Dans la vie, toutes les décisions comportent une part de risque, mais il est clair que certaines décisions nécessitent une approche structurée. Par exemple, un cadre dirigeant ou un fonctionnaire peut devoir porter des jugements sur le risque associé à certaines situations très complexes. Le management du risque fait partie intégrante de la gouvernance et du leadership et a une importance fondamentale dans la façon dont l’organisme est géré à tous les niveaux.

Les pratiques de management du risque utilisées hier encore ne sont plus adaptées aux menaces actuelles et doivent évoluer. Ce sont ces considérations qui ont présidé à la révision d’ISO 31000, Management du risque – Lignes directrices, dont la toute dernière édition vient d’être publiée. ISO 31000:2018 est un guide plus court, plus clair et plus concis, qui aidera les organismes à appliquer les principes de management du risque pour améliorer leur planification et prendre de meilleures décisions. Voici les principales modifications par rapport à l’édition précédente :

  • Revue des principes de management du risque, qui sont les critères clés de sa réussite
  • Mise en exergue du leadership de la direction et de l’intégration du management du risque, en commençant par la gouvernance de l’organisme
  • Importance accrue accordée à la nature itérative du management du risque, en notant que de nouvelles expériences, connaissances et analyses peuvent conduire à une révision des éléments, actions et moyens de maîtrise du processus à chacune de ses étapes
  • Simplification du contenu en se concentrant davantage sur le maintien d’un modèle de systèmes ouvert pour s’adapter à de multiples besoins et contextes

Comme l’explique Jason Brown, Président de l’ISO/TC 262, Management du risque, le comité technique chargé de l’élaboration de la norme : « La version révisée d’ISO 31000 met l’accent sur l’intégration à toutes les activités d’un organisme et sur le rôle et la responsabilité de l’encadrement. Étant donné que les professionnels de la gestion du risque sont souvent en marge de la gestion organisationnelle, c’est un point qui devrait donc les aider à démontrer que le management du risque fait partie intégrante des activités de l’entreprise. »

Chaque section de la norme a été revue dans un souci de clarté, en privilégiant un langage simple afin de la rendre plus compréhensible et plus accessible à toutes les parties prenantes. La version 2018 insiste davantage sur la finalité du management du risque, qui est la création et la préservation de la valeur, et comprend d’autres principes connexes tels que l’amélioration continue, l’implication des parties prenantes, l’adaptation au contexte de l’organisme et la prise en compte des facteurs humains et culturels.

Le risque est désormais défini comme « effet de l’incertitude sur des objectifs », mettant ainsi l’accent sur les effets d’une connaissance incomplète des événements ou des circonstances sur le processus de prise de décision au sein d’un organisme. Il faut donc aborder différemment la notion de risque et forcer les organismes à adapter leur mode de management du risque en fonction de leurs besoins et objectifs, un atout essentiel de la norme. Jason Brown précise : « ISO 31000 propose un cadre au management du risque englobant toutes les activités de l’organisme et notamment la prise de décision à tous les échelons. Le cadre et les processus d’ISO 31000 doivent être intégrés aux systèmes de management pour garantir la cohérence et l’efficacité des moyens de maîtrise dans tous les secteurs de l’organisme. » Cela couvre notamment la stratégie et la planification, la résilience organisationnelle, l’informatique, la gouvernance, les ressources humaines, la conformité, la qualité, la santé et la sécurité, la continuité opérationnelle, la gestion des crises et la sûreté.

Il ne s’agit donc pas d’une simple révision de la norme ISO 31000. Cette dernière édition va plus loin, elle approche différemment la façon dont nous allons demain gérer les risques. En ce qui concerne la certification, ISO 31000:2018 établit des lignes directrices, et non des exigences, et n’est donc pas destinée à des fins de certification. Les responsables disposent ainsi de la flexibilité nécessaire pour mettre en œuvre la norme en fonction des besoins et des objectifs de leur organisme.

M. Brown ajoute que le premier objectif de l’ISO/TC 262 est d’aider les organismes à assurer leur viabilité et leur réussite sur le long terme, dans l’intérêt de toutes les parties prenantes, en leur fournissant de bonnes pratiques de management du risque. Car « l’absence de gestion des risques est en soi un risque d’échec ».