1. Pourquoi une nouvelle norme en Management des risques ?
Réponse :
Il existe de nombreuses normes ou documents métier concernant le Management des risques et sa
déclinaison dans des domaines tels que la sécurité. Cependant, ces normes sont sectorielles
(avionique, ferroviaire, nucléaire, procédés, pharmacie, etc.). De plus, elles concernent souvent des
points de vue limités comme des étapes particulières du développement de projets (par exemple la
conception). D’autres documents traitent de risques affectant des technologies spécifiques (par
exemple le logiciel ou l’électronique). D’autres, enn, répondent à des sources de dangers ciblées (par
exemple, les explosions ou les rayonnements électromagnétiques). Or, la gestion des risques de
systèmes sociotechniques complexes comme une installation industrielle ou un développement de
projet industriel, nécessite d’aborder la question des risques d’un point de vue global. Ainsi, même si
chaque domaine a développé des terminologies et des techniques d’usage partiel et spécifique, il
existe des problématiques qui requièrent une approche globale et générique. Par ailleurs, on
constate que les ingénieurs ont parfois une perte de repères lorsqu’ils appliquent les standards
sectoriels. Ils peinent à les positionner dans une approche de Management des risques globale à
l’organisme et ainsi à bien comprendre les apports—mais aussi les limites—de l’application de ces
documents. La nouvelle norme ISO 31000 a tiré prot des échanges entre des experts internationaux
issus d’organismes très variés (industriels, administrations, ONG, etc.) relevant de multiples secteurs
d’activités. Elle favorise la prise en compte des risques par l’ensemble de l’organisme et fournit aux
parties prenantes l’assurance d’une meilleure maîtrise de ces risques. L’ISO 31000 est une « norme
chapeau » permettant d’établir un dialogue entre les secteurs d’activité en leur proposant un
vocabulaire et un cadre commun. Cette norme facilitera également le développement des formations
dans le domaine de la gestion des risques qui était jusqu’alors rendu difficile par l’impossibilité de
multiplier les présentations de pratiques sectorielles.
2. Qu’est-ce que l’ISO 31000 ?
Réponse :
L’ISO 3 1000 propose une approche générique du Management des risques mais ne préconise pas de
moyens opérationnels de mise en œuvre. Cette norme suggère de bonnes questions pour aborder le
sujet complexe de la gestion des risques et non de bonnes pratiques pour y répondre. Les moyens de
mise en œuvre du Management des risques sont développés dans les documents métiers sectoriels
qui ne sont donc pas rendus obsolètes par cette norme. Ils y trouvent au contraire un vocabulaire et
un cadre global pour les situer. L’ISO 31000 ne concerne pas exclusivement les grands groupes
industriels ou financiers ou les grandes administrations publiques, mais tout type d’organisme, de
tous secteurs et de toutes tailles (entreprise, gouvernement, ONG, individu, etc.). Ses principes
stipulent d’ailleurs que sa mise en œuvre doit être adaptée aux caractéristiques de l’organisme
(taille, type de risque traité, etc.). Elle n’a donc pas pour but d’uniformiser les pratiques, mais
d’harmoniser les démarches en termes de principes et de processus. L’ISO 31000 fournit tout d’abord
une redéfinition du terme de risque qui permet de prendre en compte explicitement de nombreuses
problématiques récentes .Le processus de Management des risques qu’elle propose, complète ceux
existants en y intégrant par exemple la prise en compte explicite du contexte dans lequel le risque
est étudié. La norme introduit un second processus appelé Cadre organisationnel structurant les
activités des organismes pour mettre en place et améliorer continûment le processus de
�Management des risques .Enfin, elle base l’ensemble de ces activités sur des principes généraux qui
doivent régir la structure de ces processus et leur mise en œuvre .L’ISO 31000 est structurée en 4
grandes sections : la première définit le vocabulaire employé dans la norme, la seconde établit les
principes, la troisième décrit le cadre organisationnel et la quatrième expose le processus de
Management des risques.
