En février 2018, l’Organisation internationale de normalisation (ISO) a publié une version actualisée de ses lignes directrices sur la gestion des risques, ISO 31000:2018. La mise à jour 2018, qui a remplacé la version précédente de 2009, fournit :
- Langues et structures de référence mises à jour et les simplifications;
- Un accent renouvelé sur le rôle de leadership que la haute direction doit jouer pour s’assurer que la gestion des risques est pleinement intégrée à tous les niveaux de l’organisation;
- Une plus grande attention à la nature itérative de la gestion des risques, qui met l’accent sur l’idée que les organisations devraient évaluer leur processus de gestion des risques en tout temps à la lumière de nouveaux renseignements.
Un bref aperçu de l’ISO 31000:2018
Dans un monde où les motifs sont souvent écrits sur des centaines de pages, les 16 pages de l’ISO 31000:2018 sont un guide succinct et ciblé pour aider les organisations à améliorer la façon dont elles gèrent leurs risques. Le document, qui peut être lu en environ 1 heure, se compose de quatre sections principales:
- Définitions de termes clés tels que risque, gestion des risques, intervenants, source de risque, événement, conséquence, probabilité et contrôle;
- Les principes de la gestion des risques, c’est-à-dire que la gestion des risques est intégrée, exécutée au moyen d’une approche structurée et globale, personnalisée, inclusive, dynamique, fondée sur les meilleures informations disponibles sur les facteurs humains et culturels et continuellement améliorée;
- Un cadre pour s’assurer que la gestion des risques est correctement mise en œuvre, bien intégrée, soigneusement conçue, régulièrement examinée et continuellement adaptée et améliorée;Et
- Une section sur le processus de gestion des risques, y compris les éléments traditionnels de l’identification, de l’analyse, de l’évaluation et du traitement des risques, rehaussée d’un élément de surveillance et d’examen, ainsi qu’un élément de communication et de consultation.
8 sujets importants de l’ISO 31000:2018
Bien que l’ISO 31000:2018 soit loin d’être le seul document couvrant la gestion des risques d’entreprise, il serait difficile de trouver un ensemble plus succinct de principes pour la mise en œuvre et l’évaluation d’un processus de gestion des risques. Mais la brièveté n’est pas seulement le seul avantage de ce document. Voici huit des principaux thèmes de l’ISO 31000:2018.
1. Le « parrainage » exécutif est essentiel
Le document contient des termes clairs sur l’importance d’un leadership et d’un engagement solides envers le programme de gestion des risques. Les cadres supérieurs doivent s’assurer que le processus de gestion des risques est pleinement intégré à tous les niveaux de l’organisation et fortement aligné avec les objectifs, la stratégie et la culture.
2. Tenir compte des risques dans les décisions d’affaires
ISO 31000:2018 comprend également un rappel que les conseils d’administration sont responsables de s’assurer que les risques sont dûment pris en considération lorsque des décisions sont prises, car ces risques peuvent affecter la capacité de l’organisation à ajouter de la valeur.
3. Mettre l’accent sur une mise en œuvre appropriée
Les conseils doivent également s’assurer que le processus de gestion des risques est correctement mis en œuvre et que les contrôles ont l’effet escompté. Les administrateurs n’ont peut-être pas le domaine approprié pour comprendre pleinement le sens et l’impact que les risques présentent à l’organisation. Dans de tels cas, ils devraient embaucher un consultant externe pour fournir le contexte et s’assurer que les actions de la direction sont alignées sur l’importance stratégique du sujet.
4. La gestion des risques n’est pas universelle
Le document a une articulation claire de la gestion des risques comme un processus cyclique, avec suffisamment de place pour la personnalisation et l’amélioration. Mais au lieu de prescrire une approche universelle, le document de l’ISO a conseillé à la haute direction de personnaliser ses recommandations pour l’organisation – en particulier leur profil de risque, leur culture et leur appétit pour le risque.
5. Soyez proactif
Bien que le document ne traite pas spécifiquement de certains types de risques, il fournit des conseils puissants pour aider les cadres à adopter une attitude proactive à l’égard des risques et à s’assurer que la gestion des risques est intégrée à tous les aspects de la prise de décisions à tous les niveaux de l’organisation. Cela comprend la continuité des activités, la conformité, la gestion des crises, les RH (Ressources Humaines), les TI (Technologie d’information) et la résilience organisationnelle.
6. Padroniser votre vocabulaire
Le document fournit un langage commun avec des définitions simples et simples des risques, des événements, des conséquences et des probabilités. Les gestionnaires devraient harmoniser l’utilisation des termes pour s’assurer que les communications se produisent sans l’obstacle d’un langage complexe. Si une métrique est trop complexe, elle ne doit pas être partagée en évidence. Toutefois, il peut encore être utile dans le cadre d’une mesure plus large qui représente les lignes de tendance dans la santé globale et la résilience de l’organisation.
7. Utilisez les meilleures informations disponibles
Une grande partie de la gestion des risques est axée sur la meilleure information disponible, avec toutes les ambiguïtés et les imperfections que le terme implique. Au lieu de simplement chercher à partager de l’information sur les risques absolus, les gestionnaires devraient adopter cette compréhension nébuleuse et réfléchir aux données qu’ils fournissent pour consolider leur rôle de conseillers d’affaires efficaces.
8. Évaluer le succès
Les lignes directrices mettent également l’accent sur la valeur de la mesure, de l’évaluation et de l’amélioration du système de gestion des risques lui-même. L’idée n’est pas d’obtenir tout droit la première fois, mais d’améliorer chaque fois que le cycle est terminé. Même les données sur les risques imparfaits peuvent être utiles tant qu’elles sont présentées avec une chronologie montrant une tendance. En fin de compte, les rapports sur les risques devraient fournir de l’information de qualité aux cadres supérieurs.
Que vous soyez prêt à mettre en œuvre votre premier processus de gestion des risques ou à en améliorer un existant, les lignes directrices ISO 31000:2018 peuvent aider à gérer l’incertitude tout en protégeant la valeur de votre organisation.