csi iso31000 10 questions

21
LES CAHIERS LE A C DE LA SÉCURITÉ INDUSTRIELLE CU DU S LA NORME ISO 31000 10 QUESTIONS GILLES MOTET 2009-05

Upload: nabilknouzi

Post on 08-Dec-2015

27 views

Category:

Documents


2 download

DESCRIPTION

CSI ISO31000 10 Questions

TRANSCRIPT

LES CAHIERSLE A CDE LA

SÉCURITÉ INDUSTRIELLECU DUS LA NORME ISO 3100010 QUESTIONS

GILLES MOTET

2009-05

La Fondation pour une culture de sécurité industrielle (Foncsi) est une Fondation deRecherche reconnue d’utilité publique par décret en date du 18 avril 2005. La Foncsi

�nance des projets de recherche autour des activités à risque, et souhaite favoriser l’ou-verture et le dialogue entre l’ensemble des acteurs (administrations, associations,collectivités, équipes de recherche, entreprises, organisations syndicales, etc.).

L’originalité de sa démarche repose sur l’interdisciplinarité de ses travaux, en France età l’international, ainsi que sur sa volonté a�rmée d’innover et d’anticiper les enjeuxde demain.

La Foncsi s’est �xé quatre missions :

• Faire émerger les nouvelles idées et les pratiques innovantes

• Développer, soutenir et �nancer la recherche

• Contribuer à l’essor d’une communauté de recherche

• Rendre accessibles les connaissances à l’ensemble du public

Fondation pour une Culture de Sécurité IndustrielleFondation de recherche, reconnue d’utilité publique

http://www.foncsi.org/

6 allée Émile Monso – BP 3403831029 Toulouse cedex 4France

Téléphone : +33 (0) 534 32 32 00Twitter : @LaFonCSICourriel : [email protected]

iv

Avant-propos

La société se trouve face à deux objectifs qui semblent a priori contradictoires : développer l’innova-tion (nouvelles technologies, démarches et organisations, nouveaux produits, procédés et services,

etc.) qui est source intrinsèque de risques, et garantir un haut niveau de sécurité aux citoyens. Pourréconcilier ces objectifs, les risques doivent être maîtrisés et les justi�cations de cette maîtrise fournies.De nombreux documents sectoriels proposent des moyens répondant à ces exigences. La nouvellenorme ISO 31000 fournit un cadre général au Management du risque qui englobe la problématiquede la sécurité et l’inscrit au sein des multiples préoccupations des organismes et des autres partiesprenantes. Elle propose une nouvelle dé�nition du risque ; elle améliore le processus de Managementdu risque ; elle favorise l’intégration du Management du risque dans le système de Management del’organisme ; elle introduit des principes qui pilotent les choix des activités de Management du risque.Ces apports permettent d’aborder de façon cohérente et explicite de nombreux aspects interférantgénéralement de façon anarchique et implicite dans les activités de Management du risque : multipli-cité d’objectifs con�ictuels, distribution des responsabilités, évaluation de l’e�cacité des moyens etde leurs utilisations, etc.Ce document fournit un éclairage sur cette norme, abordant ses origines et ses apports. Il n’a paspour ambition d’en détailler le contenu et encore moins d’en proposer des mises en œuvre pratiques.

À propos de l’auteur

Gilles Motet est professeur à l’Institut National des Sciences Appliquées de Toulouse et chercheurau LATTIS (LAboratoire Toulousain de Technologie et d’Ingénierie des Systèmes). Sa recherche

concerne les principes du Management du risque et leurs applications à la maîtrise des fautes dansles modèles logiciels et les programmes. Il est co-auteur d’ouvrages parus chez InterEditions, Kluweret Prentice Hall sur la Sûreté de fonctionnement des systèmes informatiques. Il assure la DirectionScienti�que de la Fondation pour une Culture de Sécurité Industrielle et de l’Institut pour une Culturede Sécurité Industrielle.Il a participé aux travaux du groupe « Évaluation des risques » de l’AFNOR et a représenté la Francedans le groupe de travail “Risk management” de l’ISO en charge de la rédaction de la norme ISO31000 (“Risk Management – Principles and guidelines”) et de la révision du Guide 73 de l’ISO (“RiskManagement – Vocabulary”). Il est à l’origine du Master System Engineering de l’INSA de Toulouse etdu Mastère Spécialisé Risk Engineering co-accrédité par l’INSA et l’INP de Toulouse en collaborationétroite avec l’ICSI (cf. le Pôle des Mastères en Management des risques).

