Risk Management [PDF]

Zitiervorschau

q

Organisation internationale de normalisation Ch. de Blandonnet 8, CP 401 CH -1214 Vernier, Genève, Suisse

Centre du Commerce International Palais des Nations, CH -1211 Genève 10, Suisse

Organisation des Nations Unies pour le développement industriel

pour les PME

ISO 31000 : Management du risque – Guide pratique pour les PME

L’exploitation d’une entreprise comporte des risques. D’ailleurs, les données empiriques sur le sujet indiquent que près de la moitié des PME sont amenées à déposer leur bilan avant même de franchir le cap de la cinquième année. Les PME trouveront dans le manuel ISO 31000 : Management du risque – Guide pratique pour les PME, qui offre une description détaillée des exigences de la norme, des conseils pour l’identification et la mise en œuvre de stratégies de management du risque.

ISO 31000 Management du risque

Vienna International Centre, P.O. Box 300, AT -1400 Vienne, Autriche

iso.org © ISO, 2015 Tous droits réservés ISBN 978-92-67-20645-5

COVER - ISO 31000 Risk Management - A practical guide for SMEs.indd 1-3

2016-04-05 08:15:09

guide pratique academy pour les PME

ISO 31000 Management du risque

COVER - ISO 31000 Risk Management - A practical guide for SMEs.indd 5 31000_handbook_fr.indd 1

2016-04-05 2016-04-20 08:23:52 07:19:04



Document protégé par copyright Tous droits réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, sans l’accord écrit de l’ISO. Les positions exprimées dans la présente publication sont celles de ses auteurs et contributeurs, et ne prétendent pas refléter celles du Centre international du commerce (ITC), de l’Organisation internationale de normalisation (ISO) ou de l’Organisation internationale des Nations Unies pour le développement industriel (ONUDI). Les appellations utilisées dans la présente publication et la présentation des informations qui y figurent n’impliquent, de la part de l’ITC, de l’ISO et de l’ONUDI, aucune prise de position quant au statut juridique des pays, territoires, villes ou zones, ou de leurs autorités, ni quant au tracé de leurs frontières ou délimitations, ni quant à leur système économique ou à leur degré de développement. Les appellations telles que «industrialisés», «développés» ou «en développement » sont utilisées à des fins statistiques et n’expriment pas nécessairement un jugement sur le stade atteint par un pays ou une région particulière dans le processus de développement. La mention de noms de sociétés ou d’organisations et de leurs sites Web, de produits commerciaux, de marques ou de processus brevetés n’implique pas leur approbation de la part de l’ITC, de l’ISO ou de l’ONUDI. © ISO 2015. Publié en Suisse ISBN 978-92-67-20645-5 ISO copyright office CP 401 • CH -1214 Vernier, Genève Tel. +41 22 749 01 11 Fax. +41 22 749 09 47 E-mail [email protected] Web www.iso.org 2  ISO 31000: Management du risque — Guide pratique pour les PME

31000_handbook_fr.indd 2

2016-04-20 07:19:04



À propos de l’auteur John Lark est le Directeur général de Coherent Advice Inc., cabinet canadien de prestations de services de management du risque auprès d’organismes du secteur public et du secteur privé, tant au niveau national qu’international. M. Lark a plus de 35 ans d’expérience dans le domaine du management, 15 ans en management du risque et possède une licence et une maîtrise en sciences. Il a exercé au sein du comité technique chargé du management du risque du Conseil canadien des normes (CCN), de l’Association canadienne de normalisation (CSA) et de l’ISO (TC 262 et ses groupes de travail). M. Lark exprime sa vive reconnaissance pour les précieux éclairages généreusement apportés par Grant Purdy et John Fraser sur ISO 31000:2009 et le management du risque. À propos du relecteur Valentin Nikonov a plus de 15 ans d’expérience professionnelle en management du risque, conformité et veille stratégique auprès d’établissements financiers et d’organisations internationales. M. Nikonov coordonne les travaux du Groupe d’experts de la gestion du risque à la Commission économique des Nations Unies pour l’Europe (CEE-ONU). En qualité d’Expert international en gestion du risque auprès de l’Organisation des Nations Unies pour le développement industriel (ONUDI), M. Nikonov a mis en place des outils et des méthodes de gestion du risque dans les systèmes de réglementation de pays en développement. Il est expérimenté dans la conception, la mise en œuvre et la gestion de systèmes de management du risque dans le cadre de l’entreprise et de la réglementation. Remerciements L’Organisation internationale de normalisation (ISO), le Centre du commerce international (ITC), et l’Organisation des Nations Unies pour le développement industriel (ONUDI) ont mis conjointement au point cette publication. L’ISO, l’ITC et l’ONUDI remercient John Lark et Valentin Nikonov pour avoir mis leur expertise au service de la préparation du présent manuel, ainsi que l’ISO/TC 262.

