Les entreprises sont confrontées à des risques de plusieurs natures (identifiés, émergents, voire indétectables) susceptibles d’affecter l’atteinte des objectifs et donc leurs performances. Ces objectifs peuvent concerner un ensemble d’activités, depuis le plan stratégique jusqu’aux activités opérationnelles, en passant par les processus et les projets, et se matérialiser en termes de résultats, d’impacts stratégiques, environnementaux, sociaux, opérationnels, financiers, juridiques et de capital image.

Toute entreprise humaine implique, par nature, une prise de risques… Le management des risques, porté par la norme ISO 31000 depuis 2009, apporte une aide à :

• la décision par la prise en compte de l’incertitude et de son effet sur l’atteinte des objectifs ;
• l’évaluation de la nécessité et de la pertinence de chaque action.

Une entreprise pérenne et résiliente aux aléas et accidents de parcours sera celle qui aura mis en place un management des risques (cf. les résultats de la démarche PerformancePME® menées par le Centre National des Risques Industriels), soit transversalement à l’intégralité de ses processus, soit appliqué à des fonctions et activités spécifiques jugées critiques.

Les systèmes de management normalisés existants dans les domaines de la qualité (ISO 9001), de l’environnement (ISO 14001), de la santé et de la sécurité au travail (OHSAS 18001, ILO OSH 2001), de la responsabilité sociétale (ISO 26000)… sont des outils méthodologiques éprouvés pour maîtriser les risques propres à ces domaines. Mais le liant nécessaire au management global des risques n’est pas abordé. D’où l’intérêt de se tourner vers la norme ISO 31000, qui permet ce lien.

L’ISO 31000 ne vient pas se rajouter aux référentiels existants, elle les complète, dans le cadre d’une démarche de management intégré et rationnel. Cette norme n’est d’ailleurs pas « certifiable ». Il s’agit d’un outil complémentaire permettant de développer le principe de l’approche risque et de l’intégrer dans les pratiques managériales des entreprises.

Le management des risques ne concerne pas uniquement les grands groupes, il concerne aussi les TPE et PME. Pour ces dernières la prise en compte des risques (financiers, sociaux, technologiques, commerciaux, etc…) est plus que jamais vital en ces temps ultra-concurrentiels.

Concrètement, la mise en œuvre de l’ISO 31000 permet, en autre, à une entreprise :

• D’augmenter la probabilité que les objectifs seront atteints
• D’encourager un management proactif
• De prendre conscience de la nécessité d’identifier et de traiter le risque à travers toute l’entreprise
• D’améliorer l’identification des opportunités et des menaces
• De se conformer aux obligations légales et réglementaires, ainsi qu’aux normes internationales
• D’améliorer la rédaction des rapports obligatoires et volontaires
• D’améliorer la gouvernance
• D’accroître l’assurance et la confiance des parties prenantes
• D’établir une base fiable pour la prise de décision et la planification
• D’améliorer les moyens de maîtrise
• D’allouer et d’utiliser efficacement les ressources pour le traitement du risque
• D’améliorer l’efficacité et l’efficience opérationnelles,
• De renforcer les performances en matière de santé et de sécurité, ainsi que de protection environnementale
• D’améliorer la prévention des pertes et le management des incidents
• De minimiser les pertes
• D’améliorer l’apprentissage organisationnel
• D’améliorer la résilience organisationnelle

Autant de facteurs qui permettent un management proactif face aux risques encourus par l’entreprise.

Pour conclure, l’ISO 31000 est à considérer comme un outil qui, en complément des référentiels de management choisis par l’entreprise, permet de cadrer l’approche risque et d’optimiser notamment le pilotage des processus et l’atteinte des objectifs.

Article repris et adapté à partir du Cahier des risques chimiques, sur les Techniques de l’Ingénieur.

Plus d’informations sur la norme ISO 31000 sur le site de l’ISO.