Votre avis nous intéresse! Pour tout commentaire ou remarque permettant d’améliorer ce docu-ment, merci d’envoyer un courriel à [email protected].

v

vi

Table des matières

Avant-propos v

Q1. Pourquoi une nouvelle norme en Management des risques ? 1

Q2. Qu’est-ce que l’ISO 31000 ? 2

Q3. Pourquoi avoir redé�ni la notion de risque ? 3

Q4. Quels changements dans le processus de Management du risque ? 4

Q5. Qu’est-ce que le Cadre organisationnel ? 5

Q6. Pourquoi ériger des principes sur le Management du risque ? 6

Q7. À qui cette norme est-elle destinée ? 7

Q8. Par qui et comment cette norme a-t-elle été écrite ? 8

Q9. Quels travaux futurs ? 9

Q10. L’ISO 31000 : une évolution ou une révolution ? 10

Principes

Cadre organisationnel

Processus de management

Activité affectée par le risque

Le schéma conceptuel de la norme ISO 31000.

vii

viii

Que

stio

n 110

Pourquoi unenouvelle norme en

Management desrisques ?

Il existe de nombreuses normes ou do-cuments métier concernant le Manage-ment des risques et sa déclinaison dans

des domaines tels que la sécurité. Cependant,ces normes sont sectorielles (avionique, fer-roviaire, nucléaire, procédés, pharmacie, etc.).De plus, elles concernent souvent des pointsde vue limités comme des étapes particulièresdu développement de projets (par exemple laconception). D’autres documents traitent derisques a�ectant des technologies spéci�ques(par exemple le logiciel ou l’électronique).D’autres, en�n, répondent à des sources dedangers ciblées (par exemple, les explosionsou les rayonnements électromagnétiques).Or, la gestion des risques de systèmes socio-techniques complexes comme une installa-tion industrielle ou un développement de pro-jet industriel, nécessite d’aborder la ques-tion des risques d’un point de vue global.Ainsi, même si chaque domaine a développédes terminologies et des techniques d’usagepartiel et spéci�que, il existe des probléma-tiques qui requièrent une approche globale etgénérique.Par ailleurs, on constate que les ingénieurs

ont parfois une perte de repères lorsqu’ils ap-pliquent les standards sectoriels. Ils peinentà les positionner dans une approche de Ma-nagement des risques globale à l’organismeet ainsi à bien comprendre les apports—maisaussi les limites—de l’application de ces docu-ments.

La nouvelle norme ISO 31000 a tiré pro�tdes échanges entre des experts internatio-naux issus d’organismes très variés (indus-triels, administrations, ONG, etc.) relevant demultiples secteurs d’activités. Elle favorisela prise en compte des risques par l’en-semble de l’organisme et fournit aux par-ties prenantes l’assurance d’unemeilleuremaîtrise de ces risques.

L’ISO 31000 est une « norme chapeau » per-mettant d’établir un dialogue entre lessecteurs d’activité en leur proposant un vo-cabulaire et un cadre commun. Cette normefacilitera également le développementdes formations dans le domaine de la ges-tion des risques qui était jusqu’alors rendudi�cile par l’impossibilité de multiplier lesprésentations de pratiques sectorielles.

Gilles Motet L’ISO 31000 en 10 questions Page 1

Question2

10

Qu’est-ce quel’ISO 31000 ?

