La norme ISO 31000 a pour but d’identifier et de gérer les risques. Il s’agit d’un instrument de gestion et d’organisation. Elle cherche à harmoniser les différentes normes déjà existantes ou à venir et les définitions du management du risque. Elle permet aux organismes de toute taille et de tout secteur d’intégrer dans leur management global les incertitudes inhérentes à leur activité qu’elles soient positives ou négatives.
La norme ISO 31000 donne des principes génériques, un cadre et des lignes directrices permettant aux organismes de gérer les risques de tout ordre. Elle n’a pas été établie à des fins de certification mais de lignes directrices. Elle se déroule autour de 3 grandes parties :
1-Principes génériques
Le management du risque doit :
- Créer de la valeur
- Faire partie du processus organisationnel et du processus décisionnel
- Adresser explicitement les incertitudes, leur nature et leur traitement possible
- Etre systématique et structuré
- Etre basé sur les meilleures données disponibles
- Etre adapté à l’organisme et à son contexte interne et externe
- Intégrer les facteurs humains et culturels
- Impliquer toutes les parties prenantes et leur permettre d’être représentées
- Prendre en compte les changements qui surviennent dans son environnement
- Faciliter l’amélioration et l’évolution permanentes de l’organisme
2-Cadre organisationnel
Il s’agit ici de donner les bases permettant à l’organisme d’intégrer le management des risques à son système global de management et à l’ensemble de ses pratiques et processus. Ce cadre organisationnel aide l’organisme à consigner les informations concernant les risques liés à ses activités, ce qui lui facilite par la suite la prise de décision.
3-Processus de management du risque
Ce processus doit être pleinement intégré dans le management de l’organisme. Il est constitué de 5 activités :
- Communication et consultation : Les parties prenantes sont consultées et un plan de communication abordant notamment les questions sur le risque, ses conséquences et comment le gérer est réalisé.
- Etablissement du contexte : L’organisme définit l’environnement interne et externe dans lequel il évolue et fixe ses objectifs. Il établit le contexte du processus de management du risque (stratégie, objectifs, domaine d’application, activités) et les critères qui lui permettront d’évaluer le risque.
- Appréciation du risque : L’organisme identifie, analyse et évalue le risque.
- Traitement du risque : L’organisme choisit une option et la met en œuvre afin de modifier le risque. L’évaluation du traitement du risque permet de déterminer si le risque résiduel est tolérable ou non. S’il ne l’est pas, l’organisme trouvera un autre traitement afin d’obtenir un niveau de risque acceptable selon les critères qu’il avait préalablement déterminé.
- Surveillance et revue : L’organisme s’assure que sa gestion du risque est efficace, identifie les éléments qui ont pu changer dans son environnement, tire des conclusions et détermine les risques à venir.
Copyright : INFOQUALITE
Publier cet article