, qui était généralement une solution interne à l'entreprise. Dans les grandes entreprises, une approche COSO a également été menée en parallèle. Il était donc très difficile, voire impossible, d'enregistrer, d'évaluer et d'agréger les risques des entreprises de manière uniforme. L'intégration des différentes données sur les risques était souvent un souhait, mais pas la réalité. La norme ISO 31000:2009 a résolu ce problème avec succès.
Problèmes de mise en œuvre
Les avantages et l'importance de l'intégration de la gestion du risque basée sur l'ISO 31000:2009 avec d'autres systèmes de gestion (par exemple ISO 9000, ISO 14000, HSE [Health, Safety & Environment]) dans un système de gestion global ont été rapidement reconnus. Cependant, il y avait une difficulté : le delta entre la gestion du risque originale, simple, mise en œuvre dans les entreprises et l'approche globale de l'ISO 31000:2009 était souvent assez important. Ce problème a conduit à plusieurs reprises à la non-application de la nouvelle norme. Les modèles de maturité constituent une approche méthodologique importante pour résoudre ce problème dans la gestion des risques. Le site
Direction et hauteur de marche
L'idée de base du modèle de maturité est que les systèmes de gestion des risques sont développés et mis en œuvre par étapes. De même qu'il est important dans la vie quotidienne que les escaliers aident à surmonter les différences de hauteur, il en va de même pour les modèles de maturité : ils doivent être conçus dans la bonne direction et avoir également la bonne hauteur de marche.
Modèles de maturité : vieilles connaissances
Cette approche méthodologique se retrouve dans des domaines très différents, comme la gestion de la sûreté et de la sécurité ou la gestion de projet et de la qualité. Les modèles de maturité sont également très courants dans le domaine de l'audit interne et externe, par exemple dans le système de contrôle interne (SCI). À cet égard, il s'agit d'une approche méthodologique connue et éprouvée.
Le développement de l'ISO 31000:2009 a été très influencé par la norme australienne/néo-zélandaise AS/NZ 4360:2004. La norme nationale était la norme de référence en matière de gestion des risques dans tout l'espace anglo-saxon. Cette avance se retrouve encore aujourd'hui dans les lignes directrices nationales de mise en œuvre de la norme ISO 31000:2009 et notamment dans l'utilisation des modèles de maturité dans la gestion des risques. Les "Lignes directrices de mise en œuvre" nationales suivantes en sont représentatives :
- Royaume-Uni : BS 31100:2011 : Gestion des risques. Code de pratique et guide pour la mise en œuvre de la norme BS ISO 31000.
- Canada : Q31001-11 - Guide de mise en œuvre de la CAN/CSA-ISO 31000, Management du risque - Principes et lignes directrices
- Australie : HB 158-2010 : Delivering assurance based on ISO 31000:2009 - Risk management - Principles and guidelines.
Étant donné que les modèles de maturité sont souvent les grandes "inconnues connues" de la gestion des risques, il est utile d'examiner quels sont les avantages concrets des modèles de maturité dans la gestion des risques. Il y a trois avantages potentiels en particulier qui sont activés par les modèles de maturité :
1. une gestion des risques sur mesure
Un principe important de l'ISO 31000:2009 est que chaque système de management du risque doit être "adapté" : "le management du risque est adapté" (Principe 7, ISO 31000:2009). D'une part, ce principe est satisfait par le fait que la définition des risques selon la norme ISO 31000:2009 se concentre explicitement sur les objectifs commerciaux internes et externes. L'évaluation des risques se concentre donc également sur les parties prenantes et leurs attentes parfois divergentes.
Cette perspective plus large pouvant être complexe et exigeante, il est impératif d'examiner comment la gestion des risques peut être mise en œuvre d'une manière axée sur les objectifs. Les modèles de maturité permettent de bien réaliser cette tâche.
Dans une telle mise en œuvre, il ne s'agit pas de conduire toutes les divisions de l'entreprise au plus haut niveau de GR, mais plutôt que la gestion des risques soit, ici aussi, "taillée sur mesure". Dans le cas d'un modèle de maturité en cinq étapes, il est possible de
TripleBenefit
il se pourrait bien que certaines divisions puissent rester au niveau 4, voire au niveau 3 dans certains cas.
