Cours sur les principes de management des risques
Cours sur les principes de management des risques
1 Pourquoi une nouvelle norme en Management des risques ?
I l existe de nombreuses normes ou documents métier concernant le Management des risques et sa déclinaison dans des domaines tels que la sécurité. Cependant, ces normes sont sectorielles (avionique, ferroviaire, nucléaire, procédés, pharmacie, etc.). De plus, elles concernent souvent des points de vue limités comme des étapes particulières du développement de projets (par exemple la conception). D’autres documents traitent de risques aectant des technologies spéciques (par exemple le logiciel ou l’électronique).
D’autres, enn, répondent à des sources de dangers ciblées (par exemple, les explosions ou les rayonnements électromagnétiques). Or, la gestion des risques de systèmes sociotechniques complexes comme une installation industrielle ou un développement de projet industriel, nécessite d’aborder la question des risques d’un point de vue global. Ainsi, même si chaque domaine a développé des terminologies et des techniques d’usage partiel et spécique, il existe des problématiques qui requièrent une approche globale et générique.
Par ailleurs, on constate que les ingénieurs ont parfois une perte de repères lorsqu’ils appliquent les standards sectoriels. Ils peinent à les positionner dans une approche de Management des risques globale à l’organisme et ainsi à bien comprendre les apports—mais aussi les limites—de l’application de ces documents. La nouvelle norme ISO 31000 a tiré prot des échanges entre des experts internationaux issus d’organismes très variés (industriels, administrations, ONG, etc.) relevant de multiples secteurs d’activités.
Elle favorise la prise en compte des risques par l’ensemble de l’organisme et fournit aux parties prenantes l’assurance d’une meilleure maîtrise de ces risques. L’ISO 31000 est une « norme chapeau » permettant d’établir un dialogue entre les secteurs d’activité en leur proposant un vocabulaire et un cadre commun. Cette norme facilitera également le développement des formations dans le domaine de la gestion des risques qui était jusqu’alors rendu dicile par l’impossibilité de multiplier les présentations de pratiques sectorielles.
2 Qu’est-ce que l’ISO 31000 ?
L ’ISO 3 1000 propose une approche gé- nérique du Management des risques mais ne préconise pas de moyens opé- rationnels de mise en œuvre. Cette norme suggère de bonnes questions pour aborder le sujet complexe de la gestion des risques et non de bonnes pratiques pour y répondre. Les moyens de mise en œuvre du Management des risques sont développés dans les documents métiers sectoriels qui ne sont donc pas rendus obsolètes par cette norme. Ils y trouvent au contraire un vocabulaire et un cadre global pour les situer.
L’ISO 31000 ne concerne pas exclusivement les grands groupes industriels ou nanciers ou les grandes administrations publiques, mais tout type d’organisme, de tous secteurs et de toutes tailles (entreprise, gouvernement, ONG, individu, etc.). Ses principes stipulent d’ailleurs que sa mise en œuvre doit être adaptée aux caractéristiques de l’organisme (taille, type de risque traité, etc.). Elle n’a donc pas pour but d’uniformiser les pratiques, mais d’harmoniser les démarches en termes de principes et de processus.
L’ISO 31000 fournit tout d’abord une redé- nition du terme de risque qui permet de prendre en compte explicitement de nombreuses problématiques récentes (cf. question 3). Le processus de Management des risques qu’elle propose, complète ceux existants en y inté- grant par exemple la prise en compte explicite du contexte dans lequel le risque est étudié (cf. question 4). La norme introduit un second processus appelé Cadre organisationnel structurant les activités des organismes pour mettre en place et améliorer continûment le processus de Management des risques (cf. question 5).
Enn, elle base l’ensemble de ces activités sur des principes généraux qui doivent régir la structure de ces processus et leur mise en œuvre (cf. question 6). L’ISO 31000 est structurée en 4 grandes sections : la première dénit le vocabulaire employé dans la norme, la seconde établit les principes, la troisième décrit le cadre organisationnel et la quatrième expose le processus de Management des risques. Une vue schématique en est fournie à la page vii.