3. Pourquoi avoir redéfini la notion de risque ?
Réponse :
Durant de très nombreuses années, le concept de « risque » a été assimilé à celui de danger. Sa
maîtrise était du ressort des techniciens qui comprenaient les mécanismes, par exemple physico-
chimiques, pouvant entraîner des accidents. L’occurrence des dommages était prévenue par des
traitements à la source ayant pour but de réduire ce danger. Cette approche conduisait
implicitement à l’ignorance totale ou partielle des effets positifs de l’activité source du risque. Pour
tenir compte de ces apports tout en prévenant les dommages potentiels, la définition du terme «
risque » s’est ensuite déplacée vers celle d’événement probable ayant des conséquences. La
présence d’une source de risque était rendue acceptable au regard des très improbables dommages
qu’elle pouvait engendrer et des contributions positives qu’elle fournissait assurément. La gestion
des activités médicales, des produits pharmaceutiques ou encore des moyens de transports ou des
installations industrielles, relève actuellement de cette approche. Elle donne lieu à l’établissement de
modèles d’analyse probabiliste des effets mis au point par des ingénieurs et à l’intégration de
barrières pour réduire la vraisemblance et l’importance des effets indésirés potentiels. La norme ISO
31000 dénit le risque comme l’eet de l’incertitude sur l’atteinte des objectifs. Cette définition déplace
de nouveau la question du risque en imposant de spécifier les objectifs d’une activité dont l’atteinte
pourrait être entravée par l’occurrence de circonstances incertaines. « Améliorer la santé à des coûts
raisonnables dans un contexte donné » est un exemple introduisant trois objectifs : améliorer la
santé, en respectant une enveloppe budgétaire, sans bouleverser le contexte social. Cette
multiplicité des objectifs nécessite que les décideurs fassent des arbitrages. Ces derniers devront être
pris en compte par les ingénieurs et les techniciens proposant des moyens empêchant que les effets
de l’incertitude n’entravent le déroulement des activités mises en place pour atteindre les objectifs.
Cette nouvelle définition ne remet pas en cause les problématiques de traitement des dangers ou
d’analyse des événements dommageables. Elle les complète en formalisant l’importance du rôle des
décideurs, qu’il s’agisse de personnes physiques ou morales (directeurs de sites industriels, élus,
autorités de contrôle, ingénieurs, etc.) ou plus généralement de la société. Elle permet tout d’abord
de signifier un état de fait, à savoir que les objectifs sont multiples, qu’ils concernent non seulement
la sécurité mais aussi des questions économiques et politiques, personnelles ou sociétales. Les
énoncer évite de parasiter les activités de Management des risques par des non-dits et, en formulant
explicitement les arbitrages, rend plus transparentes les nombreuses décisions prises durant ces
activités.
4. Quels changements dans le processus de Management du risque ?
Réponse
La norme ISO 31000 propose plusieurs changements dans le processus de Management du risque.
Tout d'abord, elle introduit trois nouvelles activités en plus des étapes classiques d'identification,
�analyse, évaluation et traitement des risques. L'une de ces activités est "l'Établissement du
contexte," qui consiste à définir les paramètres fondamentaux de l'environnement externe et interne
de l'organisme, tels que des seuils réglementaires ou des pratiques internes. Cette étape clarifie les
responsabilités des intervenants dans le processus.
Un autre changement concerne la communication et la concertation, qui sont soulignées comme des
tâches cruciales dans le processus de gestion des risques. Cela implique d'engager des échanges avec
les parties prenantes internes et externes pour favoriser la compréhension du contexte et
l'intégration des changements.
Enfin, la norme met en avant la tâche de surveillance et de revue, qui vise à réévaluer l'efficacité des
moyens mis en œuvre et à mesurer le déroulement des activités de gestion des risques. Ces
changements visent à améliorer la gestion globale des risques au sein de l'organisme, en mettant
l'accent sur la compréhension du contexte, la communication, et l'efficacité des pratiques en cours.