2. mesurabilité, comparabilité et cohérence
Le modèle de maturité permet de mesurer et de comparer la mise en œuvre d'un système de gestion des risques. Dans le processus RM de l'ISO 31000, le processus parallèle "Surveillance et examen" est donc très important. Ce n'est qu'avec cette approche que la gestion des risques dans l'entreprise peut conserver son importance et sa légitimité à long terme. Enfin, et surtout, un modèle de maturité permet d'évaluer si un système de gestion des risques est cohérent en interne. Elle évite ainsi que la gestion des risques ne devienne un patchwork au fil du temps, comme ce fut souvent le cas dans le passé.
3. mise en œuvre et investissement
La gestion des risques est toujours un investissement pour chaque entreprise. À une époque où les ressources financières et temporelles sont limitées, il est particulièrement important de travailler avec un concept dont les étapes de mise en œuvre sont raisonnables et réalisables.
Tout d'abord, par exemple, les risques qui sont urgents et également importants peuvent être enregistrés et gérés. Sur la base de ces "gains rapides", les avantages concrets de la gestion des risques apparaissent clairement. Cela favorise la libération pour les niveaux suivants du modèle de maturité.
Méthodologie
Les modèles de maturité ont pour objectif de montrer, sur la base des points focaux définis de la GR, comment ceux-ci peuvent être mis en œuvre étape par étape. Ces points focaux sont caractérisés de manière plus détaillée au moyen d'attributs de risque. Il est important, pour ces modèles de maturité, que le choix de ces attributs de risque et le choix du modèle de maturité, qui comporte généralement de trois à dix niveaux au maximum, soient un travail conceptuel du gestionnaire de risque responsable. Ce n'est que si les attributs de risque sont alignés de manière optimale sur les exigences et les objectifs spécifiques d'une entreprise que le modèle de maturité devient un instrument axé sur les objectifs.
De nombreuses lignes directrices nationales de mise en œuvre de l'ISO 31000:2009 contiennent des modèles de maturité, qui doivent être adaptés dans tous les cas. Un exemple simple d'un tel modèle de maturité se trouve dans le projet de norme canadienne "Q31001-11 - Guide de mise en œuvre de la norme CAN/ CSA-ISO 31000, Management du risque - Principes et lignes directrices" (voir figure 1).
Cet exemple avec trois niveaux de maturité est la concrétisation la plus simple possible. Dans de nombreux cas, un modèle en cinq étapes est utilisé. Ce modèle étendu permet une déclaration plus précise concernant le niveau de maturité en raison de la plus grande granularité. Les cinq niveaux sont définis comme suit :
1. inital
2. répétable
3. défini
4. géré
5. optimisé
Comme c'est le cas pour l'ISO 31000:2009 en général, ce qui suit s'applique en particulier à un modèle de maturité : la gestion du risque est faite sur mesure. Ce n'est que dans ce cas qu'elle est également orientée vers l'impact.
Tendances en matière de gestion des risques
Ces dernières années, l'Institut des auditeurs internes (IIA) a publié des ouvrages très intéressants sur le management des risques, qui montrent comment coordonner le management des risques selon la norme ISO 31000:2009 et l'audit interne. Les modèles de maturité jouent un rôle central à cet égard. Cette référence mutuelle renforce clairement la pertinence de l'ISO 31000:2009.
Depuis 2012, un grand nombre de normes en matière de BCM (Business Continuity Management) ont été publiées, comme l'ISO 22301:2012. Cette nouvelle norme BCM a été entièrement alignée sur l'ISO 31000:2009. Cela se manifeste non seulement dans les définitions et les interfaces importantes, mais aussi dans l'utilisation de modèles de maturité.
En résumé, on peut affirmer qu'à l'avenir, tant dans la gestion des risques que dans le BCM et le système de contrôle interne (SCI), l'approche méthodologique des modèles de maturité deviendra de plus en plus un facteur de succès décisif dans la mise en œuvre.