3 Pourquoi avoir redéfini la notion de risque ?
Durant de très nombreuses années, le concept de « risque » a été assimilé à celui de danger. Sa maîtrise était du ressort des techniciens qui comprenaient les mécanismes, par exemple physico-chimiques, pouvant entraîner des accidents. L’occurrence des dommages était prévenue par des traitements à la source ayant pour but de réduire ce danger. Cette approche conduisait implicitement à l’ignorance totale ou partielle des effets positifs de l’activité source du risque.
Pour tenir compte de ces apports tout en prévenant les dommages potentiels, la définition du terme « risque » s’est ensuite déplacée vers celle d’événement probable ayant des conséquences. La présence d’une source de risque était rendue acceptable au regard des très improbables dommages qu’elle pouvait engendrer et des contributions positives qu’elle fournissait assurément. La gestion des activités médicales, des produits pharmaceutiques ou encore des moyens de transports ou des installations industrielles, relève actuellement de cette approche. Elle donne lieu à l’établissement de modèles d’analyse probabiliste des effets mis au point par des ingénieurs et à l’intégration de barrières pour réduire la vraisemblance et l’importance des effets indésirés potentiels.
La norme ISO 31000 dénit le risque comme l’effet de l’incertitude sur l’aeinte des objectifs. Cette définition déplace de nouveau la question du risque en imposant de spécifier les objectifs d’une activité dont l’atteinte pourrait être entravée par l’occurrence de circonstances incertaines. « Améliorer la santé à des coûts raisonnables dans un contexte donné » est un exemple introduisant trois objectifs : améliorer la santé, en respectant une enveloppe budgétaire, sans bouleverser le contexte social. Cette multiplicité des objectifs nécessite que les décideurs fassent des arbitrages. Ces derniers devront être pris en compte par les ingénieurs et les techniciens proposant des moyens empêchant que les effets de l’incertitude n’entravent le déroulement des activités mises en place pour atteindre les objectifs.
Cette nouvelle définition ne remet pas en cause les problématiques de traitement des dangers ou d’analyse des événements dommageables. Elle les complète en formalisant l’importance du rôle des décideurs, qu’il s’agisse de personnes physiques ou morales (directeurs de sites industriels, élus, autorités de contrôle, ingénieurs, etc.) ou plus généralement de la société. Elle permet tout d’abord de signifier un état de fait, à savoir que les objectifs sont multiples, qu’ils concernent non seulement la sécurité mais aussi des questions économiques et politiques, personnelles ou sociétales. Les énoncer évite de parasiter les activités de Management des risques par des nondits et, en formulant explicitement les arbitrages, rend plus transparentes les nombreuses décisions prises durant ces activités.
4 Quels changements dans le processus de Management du risque ?
L e processus générique de Management des risques proposé dans l’ISO 31000 reprend les activités classiques d’appréciation des risques (identification, analyse, évaluation) et de leur traitement. La norme les complète par 3 autres activités. L’Établissement du contexte oblige à définir en amont de ces activités, les paramètres fondamentaux caractérisant l’environnement dans lequel s’effectue le Management du risque et les valeurs de ces paramètres. L’environnement est tout d’abord externe à l’organisme. Des seuils stipulés par une réglementation ou des critères d’appréciation des risques issus des parties prenantes, sont deux exemples de paramètres. L’environnement du Management du risque inclut également l’organisme lui-même (la norme parle d’environnement interne).
Les pratiques propres à l’organisme en sont des exemples de paramètres. La norme propose d’énumérer ces paramètres et de séparer leur définition de leurs utilisations dans les autres tâches du processus, clarifiant ainsi les différentes responsabilités des intervenants dans le processus de Management du risque. Par exemple, la matrice de risque constitue un paramètre utilisé lors de l’évaluation du risque. Ses valeurs ne doivent pas être définies par les personnes effectuant cette évaluation. En effet, elles caractérisent, entre autres, l’importance relative entre la probabilité d’occurrence d’événements dommageables et la gravité des dommages. Il s’agit donc d’une donnée relative au contexte dans lequel s’effectue l’évaluation des risques.