L’ ISO 31000 propose une approche gé-nérique du Management des risquesmais ne préconise pas de moyens opé-

rationnels de mise en œuvre. Cette normesuggère de bonnes questions pour aborderle sujet complexe de la gestion des risques etnon de bonnes pratiques pour y répondre.Les moyens de mise en œuvre du Manage-ment des risques sont développés dans les do-cuments métiers sectoriels qui ne sont doncpas rendus obsolètes par cette norme. Ils ytrouvent au contraire un vocabulaire et uncadre global pour les situer.L’ISO 31000 ne concerne pas exclusivementles grands groupes industriels ou �nanciersou les grandes administrations publiques,mais tout type d’organisme, de tous sec-teurs et de toutes tailles (entreprise, gou-vernement, ONG, individu, etc.). Ses principesstipulent d’ailleurs que sa mise en œuvre doitêtre adaptée aux caractéristiques de l’orga-nisme (taille, type de risque traité, etc.). Ellen’a donc pas pour but d’uniformiser les pra-tiques, mais d’harmoniser les démarchesen termes de principes et de processus.L’ISO 31000 fournit tout d’abord une redé�-

nition du terme de risque qui permet deprendre en compte explicitement de nom-breuses problématiques récentes (cf. question3).

Le processus deManagement des risques qu’ellepropose, complète ceux existants en y inté-grant par exemple la prise en compte ex-plicite du contexte dans lequel le risque estétudié (cf. question 4).

La norme introduit un second processus ap-pelé Cadre organisationnel structurant les ac-tivités des organismes pour mettre en placeet améliorer continûment le processus deManagement des risques (cf. question 5).

En�n, elle base l’ensemble de ces activitéssur des principes généraux qui doivent régirla structure de ces processus et leur mise enœuvre (cf. question 6).

L’ISO 31000 est structurée en 4 grandes sec-tions : la première dé�nit le vocabulaire em-ployé dans la norme, la seconde établit lesprincipes, la troisième décrit le cadre organi-sationnel et la quatrième expose le processusde Management des risques. Une vue schéma-tique en est fournie à la page vii.

Gilles Motet L’ISO 31000 en 10 questions Page 2

Que

stio

n 310

Pourquoi avoirredéfini la notion de

risque ?

Durant de très nombreuses années, leconcept de « risque » a été assimilé à celuide danger . Sa maîtrise était du ressort des

techniciens qui comprenaient les mécanismes,par exemple physico-chimiques, pouvant entraî-ner des accidents. L’occurrence des dommagesétait prévenue par des traitements à la sourceayant pour but de réduire ce danger.

Cette approche conduisait implicitement à l’igno-rance totale ou partielle des e�ets positifs del’activité source du risque. Pour tenir compte deces apports tout en prévenant les dommages po-tentiels, la dé�nition du terme « risque » s’estensuite déplacée vers celle d’événement pro-bable ayant des conséquences. La présenced’une source de risque était rendue acceptableau regard des très improbables dommages qu’ellepouvait engendrer et des contributions positivesqu’elle fournissait assurément. La gestion des ac-tivités médicales, des produits pharmaceutiquesou encore des moyens de transports ou des instal-lations industrielles, relève actuellement de cetteapproche. Elle donne lieu à l’établissement demodèles d’analyse probabiliste des e�ets mis aupoint par des ingénieurs et à l’intégration debarrières pour réduire la vraisemblance et l’im-portance des e�ets indésirés potentiels.

La norme ISO 31000 dé�nit le risque commel’e�et de l’incertitude sur l’a�einte des objec-tifs. Cette dé�nition déplace de nouveau la ques-

