Pierre angulaire de la confiance

La certitude – qui consiste à n’avoir aucun doute sur un produit ou une personne – est la pierre angulaire de la confiance. Si cet objectif est déjà difficile à atteindre à l’échelon national, il l’est encore plus à l’échelon mondial. L’ISO, avec ses organismes nationaux de normalisation (ONN), développe des Normes internationales dont l’ambition est de bâtir une confiance mondiale et de lever les obstacles au commerce. La norme ISO 31000:2009, Management du risque – Principes et lignes directrices, qui concerne directement les questions de management du risque et de l’incertitude, est à cet égard une norme remarquable.

Relever le défi

L’incertitude est l’obstacle le plus redoutable auquel se heurte la confiance. C’est pourquoi le Bureau de gestion technique (TMB) de l’ISO a décidé de s’y attaquer en créant, en 2005, un groupe de travail (GT) chargé d'élaborer une norme sur le management du risque.

Ce GT a été chargé de produire un document énonçant des principes et des lignes directrices concrètes pour un processus de management du risque applicable aux organismes de tous types et de toutes dimensions, quels que soient leurs activités, leur situation géographique et les risques auxquels ils sont exposés. Il était essentiel, avant tout, que la nouvelle norme soit un document de recommandations qui ne se prête pas à la certification.

C’est dans ce contexte que le GT a publié, en 2009 :

• ISO 31000:2009, Management du risque – Principes et lignes directrices
• ISO Guide 73:2009, Management du risque – Vocabulaire.

À ces deux documents est venu s’ajouter ISO/CEI 31010:2009, Management du risque – Techniques d’évaluation des risques, fruit de la collaboration de l’ISO et de la Commission électrotechnique internationale (CEI). Il a été convenu, dans le cadre de ces travaux, que le risque serait défini comme «l’incidence de l’incertitude sur l’atteinte des objectifs».

Une réussite remarquable

ISO 31000 est une avancée importante au sens où il s’agit du premier document international issu d’un consensus sur le management du risque à être largement adopté par la plupart des pays du G8 et du G20, qui regroupent les économies les plus importantes du monde, et le groupe «BRIC» des économies émergentes (Brésil, Russie, Inde et Chine). La réussite d’ISO 31000 s’explique par la grande représentativité du groupe d’experts techniques qui a travaillé avec la contribution des comités miroirs nationaux (CMN) – les comités qui «reflètent» au niveau national, le travail mené au niveau international.

Grâce à cela, la norme a été très bien accueillie et figure déjà parmi les meilleures ventes de normes ISO. Elle a en outre été adoptée comme norme nationale par un grand nombre d’ONN.

ISO 31000 a stimulé l’élaboration de normes parentes – ONR 49000 en Autriche, Q 31001 au Canada, NWA 31000 en Irlande, BSI 31100 au Royaume-Uni ou le projet AS/NZS HB 436:201X, que l’Australie et la Nouvelle-Zélande mènent en parallèle – pour aider les parties prenantes à mettre en œuvre la norme.

Autre phénomène intéressant, ISO 31000 a été également accueillie avec enthousiasme après la crise financière mondiale par les responsables d’organismes d’audits.

Michael Parkinson, directeur chez KPMG, Australie, membre de l’AS/NZS JTC OB/7, Management du risque, et vice-président, Services professionnels, Institute of Internal Audit, est un fervent partisan d’ISO 31000 qui, selon lui, «donne un moyen objectif d’évaluer l’importance qu’accorde l’organisme aux systèmes de contrôle des processus quels qu’ils soient.»

Pour M. Parkinson, le fait qu’ISO 31000 ne puisse pas être utilisée à des fins de certification ne constitue pas un problème, puisqu’« elle fournit néanmoins aux auditeurs internes une base permettant d’établir un modèle normatif avec les principes par rapport auxquels l’auditeur peut vérifier la performance du processus de management du risque.»

Il apprécie le fait qu’ISO 31000 «peut aussi servir d’appui à la conception de moyens de maîtrise et à l’évaluation des pratiques organisationnelles de management du risque. Les processus sont simples et applicables à différentes échelles – ils peuvent être expliqués brièvement à un client et être utilisés à n’importe quel niveau et dans n’importe quel secteur d’un organisme. La démarche est applicable dans n’importe quel contexte», conclut-il.

Son plus grand atout

ISO 31000 peut être utilisée pour traiter des risques à tous les niveaux et dans tous les domaines, ce qui constitue à mon sens son plus grand atout. C’est la raison pour laquelle cette norme a été adoptée aussi largement par de nombreux organismes publics et privés dans le monde.

La norme offre également un langage commun, convenu à l’échelon international, qui, non seulement permet aux professionnels du management du risque de se comprendre, mais donne également aux auditeurs internes chargés des questions de sûreté, de sécurité ou de qualité la possibilité d’intervenir dans leurs discussions, ce qui a le mérite de promouvoir la coopération et de donner de meilleurs résultats.

Du nouveau à l’horizon

L’intérêt manifesté à l’échelon mondial pour ISO 31000 a donné lieu à une multiplication des demandes pour des recommandations quant à sa mise en œuvre, mais aussi pour des applications spécifiques, notamment en matière de management du risque lié aux perturbations, en particulier depuis la série de tremblements de terre qui a secoué la Nouvelle-Zélande et le Japon.

En février 2011, l’ISO/TMB a mis sur pied le comité de projet ISO/CP 262, Management du risque, chargé d’élaborer des lignes directrices pour la mise en œuvre d’ISO 31000. Le CP sera peut-être amené à élargir son programme de travail à la préparation d’autres documents relatifs au management du risque, ce qui pourrait entraîner sa conversion en un comité technique (TC), dont le cahier des charges serait, entre autres, de :

Veiller à l’harmonisation parfaite de la norme en cours d’élaboration avec ISO 31000, ISO Guide 73 et ISO/CEI 31010

Tenir à jour les trois documents existants

Développer les propositions d’études nouvelles soumises par les membres

Servir de point de contact pour les autres TC et GT en lien avec le management du risque dans d’autres normes.

Le comité de projet compte à l’heure actuelle 33 membres participants (P) et 3 membres observateurs (O) – il bénéficie de la participation de la plupart des économies du G8, du G20 et du BRIC, y compris des institutions spécialisées de l’ONU et de nombreux autres organismes désireux d’établir des liaisons. La première réunion du CP s’est tenue en septembre 2011.

Il se lancera bientôt dans la préparation d’une norme établissant des lignes directrices fondées sur les meilleurs éléments des documents nationaux cités plus haut, ce qui permettra de préparer rapidement un projet à soumettre pour observation aux comités miroirs nationaux. Si ceux-ci sollicitent les observations d’un large éventail de parties prenantes des organismes concernés, nous pouvons être certains que le document qui en résultera répondra aux besoins du plus grand nombre.