ISO 31000: Management du risque — Guide pratique pour les PME  3

31000_handbook_fr.indd 3

2016-04-20 07:19:04



Khemraj Ramful et Hema Menon, ITC, ont dirigé et coordonné l’élaboration du présent guide. Juan Pablo Davila, ONUDI, en a supervisé la relecture technique. Laurent Galichet et Brian Stanton, ISO, ont établi le programme de publication, la correction et la mise en page de la publication.

4  ISO 31000: Management du risque — Guide pratique pour les PME

31000_handbook_fr.indd 4

2016-04-20 07:19:04



Centre du commerce international (ITC) Commerce pour le bien de tous Le Centre du commerce international (ITC) est l’agence conjointe de l’Organisation mondiale du commerce et des Nations Unies. Mission de l’ITC L’ITC contribue au succès des exportations des petites et moyennes entreprises dans les pays en développement et les économies en transition en offrant, avec ses partenaires, des solutions durables et inclusives de développement du commerce pour le secteur privé, les institutions d’appui au commerce et les décideurs politiques. Objectifs de l’ITC • Renforcer la compétitivité internationale des entreprises grâce aux services de formation et d’appui de l’ITC. • Renforcer la capacité des institutions d’appui au commerce en faveur des entreprises. • Renforcer l’intégration du secteur privé dans l’économie mondiale en fournissant une assistance aux décideurs politiques. Veuillez visiter notre site www.intracen.org pour plus d’information. À propos de l’ONUDI L’ONUDI est l’institution spécialisée des Nations Unies chargée de promouvoir le développement industriel pour la réduction de la pauvreté, la mondialisation inclusive et la sauvegarde d’un environnement durable. La vision de l’ONUDI est celle d’un monde dans lequel le développement économique serait durable avec une prospérité partagée et la croissance économique, équitable. L’ONUDI a pour objectif de réduire la pauvreté grâce au développement industriel inclusif durable. Tous les pays devraient avoir la possibilité de mettre en place un secteur de production prospère, d’accroître leur participation au commerce international et de protéger leur environnement. Pour en savoir plus sur l’ONUDI, rendez-vous sur www.unido.org.

ISO 31000: Management du risque — Guide pratique pour les PME  5

31000_handbook_fr.indd 5

2016-04-20 07:19:04



À propos de l’ISO L’ISO (Organisation internationale de normalisation) est le premier producteur mondial de Normes internationales d’application volontaire. Nous sommes une organisation non gouvernementale, sans but lucratif, composée de 162 membres qui sont les organismes nationaux de normalisation de 162 pays. Notre Secrétariat central est basé à Genève, en Suisse. Veuillez visiter notre site www.iso.org pour plus d’information.

6  ISO 31000: Management du risque — Guide pratique pour les PME

31000_handbook_fr.indd 6

2016-04-20 07:19:04



Sommaire

Page

Avant-propos................................................................................................. 9 0 Introduction.......................................................................................... 11 1 Objectifs et gouvernance..................................................................... 21 1.1 Objectifs clairs............................................................................... 21 1.2 Repérage et évaluation des dispositions de gouvernance existantes.................................................................22 2 Mandat et engagement...................................................................... 25 2.1 Définir votre engagement..............................................................25 2.2 Déterminer des objectifs pour la mise en œuvre d’ISO 31000:2009......................................................................... 27 2.3 Établir des mesures de performance pour le management du risque.......................................................................................29 2.4 Parties prenantes internes et externes.......................................... 30 2.5 Communiquer au sujet de l’engagement en matière de management du risque auprès des parties prenantes................... 31 3 Concevoir le cadre organisationnel de management du risque...... 33 3.1 Cadre organisationnel de management du risque.........................33 3.2 Comparer votre approche existante en matière de management du risque à ISO 31000:2009....................................39 3.3 Principes de management du risque............................................. 40 3.4 Comprendre le contexte tant interne qu’externe de votre organisme.............................................................................42 3.5 Politique de management du risque..............................................45 3.6 Alignement entre la politique de management du risque et l’organisme............................................................................... 48 3.7 Attitude face au risque.................................................................. 49 3.8 Critères de risque.......................................................................... 50 4 Mettre en œuvre le management du risque....................................... 55 4.1 Comprendre les aptitudes, la capacité et la culture de votre organisme en matière de risque...........................................55 4.2 Planifier la transition à ISO 31000:2009........................................ 57 4.3 Mise en œuvre du cadre organisationnel de management du risque.......................................................................................59 4.4 Le plan de management du risque................................................62 ISO 31000: Management du risque — Guide pratique pour les PME  7