tion du risque en imposant de spéci�er les ob-jectifs d’une activité dont l’atteinte pourrait êtreentravée par l’occurrence de circonstances incer-taines. « Améliorer la santé à des coûts raison-nables dans un contexte donné » est un exempleintroduisant trois objectifs : améliorer la santé, enrespectant une enveloppe budgétaire, sans bou-leverser le contexte social. Cette multiplicité desobjectifs nécessite que les décideurs fassent desarbitrages. Ces derniers devront être pris encompte par les ingénieurs et les techniciens pro-posant des moyens empêchant que les e�ets del’incertitude n’entravent le déroulement des acti-vités mises en place pour atteindre les objectifs.Cette nouvelle dé�nition ne remet pas en causeles problématiques de traitement des dangers oud’analyse des événements dommageables. Elleles complète en formalisant l’importance durôle des décideurs, qu’il s’agisse de personnesphysiques ou morales (directeurs de sites indus-triels, élus, autorités de contrôle, ingénieurs, etc.)ou plus généralement de la société. Elle permettout d’abord de signi�er un état de fait, à savoirque les objectifs sont multiples, qu’ils concernentnon seulement la sécurité mais aussi des ques-tions économiques et politiques, personnelles ousociétales. Les énoncer évite de parasiter les ac-tivités de Management des risques par des non-dits et, en formulant explicitement les arbitrages,rend plus transparentes les nombreuses dé-cisions prises durant ces activités.

Gilles Motet L’ISO 31000 en 10 questions Page 3

Question4

10

Quels changementsdans le processus deManagement durisque ?

Le processus générique de Managementdes risques proposé dans l’ISO 31000reprend les activités classiques d’ap-

préciation des risques (identi�cation, ana-lyse, évaluation) et de leur traitement. Lanorme les complète par 3 autres activités.

L’Établissement du contexte oblige à dé-�nir en amont de ces activités, les para-mètres fondamentaux caractérisant l’envi-ronnement dans lequel s’e�ectue le Mana-gement du risque et les valeurs de ces pa-ramètres. L’environnement est tout d’abordexterne à l’organisme. Des seuils stipuléspar une réglementation ou des critères d’ap-préciation des risques issus des parties pre-nantes, sont deux exemples de paramètres.L’environnement du Management du risqueinclut également l’organisme lui-même (lanorme parle d’environnement interne). Lespratiques propres à l’organisme en sont desexemples de paramètres. La norme proposed’énumérer ces paramètres et de séparer leurdé�nition de leurs utilisations dans les autrestâches du processus, clari�ant ainsi les di�é-rentes responsabilités des intervenants dansle processus de Management du risque. Parexemple, la matrice de risque constitue un pa-ramètre utilisé lors de l’évaluation du risque.

Ses valeurs ne doivent pas être dé�nies parles personnes e�ectuant cette évaluation. Ene�et, elles caractérisent, entre autres, l’im-portance relative entre la probabilité d’occur-rence d’événements dommageables et la gra-vité des dommages. Il s’agit donc d’une don-née relative au contexte dans lequel s’e�ec-tue l’évaluation des risques. D’autres valeursde cette matrice, voire un autre moyen d’éva-luation, sont utilisés dans d’autres contextes.

La norme met également en valeur latâche de Communication et concerta-tion et son couplage avec l’ensemble desautres tâches du processus. Ces échangesconcernent aussi bien les parties prenantesexternes que celles internes à l’organismequi gère le risque. La norme mentionne enparticulier que cette tâche facilite la compré-hension du contexte et l’intégration de seschangements par les activités de Manage-ment des risques.

Elle distingue en�n la tâche intitulée Sur-veillance et revue ayant par exemple pourbut de ré-évaluer le déroulement des activi-tés de Management des risques. Cette tâchepeut ainsi mesurer l’e�cacité de l’emploi desmoyens mis en œuvre a�n d’améliorer leursutilisations futures.

Gilles Motet L’ISO 31000 en 10 questions Page 4

Que

stio

n 510

Qu’est-ce que le Cadreorganisationnel ?

La gestion des risques est fréquemmentmise en œuvre par plusieurs processusde Management des risques, qui sont

