Nous suivre Info chimie

L'ISO 31 000 aide à gérer le risque

Sujets relatifs :

, ,
Publiée en décembre, la nouvelle norme ISO 31 000:2009 propose une formalisation du management des risques en l'intégrant dans la gouvernance des organismes. Détails avec le professeur Jean-Paul Louisot, enseignant en gestion des risques à la Sorbonne et directeur pédagogique de CARM Institute.

Extrait de La lettre du Bureau Veritas, n°24, avril 2010

Quelles circonstances vous ont amené à participer à l'élaboration de la norme ISO 31 000 ?

Jean-Paul Louisot : Si mon nom a circulé, c'est sans doute parce que la gestion des risques est au centre de mes intérêts depuis plus de trente ans et aussi, parce que depuis 1999, dans mes cours, j'ai intégré le standard australien (AS/NZ 4 360) qui a servi de base à la norme ISO 31 000. Les Australiens sont en effet, avec les Japonais, ceux qui ont voulu cette norme, tandis que l'Europe, et notamment la France, ainsi que les États-Unis sont restés en retrait.

Pourquoi avez-vous accepté ?

J.-P. L. : Notre tendance européenne est d'aborder la question de la norme de gestion des risques par le prisme de l'Hygiène Santé Environnement, autrement dit du risque zéro et d'essayer de l'atteindre par la voie réglementaire. Ce qui est un non sens pour un «Risk Manager» anglo-saxon pour lequel le risque est partout, d'autant plus omniprésent que s'accroissent l'interpénétration des intérêts et l'interdépendance des agents économiques. Un risque qui, soit dit en passant, peut être bon à prendre pour des Anglosaxons. Ne dit-on pas « take a chance ! » en anglais et « prenez le risque ! » en français. Cette norme me paraissant inévitable et indispensable, j'ai souhaité que les besoins et les attentes des «Risk Managers» européens soient représentés.

Pourquoi cette norme était-elle indispensable?

J.-P. L. : Nous ne vivons plus isolés dans le monde, il faut un langage commun, une concertation entre toutes les parties prenantes, une méthode de gestion des risques : établir le contexte du management des risques pour appréhender les objectifs de l'organisme, identifier les risques, les analyser (gravité, vraisemblance), les évaluer (niveaux de maîtrise du risque), vérifier la conformité aux exigences des réglementations, de l'organisme, des partenaires, et traiter le risque. Ce cadre de référence va servir de repère dans les échanges internationaux afin que tout le monde gère ses risques selon les mêmes principes. La gestion des risques logistiques qui occupe actuellement le devant de la scène est l'exemple type : on est devant un réseau dont les frontières ne sont pas connues et pour lequel il faut absolument instaurer des références qui, par contagion, opèreront d'un acteur à un autre, d'un grand donneur d'ordre à un sous-traitant, d'un sous-traitant à un autre sous-traitant, d'un pays à un autre, etc.

Qu'est-ce que le risque ?

J.-P. L. : Les organismes de tout type et de toutes dimensions sont confrontés à des facteurs et influences internes et externes qui les empêchent de savoir s'ils vont atteindre ou dépasser leurs objectifs et quand ils vont les atteindre. L'incidence de cette incertitude sur l'atteinte des objectifs est ce qui constitue le risque. Si on admet cette définition, tout est risque : une image dégradée à cause de la qualité défectueuse d'un produit (ISO 9 001), de la pollution d'un fleuve par des rejets chimiques (14 001), des accidents de travail et maladies professionnelles (OHSAS 18 001), du non respect de la législation sociale (ISO 26 000) est le résultat d'une mauvaise appréhension et gestion du risque.

Pourquoi dit-on que l'ISO 31 000 est la norme des normes ?

J.-P. L. : En apportant quelques principes, un cadre organisationnel, un processus de gestion des risques et d'amélioration continue applicable à chaque activité, à chaque métier, dans chaque pays, l'ISO 31 000:2009, non certifiable, et accompagnée d'un glossaire (le guide ISO 73), donne du sens aux autres normes. Elle confère une cohérence d'ensemble à la soixantaine de normes ISO actuellement existantes.

Selon l'ISO 31 000, la gestion des risques s'applique à tous les niveaux d'un organisme ou d'un projet ?