31000_handbook_fr.indd 7

2016-04-20 07:19:04



4.5 Ressources pour mettre en œuvre le plan de management du risque................................................................. 64 4.6 Établir le contexte du processus de management du risque......... 66 4.7 Méthodes de management du risque........................................... 68 4.8 Communication et concertation concernant le processus de management du risque............................................................. 76 5 Surveillance et revue.......................................................................... 79 5.1 Surveillance et revue du cadre organisationnel de management du risque.................................................................. 79 5.2 Surveillance et revue du processus de management du risque...... 81 6 Amélioration continue du cadre organisationnel............................. 85 6.1 Déterminer l’efficacité du management du risque..........................85 6.2 Amélioration continue du cadre organisationnel........................... 87 6.3 Amélioration continue de la mise en œuvre du processus............. 91 Annexe A — Techniques de management du risque pour les PME.......... 95 Annexe B — Conseils spécifiques pour les PME...................................... 117 Annexe C — Guides, manuels et documents de référence pour les PME............................................................................................... 147

8  ISO 31000: Management du risque — Guide pratique pour les PME

31000_handbook_fr.indd 8

2016-04-20 07:19:04



Avant-propos Le risque est un facteur inhérent à la pratique des affaires. Les données empiriques sur le sujet indiquent que 50 % des petites et moyennes entreprises (PME) sont amenées à déposer leur bilan avant même de franchir le cap de la cinquième année. Il est donc clair que l’exploitation d’une entreprise comporte des risques. Ceux-ci peuvent avoir des conséquences en termes de performance économique et de réputation professionnelle, sans oublier les considérations environnementales, sociales ou relatives à la sécurité. Ces risques sont de tous ordres, internes ou externes, directs ou indirects. Malgré un élément d’incertitude sous-jacent, il est souvent possible d’anticiper les risques, et de concevoir et mettre en place des systèmes et des mesures destinés à minimiser leurs conséquences négatives ou à maximiser leurs conséquences positives. Les risques imputables à un désordre peuvent être maîtrisés en améliorant les modèles de gestion et de gouvernance. De cette manière, les entreprises qui adoptent une stratégie de management du risque ont davantage de chances de survivre et de prospérer. Les grandes entreprises sont mieux outillées et relativement bien structurées pour aborder les risques tout en optimisant leurs bénéfices. En revanche, les PME, plus limitées à divers titres, sont davantage exposées aux aspects négatifs des risques. Néanmoins, dès lors qu’elles disposent de bons outils, les PME peuvent, grâce à leur adaptabilité, tirer parti de certaines possibilités d’augmenter leur part de marché, de se développer et de gérer leurs risques plus efficacement. Chacun sait que les PME représentent la majeure partie des entreprises dans le monde entier, et sont le pilier du commerce et de la croissance économique. Elles sont le principal moteur de l’innovation, de l’intégration sociale et de l’emploi dont elles représentent 60 % des débouchés du secteur privé. Compte tenu de l’importance des PME pour la croissance et le développement économiques, il s’avère particulièrement essentiel de se pencher sur la question du management du risque pour les PME. Or, les PME ont peu de soutien lorsqu’il s’agit de déterminer quel est le meilleur moyen de gérer leurs risques ou à qui s’adresser pour obtenir conseil. Les études révèlent que si la plupart des PME adoptent certaines mesures de prévention ISO 31000: Management du risque — Guide pratique pour les PME  9

31000_handbook_fr.indd 9

2016-04-20 07:19:04



et de réduction des pertes, elles n’engagent cependant pas de processus formel de management du risque et une grande majorité d’entre elles ignorent totalement la notion de traitement du risque. ISO 31000:2009, Management du risque — Principes et lignes directrices, fournit un ensemble de principes, un cadre et un processus pour gérer toute forme de risque. Les organismes de toutes tailles qui ont recours à ISO 31000:2009 augmentent leurs chances d’atteindre leurs objectifs, sont mieux à même de cerner les opportunités et les menaces, et d’allouer et d’employer efficacement des ressources pour le management du risque. Dans l’optique d’aider les PME à mieux se préparer et à gérer efficacement les risques, l’ISO, l’ITC et l’ONUDI ont décidé de conjuguer leurs efforts et de préparer le présent guide sur ISO 31000:2009. Cette publication a pour vocation d’aider les PME à comprendre les exigences de la norme, à comparer leurs pratiques de management du risque par rapport au référentiel reconnu à l’échelon international, et à aligner leurs pratiques sur la Norme internationale. Nous espérons que ce guide constituera un outil pratique et une ressource utile pour les PME dans leurs efforts pour améliorer leur compétitivité et accroître leur participation au commerce international, en parvenant à mieux identifier et gérer leur éventail de risques.  

