Sujets
Services
Accueil > Où se trouvent les IS ...
FR
FR DE IT EN

Où en est la norme ISO 31000 et sa mise en œuvre ?

L'ISO 31000 est une réussite depuis sa publication en 2009. L'article montre où en est l'ISO 31000, dans quelle direction la norme internationale se développe, quels nouveaux sujets doivent être intégrés et comment elle est concrètement mise en œuvre aujourd'hui.

Par Bruno Brühwiler - 17 août 2014

Où en est la norme ISO 31000 et sa mise en œuvre ?

 

 

 

DOrganisation internationale de normalisation a lancé le projet "ISO 31000 Gestion des risques - Principes et lignes directrices" en 2005, à partir de la norme australo-néo-zélandaise "AS/NZS 4360 Gestion des risques". L'approche systémique (Plan-Do-Check-Act) de la série ONR 49000, qui a été publiée pour la première fois en 2004, a été ajoutée comme élément clé et s'est établie comme "cadre de gestion des risques".

 

La norme "ISO 31000 Gestion des risques - Principes et lignes directrices", publiée fin 2009, décrit les principes, le cadre et le processus de gestion des risques de tous types pour les entreprises privées et les organismes publics. L'application de l'ISO 31000 vise à aider les organisations à atteindre leurs objectifs, tout en identifiant systématiquement les opportunités et les menaces et en allouant efficacement les ressources pour faire face aux risques. Elle contribue ainsi de manière importante à répondre aux exigences de la gouvernance d'entreprise et à être comprise et intégrée comme un outil de gestion.

 

La norme ISO 31000 a suscité un grand intérêt au niveau international, si bien qu'elle est rapidement classée au cinquième rang mondial des normes ISO comparables. D'un point de vue global, la norme ISO 31000 est désormais au même niveau que la norme d'audit américaine "COSO Enterprise Risk Management Framework". L'OCDE a récemment décrit l'ISO 31000 comme une "norme mondiale de facto". Néanmoins, la norme n'a pas l'intention de faire l'objet d'une certification formelle. Elle soutient toutefois la réalisation d'évaluations internes et externes de la gestion des risques. Les organisations qui utilisent la norme ISO 31000 peuvent comparer leur propre gestion des risques avec les lignes directrices de la norme.

Révision à court et moyen terme

 

L'ISO révise ses normes tous les cinq ans. La révision de la norme ISO 31000 a été décidée en 2013 et est maintenant prise en charge par le groupe de travail ISO TC 262 "Normes de base de la gestion des risques". Quelles sont les orientations du développement aujourd'hui ?

 

Le groupe de travail "Normes fondamentales de gestion des risques" a deux mandats : D'une part, une "révision limitée" doit être effectuée. Cela concerne la norme ISO 31000 et la terminologie du guide ISO 73. D'autre part, une révision technique fondamentale doit être entreprise.

 

La révision limitée qui vient de commencer repose sur l'hypothèse que la norme a si bien fait ses preuves ces dernières années qu'elle ne devrait pas être modifiée de manière significative dans sa structure et son contenu pour le moment. Néanmoins, certains ajustements seront effectués dans le sens d'une amélioration continue. Les principaux enjeux sont les suivants :

 

  • Prise en compte des besoins en matière de sécurité : en Allemagne, une discussion s'est engagée qui a conduit à des malentendus dans l'application de la norme ISO 31000 aux domaines de la sécurité du travail et de l'environnement en rapport avec les opportunités et les aspects économiques. On craignait un conflit avec les exigences légales. La révision actuelle permettra de clarifier ces malentendus et de rendre la norme accessible aux "questions de sécurité".
  • L'expérience passée montre également qu'une clarification de la terminologie est utile à certains points de la norme. Le point principal ici est que la double signification du risque en tant qu'opportunité et menace devrait être exprimée plus clairement.
  • En outre, certaines améliorations et clarifications rédactionnelles sont apportées, qui n'affectent pas le contenu et la structure de la norme ISO 31000.

 

La révision technique décidée pour plus tard ne sera abordée que lorsque la révision limitée sera dans sa phase finale. La base de la révision technique sera la collecte des commentaires des clients existants et une enquête en cours qui sera planifiée et menée par l'organisation ISO. La révision technique de la norme ISO 31000 ne commencera pas avant 2016.

Intégration de nouveaux thèmes

 

Parallèlement aux révisions en cours, de nouvelles questions sont déjà abordées. Deux sont à l'avant-garde de l'extension de la famille de normes ISO 31000 :

 

  • Facteurs humains : Il est bien connu que les risques sont souvent causés par les personnes. Une norme supplémentaire doit maintenant être créée pour décrire et éclairer cet aspect important de la gestion des risques sur la base de conclusions scientifiques et pratiques.
  • Modèle de maturité du risque : l'application de la gestion des risques dans les organisations et les entreprises se fait encore de manière très différente, plus ou moins soutenue par la direction générale. Aujourd'hui, il existe déjà différents modèles de maturité. L'ISO s'efforce maintenant d'harmoniser et développera son propre modèle de maturité du risque.

 

Ces deux nouveaux sujets seront précisés au sein du CT 262 de l'ISO et traités plus en détail par de nouveaux groupes de travail.

Application dans la pratique

 

L'ISO 31000 est une norme générique qui fournit des lignes directrices complètes mais peu de spécifications pour la mise en œuvre de la gestion des risques dans la pratique des affaires. Ce caractère générique de la norme est également la raison profonde pour laquelle la gestion des risques selon la norme ISO 31000 ne devrait pas être certifiable.