5. Qu’est-ce que le Cadre organisationnel ?
Réponse
Le Cadre organisationnel, tel qu'évoqué dans le texte, est un élément essentiel de la gestion des
risques. Son rôle principal est de gérer les conflits potentiels entre les processus de gestion des
risques qui visent à prévenir à la fois les événements accidentels (safety) et les dommages dus à la
malveillance (security). Ce cadre vise à gérer ces conflits de manière proactive, plutôt que de les
résoudre a posteriori.
Il se compose de plusieurs activités clés, dont la mise en place des processus de gestion des risques
et leur amélioration continue. Ces activités sont intégrées dans l'ensemble des activités de
l'organisme, y compris les opérations. Le Cadre organisationnel contribue à la prise de décision en
fournissant des informations cruciales pour atteindre simultanément les objectifs de sécurité (safety)
et de sécurité (security). Il repose sur un processus cyclique de type PDCA (Plan, Do, Check and Act)
et exige la définition d'objectifs et d'indicateurs de performance pour le Management du risque,
mettant ainsi en lumière l'importance du leadership dans ce domaine.
En résumé, le Cadre organisationnel est un ensemble d'activités visant à intégrer de manière
proactive la gestion des risques dans les opérations de l'organisme, en utilisant les connaissances
nouvelles, en évaluant en permanence l'efficacité des moyens mis en œuvre, et en restant attentif
aux nouvelles méthodes et outils disponibles.
6. Pourquoi ériger des principes sur le Management du risque ?
Réponse
Les principes énoncés dans la norme ISO 31000 sont essentiels car ils influencent la manière dont le
Management du risque est abordé. Ils ne traitent pas des risques spécifiques à gérer, mais plutôt de
la philosophie et de l'approche générale de la gestion des risques. Voici pourquoi ces principes sont
érigés :
Création de valeur : Le principe que le Management des risques doit créer de la valeur
souligne que les activités de gestion des risques doivent contribuer efficacement à l'atteinte
des objectifs de l'organisme pour maîtriser les effets de l'incertitude. Cela implique d'évaluer
l'efficacité des moyens et des réglementations avant leur mise en place.
� Traitement explicite de l'incertitude : Ce principe reconnaît l'importance de prendre en
compte l'incertitude, notamment en ce qui concerne les sources du risque. Il encourage un
processus de gestion des risques itératif pour intégrer de nouvelles connaissances et impacte
les analyses et les moyens de traitement des risques.
Intégration des facteurs humains et culturels : Ce principe souligne l'importance de
considérer les aspects humains et culturels dans la gestion des risques. Il affecte la
disponibilité des ressources humaines adéquates et influence la façon dont les parties
prenantes et leurs critères d'appréciation des risques sont pris en compte.
L'érection de ces principes est essentielle car ils guident la gouvernance de toutes les activités liées à
la gestion des risques au sein de l'organisme. Avant de mettre en œuvre un processus de gestion des
risques, l'organisme doit définir son degré d'adhésion à ces principes, car ils influenceront
fondamentalement la manière dont il gère les risques et l'incertitude.
7. À qui cette norme est-elle destinée ?
Réponse :
La norme ISO 31000 est destinée à différents acteurs impliqués dans les activités de gestion des
risques. Elle fournit un cadre précis aux responsables de la mise en place de ces activités, en
détaillant les questions à aborder et en proposant une structure pour les traiter : principes, cadre
organisationnel, processus de gestion. Cette norme s'adresse notamment aux responsables de la
sécurité des entreprises et aux autorités de tutelle.
Elle permet aux personnes qui élaborent des pratiques, tels que des modèles, des techniques,
des outils, des guides, de les positionner dans un cadre générique. Les objectifs auxquels
répondent ces pratiques sont ainsi précisés, ce qui limite clairement les contributions attendues.