Arancha GONZÁLEZ Directrice exécutive ITC

LI Yong Directeur général ONUDI

Kevin MCKINLEY Secrétaire général par intérim ISO

 

10  ISO 31000: Management du risque — Guide pratique pour les PME

31000_handbook_fr.indd 10

2016-04-20 07:19:05



0   Introduction 0.1   Objet Le présent guide a pour objet de fournir un bref aperçu des dispositions à prendre pour la mise en œuvre du management du risque conformément aux exigences de la norme ISO 31000:2009 dans les petites et moyennes entreprises (PME), au travers d’une série de questions, suivies de conseils. ISO 31000:2009, dite «la norme» dans le corps du présent document, est un ensemble de principes et de lignes directrices succinctes et générales sur la mise en œuvre du management du risque. La norme compte 23 pages et présente 11 principes, un cadre organisationnel et un processus qui sont adaptables aux besoins des organismes de tous types et de toutes dimensions. Ce guide est destiné à mieux faire comprendre la norme aux décideurs au sein des PME et à les aider à mettre en œuvre un management du risque qui soit adapté à la taille et à la complexité de ces entreprises, tant dans les pays développés que dans les pays en développement. La norme stipule dans son Article 1

«Bien que la présente Norme internationale fournisse des lignes directrices générales, elle ne vise pas à promouvoir l’uniformisation du management du risque au sein des organismes. La conception et la mise en œuvre des plans et des structures organisationnelles de management du risque devront tenir compte des divers besoins d’un organisme spécifique, de ses objectifs, son contexte, sa structure, son activité, ses processus, ses fonctions, ses projets, ses produits, ses services ou ses actifs particuliers, ainsi que de ses pratiques spécifiques.»

Ce guide apporte, sous la forme d’une liste de contrôle, un complément à la norme. Il a été établi en partant du principe que le lecteur aura accès au texte complet de la norme. Cette publication a pour objet de fournir des éclairages, des conseils et des explications liminaires concernant l’ensemble des éléments de la norme ISO 31000:2009. Elle peut être achetée auprès de l’ISO ou de votre organisme national de normalisation.

ISO 31000: Management du risque — Guide pratique pour les PME  11

31000_handbook_fr.indd 11

2016-04-20 07:19:05



0.2   L’intérêt de mettre en œuvre le management du risque Ce bref résumé souligne l’intérêt d’inscrire au cœur des valeurs de votre organisme l’engagement explicite de mettre en œuvre le management du risque. Les entreprises de toutes tailles sont amenées à gérer des risques, et cela vaut depuis leur création jusqu’à la fin de leur vie. Les individus ou les groupes conscients de l’existence d’un risque susceptible d’avoir un effet positif sur les objectifs de l’organisme, par exemple la demande d’un produit ou d’un service, peuvent traiter ce risque en procédant à l’ouverture d’un nouveau magasin ou d’un nouveau bureau. Avant d’engager la moindre opération, les entrepreneurs doivent gérer d’autres risques liés à l’acquisition d’un emplacement, l’identification des compétences utiles à l’entreprise ainsi qu’au recrutement et à la fidélisation d’employés qualifiés, l’obtention d’un financement, de matières premières, d’équipements, etc. Ce ne sont là que quelques exemples d’une longue liste de risques auxquels une PME peut être confrontée. Le management du risque est une activité stratégique essentielle pour les entreprises de toutes tailles. Celles qui gèrent efficacement leurs risques peuvent s’épanouir et parvenir à livrer des produits et services de qualité lorsque tel est l’objectif de ces entreprises. La mise en œuvre du management du risque en conformité avec les exigences d’ISO 31000:2009 a pour vocation première de permettre l’atteinte des objectifs. C’est la raison pour laquelle l’engagement de mettre en œuvre le management du risque doit se vérifier à tous les niveaux de l’entreprise. Les propriétaires et le conseil d’administration (le cas échéant), ainsi que la direction aux différents échelons, doivent comprendre les avantages que peut apporter un management du risque fiable et cohérent, et en démontrer l’utilité au personnel en le mettant en œuvre. 0.3   L’intérêt de suivre le présent guide Les entreprises, grandes et petites, doivent pouvoir identifier, cerner et gérer les incertitudes ou les risques déterminants pour leur réussite. ISO 31000:2009 offre une approche solide, fiable et éprouvée en matière de management du risque. Les entreprises doivent comprendre et gérer leurs risques pour assurer leur croissance et leur prospérité. En alignant leurs pratiques de management du risque sur les exigences d’ISO 31000:2009, les organismes 12  ISO 31000: Management du risque — Guide pratique pour les PME