 

Les spécifications de l'ISO 31000 sont fournies par la série ONR-49000 "Risk management for organizations and systems, Application of ISO 31000 in practice". Il a été publié dans sa quatrième version à partir du 1er janvier 2014 et sa structure est inchangée par rapport à la version 2010. Toutefois, certains ajouts et clarifications ont été apportés au contenu, qui sont énumérés ci-dessous :

  • L'ONRTLe concept de risque : la norme ISO 31000 définit le concept de risque comme "Les effets de l'incertitude sur les objectifs". Le nouvel ONR va plus loin et définit le risque comme "les effets de l'incertitude sur les objectifs, les activités et les exigences". L'objectif est d'aligner le risque non seulement sur la réalisation des objectifs (stratégiques), mais aussi d'inclure la performance des activités opérationnelles. Cela crée un pont vers la gestion des urgences, des crises et de la continuité, qui font partie intégrante de la gestion des risques (cf. ONR 49002-3 Guidance on emergency, crisis and continuity management). En outre, les implications de l'incertitude s'étendent aux "exigences". Cela permet de faire le lien avec la question de la "conformité", c'est-à-dire la conformité aux exigences dans les domaines de la sécurité du travail, des produits et de l'environnement. La conformité s'étend à d'autres domaines du droit tels que la "gestion fidèle", la protection des biens ou les comportements qui sont établis par la science et l'expérience pratique, par exemple dans les normes. Celles-ci contiennent souvent des "bonnes" ou "meilleures pratiques". Cela inclut, par exemple, la norme ISO 26000 (responsabilité sociale), dont le respect est plus une obligation morale que juridique.
  • L'ONR 49001 est basé sur la nouvelle structure des normes de système de gestion ISO (ISO MSS). La nouvelle ISO 9001 (gestion de la qualité), la nouvelle ISO 14001 (gestion environnementale) ou la ISO 27001 (gestion de la sécurité de l'information) sont structurées de la même manière selon cette "structure de haut niveau". Néanmoins, la structure de l'ONR 49001 avec le chapitre 4 comme système de gestion des risques et le chapitre 5 comme processus de gestion des risques est conservée afin de correspondre à la norme ISO 31000 actuelle dans la structure de base.
  • La norme ISO 31000 est comprise comme une recommandation et est rédigée sous la forme "devrait" (contrairement à la norme ISO 9001, par exemple, qui est une exigence sous la forme "doit"). L'ONR adopte maintenant une troisième approche en écrivant au verbe complet, par exemple "l'organisation met en œuvre le système de gestion des risques" (et non "devrait" et aussi "doit" mettre en œuvre). De cette manière, l'ONR crée une force contraignante, bien qu'en tant qu'ensemble de règles, il n'impose pas d'exigences strictes.
  • L'annexe A (informative) décrit l'"Audit du système de gestion des risques". Basé sur la norme ISO 19011 "Guide pour l'audit des systèmes de management", l'ONR 49001 permet une évaluation du système. L'ONR 49001 stipule : "De nombreuses organisations ont besoin que l'efficacité de leur système de gestion des risques soit examinée en interne ou reconnue en externe. À cette fin, il faut un système qui définisse les éléments du système de gestion des risques d'une manière compréhensible et vérifiable. Ces éléments du système de gestion des risques sont définis et décrits dans cet ONR" (ONR 2014, p. 3).
  • Au chapitre 4, l'ONR 49001 présente le modèle de maturité de James Reason dans le cadre de "l'amélioration du système de gestion des risques" (cf. Fig. 1). La direction générale d'une organisation doit s'efforcer de veiller à ce que tous les éléments du système de gestion des risques soient remplis au plus haut degré de maturité possible (ONR 49001, section 4.10, p. 16).
  • Le chapitre 5 traite en détail des facteurs humains dans la gestion des risques (cf. Fig. 2). L'accent est mis sur la nature et le traitement des erreurs humaines (ONR 49001, section 5.5.3 "Gestion des risques dans les organisations").
  • L'ONR 49002-1, Guide pour l'intégration du système de gestion des risques dans le système de gestion, est complété par un chapitre sur la "Gestion des risques dans les organisations complexes". Cela montre comment les risques sont consolidés et comment les risques transversaux sont traités.
  • Enfin, dans l'ONR 49002-2, les méthodes d'évaluation des risques sont complétées par l'analyse des événements de perte selon le protocole de Londres et d'autres suppléments qui sont utilisés dans la gestion des risques cliniques.
  • L'annexe informative sur les méthodes développe les exemples de critères de risque, ce qui est principalement compris comme la paramétrisation de la probabilité d'occurrence et de l'impact des risques.

Outlook

 

Les séries ISO 31000 et ONR 49000 peuvent être considérées comme deux ensembles de règles mûres, stables et complémentaires qui permettent aux entreprises et aux organisations de porter la gestion des risques à un niveau qui répond à leurs besoins individuels. Cela est particulièrement important car d'autres normes importantes, telles que la norme ISO 9001, seront fondées sur le risque à partir de 2015, ce qui signifie que l'accès aux normes de gestion des risques et l'application pratique des techniques de gestion des risques répondront à un besoin accru.

 

Référence bibliographique : Brühwiler, Bruno : Risikomanagement als Führungsaufgabe, 3e éd.

Normes

  • ISO 31000 Gestion des risques - Principes et lignes directrices, 2009
  • Guide ISO 19011 pour l'audit des systèmes de management, 2011
  • Série ONR-49000 Gestion des risques pour les organisations et les systèmes, version 2014
  • Directives ISO/CEI, Partie 1 : Procédures consolidées de supplément ISO spécifiques à l'ISO, Annexe SL (normatif), Propositions de normes de systèmes de management, 2014, p. 115 et suivantes.
(Visité 464 fois, 1 visite aujourd'hui)

Plus d'articles sur le sujet

Les Swiss Cyber Security Days 2025 : dernières découvertes, technologies dominantes, partenaires solides et un alléluia