déroulés en parallèle a�n de répondre àdivers objectifs tels que la prévention desévénements accidentels, d’une part, et laprévention des dommages dus à la mal-veillance, d’autre part. Or ces processuspeuvent présenter des enjeux con�ictuelsqu’il convient de gérer non pas a posteriorimais a priori. Par exemple, la mise en œuvrede la tâche de « Communication et concerta-tion », pour répondre à des besoins de pré-vention des accidents (c’est-à-dire sécuritéau sens safety) conduira à di�user largementdes informations sur les dangers, leurs ef-fets potentiels et les moyens mis en œuvrepour les maîtriser. Cette communication estparfois obligatoire, comme pour les « résu-més non-techniques » des études de dangers.Une telle communication peut aller à l’en-contre des objectifs de prévention des mal-veillances (c’est-à-dire sécurité au sens se-curity). Or une installation industrielle, parexemple, doit atteindre simultanément cesdeux objectifs (safety et security).Le Cadre organisationnel (« Framework » enanglais) a pour but de gérer ces con�its et,de façon plus large, d’intégrer les activitésdeManagement du risque dans celles del’organisme. En e�et, la gestion des risquesne doit pas être traitée comme une activitéautonome, mais au contraire associée aux

autres activités dont celles opérationnelles.Elle doit ainsi être utile à ces activités et no-tamment contribuer aux décisions qu’ellesnécessitent.

Ce Cadre organisationnel est lui-même dé-�ni par un processus qui permet la miseen place des processus de Managementdes risques ainsi que leur améliorationcontinue. Le premier aspect concerne parexemple le choix de moyens e�caces pourréaliser les activités des processus de Ma-nagement des risques. Le second (améliora-tion continue) nécessite la mise en place dedispositifs d’évaluation de ces moyens etleur adaptation permanente. Le processusdu Cadre organisationnel est constitué d’uncycle de type PDCA (Plan, Do, Check andAct) bien connu en Qualité. Il est précédé parune tâche imposant de dé�nir, entre autres,les objectifs et les indicateurs de perfor-mance duManagement du risque. Intitu-lée « Mandat et engagement », cette tâchemarque l’importance du « leadership » dansle Management du risque.

Le Cadre organisationnel regroupe des activi-tés permettant donc de mettre en place uneapproche proactive duManagement desrisques intégrant les connaissances nou-velles (données, modèles, techniques, pra-tiques, etc.), par une évaluation continue del’e�cacité des moyens utilisés et par uneveille sur les moyens nouveaux disponibles.

Gilles Motet L’ISO 31000 en 10 questions Page 5

Question6

10

Pourquoi ériger desprincipes sur leManagement durisque ?

Les implantations des processus de Ma-nagement du risque sont issues des acti-vités du Cadre organisationnel. La norme

ISO 31000 base la réalisation de ce cadre etdonc des processus sur onze « Principes ». Ilest important de mentionner que ces principesne concernent pas les risques particuliers à gé-rer mais a�ectent la façon de les gérer. Les ques-tions telles que « Quel est le niveau de risqueacceptable ? » relèvent de l’« Établissement ducontexte » de chaque processus de Managementdu risque.Par exemple, la norme érige en principe que « leManagement des risques doit créer de la va-leur ». Cette phrase ne doit pas être interpré-tée d’un point de vue �nancier. Elle exprime quel’ensemble des activités de gestion des risquesmises en place doivent contribuer e�cacementà l’atteinte des objectifs de l’organisme a�n demaîtriser les e�ets de l’incertitude. Ce principeinduit notamment les activités d’évaluation desmoyens du processus de Management des risquespar leCadre organisationnel et l’évaluation de l’ef-�cacité de l’utilisation de ces moyens par le pro-cessus de Management des risques lui-même. Parexemple, elle pourrait conduire à évaluer l’e�ca-cité réelle d’une réglementation avant de la pro-mulguer. Des techniques comme l’analyse coût-béné�ces pourraient être utilisées comme outild’évaluation.Un second principe stipule que « le Manage-ment des risques traite explicitement de

l’incertitude ». Cette incertitude concerne parexemple les connaissances sur les sources durisque. Les modèles et outils d’analyse doiventdonc prendre en compte cette méconnaissance.L’acceptation de l’incertitude induit égalementl’aspect itératif du processus de Managementdu risque a�n d’intégrer les nouvelles connais-sances disponibles. L’incertitude a�ecte aussi lesmoyens utilisés pour gérer le risque, comme ceuxconcernant son analyse et son traitement (parexemple l’e�cacité des barrières de protection).L’impact de l’incertitude sur les usages de cesmoyens doit être explicité.