31000_handbook_fr.indd 12

2016-04-20 07:19:05



seront en mesure de mettre en œuvre le management du risque de façon cohérente et efficace. Le présent guide est destiné à aider les organismes à faire évoluer la démarche de management du risque empirique, dictée par les événements, qui avait prévalu lors de leur création, vers une démarche de management du risque stratégique, axée sur des résultats concrets, fiable et rentable. Le management du risque ne se borne pas à prendre ou à éviter des risques. Il s’agit de bien cerner quels risques revêtent une importance pour l’organisme, et de les gérer en fonction de l’évolution de l’organisme ou de son contexte opérationnel (physique, environnemental, financier et social) au fil du temps. 0.4   Structure du présent guide Ce guide suit la structure présentée à la Figure 1 et consacre un chapitre pour chacun des cinq éléments du cadre organisationnel de management du risque, ainsi que des conseils plus spécifiques qui sont donnés en annexe.  

Figure 1 — Structure du guide La structure de ce guide est fondée sur la séquence d’étapes suivante: «PlanDo-Check-Act» (PDCA). Ces quatre étapes consistent à Planifier — déterminer ce que vous ferez, Réaliser — exécuter ce plan, Vérifier — s’assurer que le plan vous aura permis d’atteindre vos objectifs, et Agir — identifier les domaines ISO 31000: Management du risque — Guide pratique pour les PME  13

31000_handbook_fr.indd 13

2016-04-20 07:19:05



d’amélioration pour le prochain cycle d’activité. On retrouve ces quatre étapes dans bon nombre de systèmes de management. Ce processus fait l’objet de plusieurs appellations: «cercle vertueux», «roue de Deming» 1) ou encore «cycle de Shewhart» 2). La norme s’aligne sur cette séquence d’étapes pour soutenir l’amélioration continue. La norme transpose les quatre étapes du cycle Plan-Do-Check-Act (PDCA) de la manière suivante: conception (du cadre organisationnel de management du risque); mise en œuvre; surveillance et revue; et amélioration continue. Le présent guide suit cette séquence pour aider les utilisateurs à élaborer et mettre en œuvre un management du risque propice à la poursuite de l’amélioration de la réalisation des objectifs, tout en étant adaptable aux changements pour conserver son efficacité. Ce guide recommande que vous mettiez en œuvre le management du risque en • Élaborant un plan clair, • Appliquant le plan tel qu’il a été conçu, • Vérifiant que le plan permet d’atteindre les objectifs qui ont été déterminés (en l’occurrence, les objectifs relatifs à la mise en œuvre du management du risque), puis en • Agissant pour modifier le plan en fonction des informations établies lors des étapes de surveillance et de revue, concernant les aspects concluants et ceux qu’il convient d’ajuster pour améliorer les résultats. 0.5   Risque, définition et interprétation Le risque est un terme qui a été défini à maintes reprises et de différentes manières. Dans ISO 31000:2009, le «risque» a une signification très spécifique et pour comprendre la norme, il est important de comprendre cette définition.

1) Deming, W.E. 1950. Elementary Principles of the Statistical Control of Quality, Japanese Union of Scientists and Engineers. 2)

Deming, W.E. 1986. Out of the Crisis. MIT Press. Cambridge, MA, 88 pp.