De plus, elle aide à identifier les activités nécessitant de nouveaux moyens et les besoins
auxquels ils doivent répondre. Ainsi, la norme s'adresse également aux rédacteurs de normes
sectorielles, aux développeurs de bonnes pratiques et aux créateurs de techniques ou d'outils.
Elle offre un cadre commun aux personnes chargées de gérer des risques spécifiques, ce qui leur
permet de situer leurs activités et les pratiques qu'elles mettent en œuvre. Cela leur permet de
mieux comprendre les rôles et responsabilités de chacun dans la réalisation des nombreuses
tâches nécessaires à une gestion des risques efficace.
Enfin, elle fournit une structure générique aux personnes chargées d'évaluer les pratiques des
organisations en matière de gestion des risques, telles que les organismes de certification ou
d'autorisation d'exploitation. Cela leur permet de situer les pratiques efficaces.
En résumé, la norme ISO 31000 offre une approche structurée et partagée pour les différents
acteurs impliqués dans la gestion des risques, tout en précisant les missions de chacun dans
l'ensemble de ces activités
8. Par qui et comment cette norme a-t-elle été écrite ?
Réponse :
�La rédaction de la norme ISO 31000 a été le résultat d'un processus impliquant des experts
provenant de secteurs divers tels que la sécurité industrielle, la finance, la gestion de projet, la
santé publique et la protection de l'environnement. Les discussions n'ont pas porté sur des
détails linguistiques, mais sur des visions différentes du risque et de sa gestion. Les cultures des
participants ont également joué un rôle important dans les débats, car les perspectives sur le
risque et sa gestion varient selon les pays et les régions.
Malgré ces différences, les participants ont réussi à parvenir à un consensus et à produire un
texte reflétant cette diversité. Les travaux ont commencé en juin 2004 et ont abouti à la
publication de la norme en 2008, ce qui est considéré comme un délai relativement court. La
norme a bénéficié de contributions de différents secteurs industriels, publics et associatifs, tant
au niveau national (via l'AFNOR) qu'international (via l'ISO).
Le résultat de ce travail est destiné à remettre en question les perspectives individuelles sur le
concept de risque et à améliorer les pratiques de gestion des risques. L'objectif est d'encourager
chacun à reconsidérer sa vision du risque et les approches utilisées, et d'améliorer ainsi les
pratiques de gestion des risques.
L'auteur souligne les nombreux sujets débattus, les arguments avancés et les accords conclus au
cours du processus de rédaction de la norme, ce qui montre l'ampleur et la complexité du travail
effectué.
9. Quels travaux futurs ?
Réponse :
cette nouvelle norme va tout d’abord nécessiter d’informer et de former non seulement sur
son contenu mais aussi sur la vision qu’elle sous-tend. Nous avons par exemple mentionné la
nouvelle définition du risque à la question 3. L’importance de l’« Établissement du contexte »
dans le processus de Management des risques, l’introduction du Cadre organisationnel et
l’expression de Principes régissant l’ensemble, devront être expliquées an de faire
comprendre leurs intérêts. Comme mentionné en réponse à la question 1, l’ISO 31000
propose une approche générale du Management des risques alors que des pratiques existent
déjà. L’objet de cette nouvelle norme n’est pas de balayer les normes sectorielles, ni les
documents métiers qui proposent ces pratiques. L’étude de leur intégration dans cette «
norme chapeau » permettra de positionner les pratiques existantes et, éventuellement, de
mettre en valeur les aspects
Non couverts par celles-ci an d’y porter remède. De nombreux secteurs disposent de documents
propres demandant l’usage de moyens généralement proches voire souvent similaires. La
création de l’ISO 31000 peut être une opportunité d’un rapprochement de ces secteurs an de
disposer d’un vocabulaire commun et d’harmoniser les démarches en tirant pro-t des
expériences de chacun. En plus d’aspects classiques, comme ceux du processus de Management
des risques, qu’elle complète (tâche « Établissement du contexte »), l’ISO 31000 introduit ou du
moins formalise de nouvelles questions essentiellement à travers ses Principes et son Cadre
organisationnel. Les pratiques associées restent souvent à définir. De nouveau, de nombreux
travaux intersectoriels pourraient être conduits an de réduire les coûts de ces études et de
partager les expériences. Cela pourrait être le cas par exemple de l’évaluation des performances
� de divers moyens de modélisation et d’analyse de l’incertitude. L’idée d’une boucle
d’amélioration continue sous-tendue par le Cadre organisationnel pourrait conduire à se
questionner sur la définition de niveaux de maturité des organismes devant gérer des risques et
sur les moyens de progrès permettant de passer d’un niveau à l’autre. Cet accès progressif à un
haut niveau de maîtrise des risques serait assurément utile aux organismes, et en particulier aux
PME, et faciliterait l’appréciation des parties prenantes (administration, ONG, etc.). Cette
question est cependant très sensible.