J.-P. L. : Pour l'ISO 31 000, en effet, la gestion des risques s'applique aux processus de gouvernance, de stratégie, de planification, de management, de rédaction des rapports ainsi qu'aux politiques, aux valeurs et à la culture d'ensemble. Mais remarquons qu'avec la crise financière et la transposition en droit français en 2008 de la 8e directive 1, la gestion des risques n'a pas attendu la norme pour faire son entrée dans les conseils d'administration européens. L'ISO 31 000 recommande la déclinaison de toutes les incertitudes à toutes les fonctions, à tous les niveaux. Le plus haut niveau hiérarchique prend en compte les risques aux conséquences majeures sur la stratégie et chaque niveau opérationnel se concentre sur ses propres risques, avec un principe de subsidiarité : ne sont remontés que ceux des risques qui pourraient impacter la stratégie de façon à l'optimiser dans son développement comme dans son exécution. On débouche ainsi sur des standards certifiables tels que l'ISO 27 000 pour les systèmes d'information ou l'ISO 28 000 pour la chaîne logistique ou l'ISO 9 000 pour la qualité, etc. L'ISO 31 000 vient coiffer l'ensemble : après avoir monté les briques, on met le toit.

Quelles difficultés particulières a posées la rédaction de cette norme ?

J.-P. L. : La diversité des cultures nationales et des métiers nous a amenés à revoir le guide 73. C'est un glossaire dans lequel est formalisé le vocabulaire du risque pour tous les secteurs : énergie, banque, assurance, association, industrie, etc. On y parle d'événement sentinelle 2, de sûreté de fonctionnement, de plan de continuité d'activité, de qualité, etc. Ce glossaire doit permettre à tous les métiers, à toutes les fonctions, dans tous les pays, de parler un langage commun du risque.

Pourquoi cette norme doit-elle intéresser les entreprises ?

J.-P. L. : L'ISO 31 000 est la meilleure façon d'assurer le développement durable d'un organisme vivant, elle permet de bien appréhender une opportunité, de faire face à des événements imprévus (rebondir sur une crise) ou de transformer une erreur en opportunité (résilience). Les Australiens vivent depuis presque vingt ans avec une gestion des risques normalisée ; en Europe, nous n'avons pas la traduction d'une norme globale. Il faut prendre l'ISO 31 000 non comme une norme, d'ailleurs elle n'est pas certifiable, mais comme un cadre de référence. Ainsi, apporte-t-elle : un cadre organisationnel, une méthodologie d'identification, d'analyse et d'évaluation du risque, méthodologie qu'il appartient à l'organisme de définir en concertation avec toutes ses parties prenantes. Le développement de cette norme s'est fait en parallèle de l'apparition aux États-Unis, dès le début du 21e siècle, de ce qu'on a appelé l'entreprise-wide risk management ou ERM, la gestion globale et intégrée du risque.Depuis le début de la crise financière, l'ERM explose en Europe... comme aux États-Unis ! n

1 La huitième directive sur le contrôle légal des comptes 2006/43/CE du 16 mai 2006 réforme les conditions d'exercice des activités des commissaires aux comptes suite aux scandales des années 2000 (Enron, Worldcom, Parmalat). Elle instaure des principes d'une indépendance claire pour renforcer la crédibilité attachée à la fonction d'audit. Elle a été transposée en droit français par une loi du 4 juillet et une ordonnance le 8 décembre 2008.

2 Evénement sentinelle : survenue inattendue d'un événement entraînant ou risquant d'entraîner la mort ou des conséquences graves physiques et/ou psychologiques pour un patient.

Bienvenue !

Vous êtes inscrit à la news Industrie Chimie

Nous vous recommandons

Les Roches-Roussillon dans une dynamique d'investissements

Les Roches-Roussillon dans une dynamique d'investissements

Le site isérois a engrangé plus de 500 millions d'euros, ces cinq dernières années, et s'apprête à en faire autant pour les cinq à venir. Gouverné par le GIE Osiris, Les[…]

01/06/2018 | FranceSpécialités
Le risque chimique existe aussi en mer

Le risque chimique existe aussi en mer

Les travailleurs mieux protégés contre le risque produit

Les travailleurs mieux protégés contre le risque produit

Quand l'industrie chimique se protège contre la foudre

Quand l'industrie chimique se protège contre la foudre

Plus d'articles