14  ISO 31000: Management du risque — Guide pratique pour les PME

31000_handbook_fr.indd 14

2016-04-20 07:19:05



Le risque est défini comme l’«effet de l’incertitude sur l’atteinte des objectifs» NOTE 1     Un effet est un écart, positif et/ou négatif, par rapport à une attente. NOTE 2     Les objectifs peuvent avoir différents aspects (par exemple buts financiers, de santé et de sécurité, ou environnementaux) et peuvent concerner différents niveaux (niveau stratégique, niveau d’un projet, d’un produit, d’un processus ou d’un organisme tout entier). NOTE 3     Un risque est souvent caractérisé en référence à des événements et des conséquences potentiels ou à une combinaison des deux. NOTE 4     Un risque est souvent exprimé en termes de combinaison des conséquences d’un événement (incluant des changements de circonstances) et de sa vraisemblance. NOTE 5     L’incertitude est l’état, même partiel, de défaut d’information concernant la compréhension ou la connaissance d’un événement, de ses conséquences ou de sa vraisemblance. [ISO 31000:2009, Article 2.1] Dans ISO 31000:2009, le risque est neutre; les conséquences associées à un risque peuvent renforcer la réalisation des objectifs (conséquences positives) ou limiter ou diminuer leur réalisation (conséquences négatives). Il est possible de simplifier le management du risque en regroupant les risques par secteur d’activité concerné, par exemple l’ensemble des «risques financiers» afin de pouvoir les gérer plus efficacement. L’incertitude, élément clé de cette définition, peut être le produit de la variabilité de processus naturels, et peut également survenir à cause: • d’informations manquantes, • d’informations disponibles mais inaccessibles, • d’informations imprécises, • d’informations sujettes à des interprétations divergentes, ou • d’informations impliquant un large éventail de possibilités, y compris des changements au fil du temps 3).

3)

Voir Section 2.2 du manuel SA/SNZ HB 436:2013. ISO 31000: Management du risque — Guide pratique pour les PME  15

31000_handbook_fr.indd 15

2016-04-20 07:19:05



Dans bien des organismes, les risques ayant des conséquences positives sont gérés séparément des risques ayant des conséquences négatives. ISO 31000:2009 établit clairement que le processus de management du risque (indiqué à la Figure 2 ci-après) est identique pour tous les risques, quelle que soit la nature de leurs conséquences.  

Figure 2 — Processus de management du risque d’ISO 31000:2009 Même si ISO 31000:2009 n’emploie pas ce terme, les risques présentant des conséquences positives pour les objectifs de l’organisme peuvent être désignés comme des «opportunités». Il peut s’agir par exemple de l’incertitude relative à la présence de pétrole ou de minéraux dans une zone donnée, ou à l’existence d’un marché potentiel suffisant pour justifier des efforts d’expansion. Il est possible de traiter ces risques impliquant des conséquences positives en réalisant des sondages pour déterminer la présence éventuelle de quantités commerciales suffisantes de pétrole ou de minéraux, ou en évaluant le nouveau marché pressenti. La mise en œuvre d’ISO 31000:2009 permet de gérer l’incertitude entourant ces «opportunités». Il est plus efficace pour un organisme de

16  ISO 31000: Management du risque — Guide pratique pour les PME

31000_handbook_fr.indd 16

2016-04-20 07:19:06



gérer l’ensemble de ses risques en alignant son management du risque sur ISO 31000:2009, quelle que soit la nature des conséquences. Exemple Les conséquences positives ou négatives dépendent du contexte Un risque de tempête est susceptible d’endommager des infrastructures ou de provoquer des retards de livraison de marchandises ou de prestation de services. Pour bon nombre de résidents et d’entreprises, la tempête peut avoir des impacts négatifs en termes d’accès des employés à leur lieu de travail, de prestations de services ou d’infrastructures majeures (par exemple, site de production, voies d’accès, ponts). Cependant, si un organisme est en mesure de fournir des services d’urgence ou de remise en état, la tempête peut alors avoir des impacts positifs pour celui-ci. Dans les régions souvent frappées par les ouragans, les entreprises conservent d’importants stocks de panneaux de contreplaqué destinés à protéger les fenêtres, de sable et de sacs de sable, de bâches et d’aliments en conserve, de manière à pouvoir en vendre une grande partie en cas de tempête. Pour qu’une entreprise soit en mesure de réaliser ces impacts positifs, elle doit constituer d’importants stocks à l’avance. L’incertitude de la tempête est identique pour toutes les personnes susceptibles d’être affectées. La nature de l’incertitude et son impact potentiel sur les objectifs dépendent fortement du contexte de l’entreprise. L’aptitude des fournisseurs à tirer parti de l’incertitude d’une violente tempête dépendra de la façon dont ils auront envisagé le traitement du risque d’une hausse augmentation subite de la demande, en maintenant d’importants stocks de produits de première nécessité à disposition. Tout au long de ce guide, le terme risque est utilisé pour décrire une incertitude ayant des conséquences positives ou négatives; ou positives et négatives. Un grand nombre de risques correspondent à ce dernier cas de figure.