Le principe qui énonce que « le Managementdu risque doit intégrer les facteurs humainset culturels » est par exemple pris en comptedans la tâche « Mandat et engagement » duCadre organisationnel. En e�et, elle requiert des’assurer de la disponibilité des ressources hu-maines adéquates. Dans le processus de Mana-gement des risques, ce principe impacte, entreautres, la mise en œuvre de la tâche d’« Établis-sement du contexte ». Par exemple, celle-ci doitidenti�er les critères d’appréciation des risquesadoptés par les parties prenantes.

L’explicitation des principes qui régissent le Ma-nagement des risques est essentielle. En e�et,ces principes vont induire la façon de gouver-ner toutes les activités. L’organisme devrait doncau préalable stipuler son degré d’adhésion à cesprincipes.

Gilles Motet L’ISO 31000 en 10 questions Page 6

Que

stio

n 710

À qui cette normeest-elle destinée ?

De nombreuses personnes interviennentdans les diverses activités de Manage-ment des risques. La norme ISO 31000

s’adresse à chacune d’elles qui en tirera des pro-�ts di�érents.Les personnes en charge de la mise enplace des activités de Management desrisques au sein des organismes trouverontdans cette norme un cadre précisant les ques-tions à aborder et proposant une structure pourles traiter : principes, cadre organisationnel, pro-cessus de Management. Cette norme s’adressedonc en premier lieu aux directions sécurité dessociétés mais aussi aux autorités de tutelle (mi-nistères, agences, etc.).Les personnes dé�nissant des pratiques(modèles, techniques, outils, guides, etc.) pour-ront positionner celles-ci dans un canevas géné-rique. Les objectifs auxquels répondent ces pra-tiques seront ainsi précisés, limitant clairementles contributions à attendre de celles-ci. Ces per-sonnes identi�eront en outre plus précisémentles activités nécessitant l’élaboration de nou-veaux moyens et les besoins auxquels ils doiventrépondre. Cette norme s’adresse donc égale-

ment aux rédacteurs de normes sectorielles, auxdéveloppeurs de bonnes pratiques (guides ouprocédures) ou aux créateurs de techniques oud’outils.

Les personnes chargées de gérer desrisques particuliers disposeront d’un cadrecommun permettant de situer leurs activités etles pratiques qu’elles mettent en œuvre. Ellesconnaîtront ainsi mieux les rôles et responsabi-lités de chacun dans la réalisation des multiplestâches indispensables à une gestion e�cace desrisques.

Les personnes chargées d’évaluer les pra-tiques des organismes en matière de Mana-gement des risques comme les autorités decontrôle (organismes de certi�cation, d’autori-sation d’exploiter, etc.), disposeront d’une struc-ture générique permettant de situer les pra-tiques e�ectives.

L’ISO 31000 fournit donc aux divers interve-nants dans la gestion des risques, une démarchestructurée qui peut être partagée, tout en per-mettant de préciser les missions de chacun surl’ensemble de ces activités.

Gilles Motet L’ISO 31000 en 10 questions Page 7

Question8

10

Par qui et commentcette norme a-t-elleété écrite ?

La sphère des rédacteurs de normes est sou-vent perçue comme un milieu regroupantdes vieux messieurs se chamaillant sur

la place d’une virgule car d’accord sur l’essen-tiel. Cette vision est erronée dans le cas généralet tout particulièrement fausse concernant legroupe des experts ayant élaboré l’ISO 31000.Tout d’abord, la rédaction de cette norme a étéun choc de cultures entre des personnes is-sues de secteurs très variés : sécurité des ins-tallations industrielles et des produits, �nance,gestion de projet, santé publique, organisationsde défense de l’environnement, etc. Les discus-sions n’ont pas porté sur des désaccords syn-taxiques mais sur des visions diverses de cequ’est le risque et sur la façon de l’aborder.Par exemple, un terme comme l’« appétit durisque » faisait frémir les uns alors qu’il consti-tuait un mot commun pour d’autres. En e�et, unsens positif est donné au risque dans le secteur�nancier, alors qu’une connotation négative estsouvent adoptée dans le domaine de la sécurité.Le terme « attitude face au risque » a permisd’y intégrer la notion d’« aversion au risque ».Les points de vue sur le risque et sur sa gestion