D’autres valeurs de cette matrice, voire un autre moyen d’évaluation, sont utilisés dans d’autres contextes. La norme met également en valeur la tâche de Communication et concertation et son couplage avec l’ensemble des autres tâches du processus. Ces échanges concernent aussi bien les parties prenantes externes que celles internes à l’organisme qui gère le risque. La norme mentionne en particulier que cette tâche facilite la compréhension du contexte et l’intégration de ses changements par les activités de Management des risques. Elle distingue enn la tâche intitulée Surveillance et revue ayant par exemple pour but de réévaluer le déroulement des activités de Management des risques. Cette tâche peut ainsi mesurer l’efficacité de l’emploi des moyens mis en œuvre afin d’améliorer leurs utilisations futures.
5 Qu’est-ce que le Cadre organisationnel ?
L a gestion des risques est fréquemment mise en œuvre par plusieurs processus de Management des risques, qui sont déroulés en parallèle afin de répondre à divers objectifs tels que la prévention des événements accidentels, d’une part, et la prévention des dommages dus à la malveillance, d’autre part. Or ces processus peuvent présenter des enjeux con‑ictuels qu’il convient de gérer non pas a posteriori mais a priori. Par exemple, la mise en œuvre de la tâche de « Communication et concertation », pour répondre à des besoins de prévention des accidents (c’est-à-dire sécurité au sens safety) conduira à diuser largement des informations sur les dangers, leurs effets potentiels et les moyens mis en œuvre pour les maîtriser.
Cette communication est parfois obligatoire, comme pour les « résumés non-techniques » des études de dangers. Une telle communication peut aller à l’encontre des objectifs de prévention des malveillances (c’est-à-dire sécurité au sens security). Or une installation industrielle, par exemple, doit atteindre simultanément ces deux objectifs (safety et security). Le Cadre organisationnel (« Framework » en anglais) a pour but de gérer ces con‑its et, de façon plus large, d’intégrer les activités de Management du risque dans celles de l’organisme.
En effet, la gestion des risques ne doit pas être traitée comme une activité autonome, mais au contraire associée aux autres activités dont celles opérationnelles. Elle doit ainsi être utile à ces activités et notamment contribuer aux décisions qu’elles nécessitent. Ce Cadre organisationnel est lui-même défini par un processus qui permet la mise en place des processus de Management des risques ainsi que leur amélioration continue. Le premier aspect concerne par exemple le choix de moyens efficaces pour réaliser les activités des processus de Management des risques. Le second (amélioration continue) nécessite la mise en place de dispositifs d’évaluation de ces moyens et leur adaptation permanente.
Le processus du Cadre organisationnel est constitué d’un cycle de type PDCA (Plan, Do, Check and Act) bien connu en Qualité. Il est précédé par une tâche imposant de définir, entre autres, les objectifs et les indicateurs de performance du Management du risque. Intitulée « Mandat et engagement », cette tâche marque l’importance du « leadership » dans le Management du risque. Le Cadre organisationnel regroupe des activités permettant donc de mettre en place une approche proactive du Management des risques intégrant les connaissances nouvelles (données, modèles, techniques, pratiques, etc.), par une évaluation continue de l’efficacité des moyens utilisés et par une veille sur les moyens nouveaux disponibles.
6 Pourquoi ériger des principes sur le Management du risque ?
L es implantat ions des processus de Management du risque sont issues des activités du Cadre organisationnel. La norme ISO 31000 base la réalisation de ce cadre et donc des processus sur onze « Principes ». Il est important de mentionner que ces principes ne concernent pas les risques particuliers à gérer mais affectent la façon de les gérer. Les questions telles que « Quel est le niveau de risque acceptable ? » relèvent de l’« Établissement du contexte » de chaque processus de Management du risque. Par exemple, la norme érige en principe que « le Management des risques doit créer de la valeur ».
Cette phrase ne doit pas être interprétée d’un point de vue financier. Elle exprime que l’ensemble des activités de gestion des risques mises en place doivent contribuer efficacement à l’atteinte des objectifs de l’organisme an de maîtriser les effets de l’incertitude. Ce principe induit notamment les activités d’évaluation des moyens du processus de Management des risques par le Cadre organisationnel et l’évaluation de l’efficacité de l’utilisation de ces moyens par le processus de Management des risques lui-même. Par exemple, elle pourrait conduire à évaluer l’efficacité réelle d’une réglementation avant de la promulguer. Des techniques comme l’analyse coût bénéfices pourraient être utilisées comme outil d’évaluation. Un second principe stipule que « le Management des risques traite explicitement de l’incertitude ».