ISO 31000: Management du risque — Guide pratique pour les PME  17

31000_handbook_fr.indd 17

2016-04-20 07:19:06



Exemple Décision dans laquelle les risques ont des conséquences positives et négatives sur l’atteinte de l’objectif Le gérant d’un commerce indépendant de vente d’articles spécialisés dans une ville de taille moyenne observe que, dans une ville comparable d’un pays limitrophe, il n’existe pas de magasin offrant la même gamme de produits que le sien. L’incertitude (le risque) que le propriétaire doit apprécier consiste à déterminer s’il existe un marché suffisant pour l’exploitation rentable d’un nouveau magasin. Si le propriétaire souhaite traiter le «risque de potentiel de marché» (ou l’opportunité) en ouvrant un nouveau magasin, il lui faut identifier et apprécier tous les risques associés à cette décision d’ouverture. Les risques peuvent être liés à l’existence d’un régime fiscal et douanier différent dans ce pays, amoindrissant la possibilité de réaliser des bénéfices. De même, les coûts de l’emplacement, de la main-d’œuvre, du transport, de l’entreposage et de l’accès aux services publics peuvent s’avérer plus élevés que dans sa localité actuelle. Enfin, comme le propriétaire ne peut être présent dans les deux magasins en même temps, il lui faut déléguer à un tiers le contrôle des stocks et la gestion de la trésorerie, le service clientèle et les ventes, pour l’un de ses deux points de vente. Le propriétaire ne peut avoir simultanément, sur deux sites différents, la même maîtrise que celle qu’il exerce actuellement sur ces aspects du fait de sa présence physique sur l’un des sites. Il devra identifier, analyser et évaluer chaque risque dans son contexte, afin d’en apprécier l’impact global sur l’objectif visant à exploiter un autre point de vente qui permette, à coup sûr, de dégager un bénéfice. Le processus de management du risque permet d’apprécier l’importance de tous les risques, de manière à ce que le propriétaire puisse déterminer si l’ouverture d’un deuxième magasin dans la nouvelle localité considérée est une décision commerciale judicieuse. Le terme «traitement du risque» est défini comme un «processus destiné à modifier un risque» et fait l’objet d’une description détaillée en Annexe B.4. La norme prévoit également la note suivante: «Les traitements du risque portant 18  ISO 31000: Management du risque — Guide pratique pour les PME

31000_handbook_fr.indd 18

2016-04-20 07:19:06



sur les conséquences négatives sont parfois appelés «atténuation du risque», «élimination du risque», «prévention du risque» et «réduction du risque». «L’attitude face au risque» est définie comme «l’approche d’un organisme pour apprécier un risque avant, éventuellement, de saisir ou préserver une opportunité ou de prendre ou rejeter un risque». Lorsqu’un risque a une conséquence positive, la ligne de conduite logique consiste à «poursuivre» le risque afin d’améliorer l’atteinte des objectifs. Ce terme fait l’objet d’une explication plus complète au Chapitre 3.7. 0.6   ISO 31000:2009 et les normes d’appui Ce guide a été élaboré en partant de l’hypothèse que le lecteur se sera procuré ISO 31000:2009 et qu’il en aura pris connaissance. Cette norme est accompagnée d’un vocabulaire formel de termes définis dans l’ISO Guide 73:2009 et d’une analyse des techniques d’évaluation des risques présentée dans IEC 31010:2009. Il est recommandé aux lecteurs du présent guide de se procurer chacune de ces trois normes. Normes — ISO ISO 31000:2009, Management du risque — Principes et lignes directrices IEC 31010:2009, Gestion des risques — Techniques d’évaluation des risques ISO Guide 73:2009, Management du risque — Vocabulaire Rapport technique — ISO ISO/TR 31004:2013, Management du risque — Lignes directrices pour l’implémentation de l’ISO 31000 Des conseils supplémentaires sur la mise en œuvre d’ISO 31000:2009 sont donnés dans les guides internationaux énumérés en Annexe C.1.

