Le monde des normes ISO en mouvement

Avec une richesse d'informations et des exigences croissantes, la conception de processus efficaces et d'une approche structurée des risques ne devient pas plus facile ; ce qu'il faut, c'est une base coordonnée. L'ISO a réagi - les normes de gestion sont successivement normalisées avec une inclusion accrue de la gestion des risques selon la norme ISO 31000 - un rapport intermédiaire sur l'état d'avancement des travaux.

Unifications
Le nombre croissant de normes de systèmes de gestion (MSS) avec des structures et des éléments de système différents a posé des problèmes aux entreprises qui appliquent plusieurs normes de manière intégrée.

C'est pourquoi, en 2012, l'ISO a décidé qu'à l'avenir, toutes les normes de systèmes de gestion de l'ISO seront basées sur la même structure et les mêmes éléments, ainsi que sur un ensemble d'exigences de base identiques. C'est ce qu'on appelle la structure de haut niveau (HLS) pour les normes de système de gestion.

La structure de haut niveau spécifiée dans les lignes directrices de l'ISO (voir références 1) permet aux entreprises de créer plus facilement un système de gestion intégré multi-aspects et holistique. Bien que des clarifications individuelles des termes et des procédures doivent encore être apportées, toutes les normes ISO récentes relatives aux systèmes de gestion sont basées sur le concept de la pensée fondée sur le risque. Une offre de "système ISO-MSS" ainsi coordonnée est maintenant disponible pour une utilisation pratique.

Mise à jour des lignes directrices de l'ISO
Les révisions de 2018 des lignes directrices de l'ISO stipulent désormais que tout nouveau document ISO doit faire référence à la norme ISO 31000 qui contient des exigences ou des orientations en matière de gestion des risques pour un produit, un processus ou un secteur spécifique (2). L'ISO a ainsi franchi une étape supplémentaire pour surmonter les doubles emplois établis et s'orienter vers des structures et des concepts coordonnés. Des systèmes de gestion de différents types, basés sur les normes de système de gestion ISO respectives telles que ISO 9001, ISO 14001 ou ISO 45001 sont basés sur la structure de haut niveau (3).

Le concept de gestion des risques selon la norme ISO 31000 peut être intégré dans les différents systèmes de gestion sur la base de ces normes ou utilisé de manière optimale dans un système de gestion intégré holistique, dont les avantages sont connus pour être considérables et nombreux. Pour de plus amples informations, il est fait référence au manuel ISO "The Integrated Use of Management Systems Standards (IUMSS)" (4). Les normes ISO, nombreuses et variées, sont constamment développées au sein des comités internationaux, indépendamment les unes des autres, au fil du temps, et d'autres normes sectorielles viennent s'y ajouter, cf. graphique 1.

Dans la pratique, l'intégration obligatoire de la gestion des risques selon la norme ISO 31000 dans un système de gestion historiquement développé pose également certains défis. Même en tant que créateur de la norme, il est parfois difficile de garder une trace de la richesse des informations existantes et de séparer les considérations structurelles fondamentales des innovations sectorielles, ainsi que de recommander des mises en œuvre pratiques spécifiques aux utilisateurs.

Afin de simplifier les activités d'intégration requises, des experts de divers comités techniques de l'ISO et des représentants d'entreprises intéressés travaillent actuellement ensemble sur un "Accord d'atelier international IWA 31". Au-delà des différences linguistiques et culturelles ainsi que des intérêts commerciaux divergents, il y a une lutte pour des conditions uniformes et un accord sur les procédures recommandées pour la mise en œuvre à grande échelle des exigences de l'ISO.

Le document IWA 31 vise à permettre aux organisations de tirer profit de l'utilisation de l'ISO 31000 dans leurs systèmes de gestion existants, ainsi qu'à aider les utilisateurs à planifier la mise en œuvre d'un système de gestion ISO 31000 dans leur organisation. La publication de l'IWA 31 est prévue dans le courant de l'année 2019.

Éléments de la norme ISO 31000
ISO 31000 fournit une approche commune et systématique pour gérer tous les types de risques auxquels les organisations sont confrontées tout au long de la vie de l'entreprise. En appliquant les lignes directrices pour la détermination des risques, elle garantit que les systèmes de gestion atteignent les résultats escomptés, améliorent les effets souhaitables, réduisent les effets indésirables et mettent en œuvre une amélioration continue.

L'intégration de la norme ISO 31000 dans les systèmes de gestion peut se faire par l'intermédiaire de la structure de haut niveau. Afin de parvenir à une intégration et à une mise en œuvre efficaces et efficientes du cadre et du processus ISO 31000 dans d'autres organisations de MSS, les principes de l'ISO 31000 devraient servir de base.

Le cadre ISO 3100 doit être fusionné avec d'autres systèmes de gestion des MSS en appliquant une analyse des lacunes pour incorporer tous les éléments du cadre ISO 3100 dans les fonctions du système de gestion des MSS et éviter les doubles emplois et/ou les conflits entre eux.

Le processus ISO-31000 doit être adapté au contexte externe et interne de l'entreprise de telle sorte qu'il devienne une partie intégrante du système de gestion, intégré dans la structure, les procédures et les processus de l'entreprise.

Éléments du système HLS
La structure de haut niveau avec ses éléments (schéma 2) offre de bonnes possibilités pour une intégration dite horizontale et verticale des aspects de gestion et pour une gestion des risques inhérente au système selon la norme ISO 31000 comme l'une des caractéristiques les plus importantes d'un système de gestion intégré.

L'intégration verticale signifie le lien entre la stratégie d'une entreprise et ses activités. L'intégration horizontale implique une approche intégrée pour évaluer et traiter les aspects critiques pour le succès des opérations commerciales, c'est-à-dire les risques en vue des questions et des développements dans le contexte de l'entreprise et des besoins et attentes de ses parties prenantes.

La gestion des risques dans le système HLS comprend l'analyse du contexte (problèmes, parties prenantes), l'évaluation des risques stratégiques et opérationnels, le contrôle opérationnel (traitement des risques), la surveillance de l'efficacité des contrôles et la prise de mesures correctives.

L'analyse du contexte fait référence aux stratégies et aux objectifs de l'entreprise, qui fournissent le cadre des activités opérationnelles. Lors des revues de direction, les cadres supérieurs évaluent si les opérations au niveau opérationnel sont efficaces et contribuent au succès et à la réalisation des objectifs stratégiques de leur entreprise. Le cycle au niveau opérationnel est déterminé par la mise en œuvre des politiques, c'est-à-dire la traduction des politiques en objectifs opérationnels. Comme base pour l'établissement de contrôles des risques dans les processus opérationnels, l'analyse du contexte stratégique est complétée par une évaluation des risques opérationnels. Les écarts par rapport à l'attendu, positifs, négatifs ou les deux, sont pris en compte dans ce cadre, conformément à la norme ISO 31000.

Lorsqu'une nouvelle information ou un nouveau développement initie ou contribue à un processus ou une activité pertinents, une entreprise doit immédiatement lancer l'identification des risques. En outre, l'évaluation structurée des risques permet un traitement approprié et fournit une base pour accroître l'efficacité du système de gestion de l'entreprise, obtenir de meilleurs résultats et prévenir les résultats négatifs.

Avec un système de gestion dans la structure de haut niveau et les lignes directrices de la norme ISO 31000, la pratique dispose des instruments pour une gestion holistique et intégrée des risques.