Cette incertitude concerne par exemple les connaissances sur les sources du risque. Les modèles et outils d’analyse doivent donc prendre en compte cette méconnaissance. L’acceptation de l’incertitude induit également l’aspect itératif du processus de Management du risque afin d’intégrer les nouvelles connaissances disponibles. L’incertitude affecte aussi les moyens utilisés pour gérer le risque, comme ceux concernant son analyse et son traitement (par exemple l’efficacité des barrières de protection).
L’impact de l’incertitude sur les usages de ces moyens doit être explicité. Le principe qui énonce que « le Management du risque doit intégrer les facteurs humains et culturels » est par exemple pris en compte dans la tâche « Mandat et engagement » du Cadre organisationnel. En effet, elle requiert de s’assurer de la disponibilité des ressources humaines adéquates. Dans le processus de Management des risques, ce principe impacte, entre autres, la mise en œuvre de la tâche d’« Établissement du contexte ». Par exemple, celle-ci doit identifier les critères d’appréciation des risques adoptés par les parties prenantes. L’explicitation des principes qui régissent le Management des risques est essentielle. En effet, ces principes vont induire la façon de gouverner toutes les activités. L’organisme devrait donc au préalable stipuler son degré d’adhésion à ces principes.
7 À qui cette norme est-elle destinée ?
D e nombreuses personnes interviennent dans les diverses activités de Management des risques. La norme ISO 31000 s’adresse à chacune d’elles qui en tirera des profits différents. Les personnes en charge de la mise en place des activités de Management des risques au sein des organismes trouveront dans cette norme un cadre précisant les questions à aborder et proposant une structure pour les traiter : principes, cadre organisationnel, processus de Management. Cette norme s’adresse donc en premier lieu aux directions sécurité des sociétés mais aussi aux autorités de tutelle (ministères, agences, etc.).
Les personnes définissant des pratiques (modèles, techniques, outils, guides, etc.) pourront positionner celles-ci dans un canevas générique. Les objectifs auxquels répondent ces pratiques seront ainsi précisés, limitant clairement les contributions à attendre de celles-ci. Ces personnes identifieront en outre plus précisément les activités nécessitant l’élaboration de nouveaux moyens et les besoins auxquels ils doivent répondre. Cette norme s’adresse donc également aux rédacteurs de normes sectorielles, aux développeurs de bonnes pratiques (guides ou procédures) ou aux créateurs de techniques ou d’outils.
Les personnes chargées de gérer des risques particuliers disposeront d’un cadre commun permettant de situer leurs activités et les pratiques qu’elles mettent en œuvre. Elles connaîtront ainsi mieux les rôles et responsabilités de chacun dans la réalisation des multiples tâches indispensables à une gestion efficace des risques. Les personnes chargées d’évaluer les pratiques des organismes en matière de Management des risques comme les autorités de contrôle (organismes de certiffication, d’autorisation d’exploiter, etc.), disposeront d’une structure générique permettant de situer les pratiques effectives. L’ISO 31000 fournit donc aux divers intervenants dans la gestion des risques, une démarche structurée qui peut être partagée, tout en permettant de préciser les missions de chacun sur l’ensemble de ces activités.
Table des matières
Avant-propos
Q1. Pourquoi une nouvelle norme en Management des risques ?
Q2. Qu’est-ce que l’ISO 31000 ?
Q3. Pourquoi avoir redéni la notion de risque ?
Q4. Quels changements dans le processus de Management du risque ?
Q5. Qu’est-ce que le Cadre organisationnel ?
Q6. Pourquoi ériger des principes sur le Management du risque ?
Q7. À qui cette norme est-elle destinée ?
Q8. Par qui et comment cette norme a-t-elle été écrite ?
Q9. Quels travaux futurs ?
Q10. L’ISO 31000 : une évolution ou une révolution ?