ISO 31000: Management du risque — Guide pratique pour les PME  19

31000_handbook_fr.indd 19

2016-04-20 07:19:06



20  ISO 31000: Management du risque — Guide pratique pour les PME

31000_handbook_fr.indd 20

2016-04-20 07:19:06



1

Objectifs et gouvernance

1.1 Objectifs clairs Avez-vous des objectifs clairs pour votre organisme? □ Oui → Passer à la question suivante □ Non → Voir les conseils ci-dessous Selon le dictionnaire Webster, un objectif se définit comme «quelque chose que l’on essaie de faire ou de réaliser, un but ou un objectif». Ce mot est autrement défini comme «une visée que l’action ou les efforts de quelqu’un tendent à atteindre ou accomplir; un objectif; une cible». Les objectifs d’un organisme sont sa raison d’être. Ils doivent être mesurables et tangibles. Ces objectifs peuvent figurer dans le plan stratégique de l’organisme ou dans un document moins formel établi par l’équipe de direction à l’intention du personnel pour indiquer les réalisations de l’année qui s’ouvre (ou de toute autre période). Bien souvent, si aucun objectif formel n’a été déterminé, il est utile pour les membres de la direction de l’organisme de se réunir et de convenir des objectifs qu’elle juge indispensables pour assurer la réussite de l’organisme. Il convient que le propriétaire ou les gérants s’efforcent de collaborer avec l’équipe de direction afin d’identifier des objectifs clairs pour l’entreprise et de déterminer la date précise à laquelle ces objectifs devront être atteints et maintenus. Les objectifs peuvent prendre diverses formes: chiffre d’affaires ciblé, position par rapport à la concurrence, réserves financières, exigences de conformité et autres résultats déterminants pour la survie et la prospérité de l’organisme.

ISO 31000: Management du risque — Guide pratique pour les PME  21

31000_handbook_fr.indd 21

2016-04-20 07:19:06



Il convient que la direction identifie, approuve et communique les objectifs de l’organisme à l’ensemble du personnel.

1.2 Repérage et évaluation des dispositions de gouvernance existantes Disposez-vous d’un cadre organisationnel clair ou d’un document décrivant la gouvernance de votre organisme? □ Oui → Passer à la question suivante □ Non → Voir les conseils ci-dessous La gouvernance consiste à déterminer quand et comment les décisions sont prises, et fait de la responsabilité un élément clé à prendre en compte. La gouvernance établit clairement les rôles et les responsabilités et identifie les processus indispensables à la pérennité de l’organisme et à l’efficacité de son fonctionnement. Les documents de gouvernance décrivent comment la direction (y compris le conseil d’administration, le cas échéant) pilote l’entreprise. Les fonctions de gouvernance englobent la planification et l’établissement du budget, la mesure de la performance, la vérification et l’audit, l’approvisionnement, le recrutement, l’évaluation et le licenciement du personnel, ainsi que la maîtrise de l’ensemble des opérations quotidiennes. La direction d’un organisme, habilitée par les dispositions de gouvernance, peut se décrire comme des «activités coordonnées dans le but de diriger et piloter un organisme». Le management du risque se définit comme des «activités coordonnées dans le but de diriger et piloter un organisme vis-à-vis du risque». Le parallélisme entre ces deux énoncés démontre à quel point le management du risque et la gouvernance sont interdépendants. Les filières de rapport sont souvent indiquées dans un organigramme qui permet d’identifier la structure du pouvoir au sein de l’organisme. Si ce type d’organigramme représente une première étape, il ne marque cependant que le point de départ du repérage de la gouvernance d’un organisme. Si l’organisme est légalement constitué en société, il y aura un conseil d’administration et un Président-Directeur général. Dans le cas de très petites structures, il y aura peut-être simplement un propriétaire et des relations de gouvernance 22  ISO 31000: Management du risque — Guide pratique pour les PME

31000_handbook_fr.indd 22

2016-04-20 07:19:06



qui ne seront pas formalisées par écrit. Les meilleures pratiques veulent que les dispositions de gouvernance soient élaborées, approuvées et communiquées au personnel, et qu’elles soient périodiquement examinées pour s’assurer qu’elles demeurent pertinentes à mesure que les conditions d’activité évoluent. La documentation de la gouvernance de l’organisme englobe l’identification des filières d’approbation ainsi que les critères relatifs aux prises de décisions, l’étendue du contrôle qui revient à chaque division ou responsable important, la documentation nécessaire pour étayer la planification des activités ainsi que le mode opératoire pour établir les cibles stratégiques et tactiques et surveiller la progression. La documentation relative à la gouvernance devrait également renvoyer à la législation, à la réglementation et aux principes directeurs applicables, ainsi qu’aux politiques internes et externes qui ont trait à la gouvernance et au contrôle. Il est primordial que la description de la gouvernance reflète les dispositions en vigueur et les niveaux de pouvoir qui ont été établis. La présence d’une structure de gouvernance à jour, claire et efficace est essentielle pour créer un cadre de management du risque efficient.

ISO 31000: Management du risque — Guide pratique pour les PME  23

31000_handbook_fr.indd 23

2016-04-20 07:19:06