10. .L’ISO 31000 : une évolution ou une révolution ?
Réponse :
L ’ISO 3 1000 sera certainement perçue tout d’abord comme une évolution dans le Management des
risques en s’attachant aux éléments méthodologiques qu’elle propose : le processus du Cadre
organisationnel et le processus de Management du risque. Du recul sera sans doute nécessaire pour
assimiler les remises en cause qu’elle sous-tend. Essayons d’en anticiper quelques-unes. La nouvelle
norme définit le risque comme l’« effet de l’incertitude sur l’atteinte des objectifs ». Nous avons mis
en valeur à la question 3, l’évolution du concept de risque et introduit son impact sur les approches
de Management du risque. Cette nouvelle définition va déplacer les débats sur le risque vers la
question fondamentale : quels sont les objectifs de l’organisme ou des autres parties prenantes ? La
formulation explicite de ces objectifs amènera sans doute des débats. En effet, ces objectifs sont
multiples et souvent contradictoires. Par exemple, nous voulons des emplois et consommer des
produits manufacturés, mais pas de sites industriels. Nous désirons que notre activité soit proche de
notre domicile, mais que celle des autres en soit la plus éloignée possible. Des arbitrages devront
être effectués entre ces différents objectifs. La norme suggère qu’ils soient explicites et justifiés.
Sommes-nous prêts à le faire ? Cette définition initiale des objectifs et l’explicitation des arbitrages
devraient faciliter les autres activités de Management des risques et rendront plus transparentes et
mieux comprises les décisions. La norme incite à expliciter également les rôles et responsabilités de
chacun dans le Management des risques. Ainsi, la tâche d’« Établissement du contexte » du
processus de Management du risque permet de délimiter la portée des activités suivantes de ce
processus. Elle arme que la gestion des risques dépendra tout d’abord des réglementations mais
aussi des parties prenantes externes, de leurs attentes, valeurs, cultures, etc. Elle souligne également
que cette gestion des risques dépendra aussi du contexte interne à l’organisme : sa structure, ses
normes et pratiques, ses savoir-faire, mais aussi ses valeurs. De même, la tâche « Mandat et
engagement » du Cadre organisationnel définit les responsabilités incombant à la direction, dont
celle d’expliciter les objectifs. La tâche « Conception du cadre organisationnel de Management des
risques » doit, Le Cadre organisationnel n’est pas un « Système de Management » mais une approche
pour intégrer les pratiques du Management du risque dans le Système de Management existant dans
l’organisme. Nous avons mentionné que son processus itératif permet une amélioration continue du
processus de Management des risques. Ce fait revient à accepter l’imperfection des activités de ce
processus, même s’il met en œuvre les meilleures connaissances à un moment donné. L’aspect
perfectible des activités du processus revient implicitement à accepter l’occurrence d’incidents ou
d’accidents qui doivent être sources de progrès. Si cette approche est réaliste, est-elle audible
aujourd’hui ? Quelle révolution implique-t-elle dans les relations entre les parties prenantes de la
gestion des risques ? Je pense en particulier aux médias et à la justice