sont éminemment culturels et ceci même dansun secteur donné. Un latin n’a pas la même ap-proche qu’un anglo-saxon ou qu’un asiatique.Ces cultures se sont également confrontées pourdonner lieu à un texte re�étant cette diversité.Le résultat a été obtenu dans un délai relative-ment bref. Les travaux lancés en juin 2004 ontété conclus �n 2008. Cette norme n’est assuré-ment pas le fruit de compromissions maiscelui d’un consensus. Les di�érents secteursindustriels, publics, associatifs, des divers paysont contribué à enrichir son contenu tant auniveau national (via l’AFNOR) qu’international(à l’ISO).

Le résultat de ce travail aura, je l’espère, commepremier e�et de permettre à chacun de re-questionner son point de vue sur le conceptde risque et sur ses approches pour l’aborder,et d’améliorer in �ne ses pratiques de Manage-ment du risque.

À titre personnel, il me reste à l’esprit les nom-breux sujets débattus, les arguments avancés etles accords qui ont conduit à la rédaction de lanorme.

Gilles Motet L’ISO 31000 en 10 questions Page 8

Que

stio

n 910

Quels travauxfuturs ?

Cette nouvelle norme va tout d’abord né-cessiter d’informer et de former nonseulement sur son contenu mais aussi

sur la vision qu’elle sous-tend. Nous avons parexemple mentionné la nouvelle dé�nition durisque à la question 3. L’importance de l’« Éta-blissement du contexte » dans le processus deManagement des risques, l’introduction du Cadreorganisationnel et l’expression de Principes ré-gissant l’ensemble, devront être expliquées a�nde faire comprendre leurs intérêts.Comme mentionné en réponse à la question 1,l’ISO 31000 propose une approche générale duManagement des risques alors que des pratiquesexistent déjà. L’objet de cette nouvelle normen’est pas de balayer les normes sectorielles, niles documents métiers qui proposent ces pra-tiques. L’étude de leur intégration dans cette« norme chapeau » permettra de positionnerles pratiques existantes et, éventuellement,de mettre en valeur les aspects non cou-verts par celles-ci a�n d’y porter remède.De nombreux secteurs disposent de documentspropres demandant l’usage de moyens géné-ralement proches voire souvent similaires. Lacréation de l’ISO 31000 peut être une oppor-tunité d’un rapprochement de ces secteursa�n de disposer d’un vocabulaire commun et

d’harmoniser les démarches en tirant pro-�t des expériences de chacun.En plus d’aspects classiques, comme ceux duprocessus de Management des risques, qu’ellecomplète (tâche « Établissement du contexte »),l’ISO 31000 introduit ou du moins formalisede nouvelles questions essentiellement à tra-vers ses Principes et son Cadre organisationnel.Les pratiques associées restent souvent à dé�-nir. De nouveau, de nombreux travaux inter-sectoriels pourraient être conduits a�n de ré-duire les coûts de ces études et de partagerles expériences. Cela pourrait être le cas parexemple de l’évaluation des performances dedivers moyens de modélisation et d’analyse del’incertitude.L’idée d’une boucle d’amélioration continuesous-tendue par le Cadre organisationnel pour-rait conduire à se questionner sur la dé�nitionde niveaux de maturité des organismes de-vant gérer des risques et sur les moyens deprogrès permettant de passer d’un niveau àl’autre. Cet accès progressif à un haut niveaude maîtrise des risques serait assurément utileaux organismes, et en particulier aux PME, etfaciliterait l’appréciation des parties prenantes(administration, ONG, etc.). Cette question estcependant très sensible.

Gilles Motet L’ISO 31000 en 10 questions Page 9

Question10

10

L’ISO 31000 : uneévolution ou unerévolution ?

L’ ISO 31000 sera certainement perçue toutd’abord comme une évolution dans le Mana-gement des risques en s’attachant aux élé-

ments méthodologiques qu’elle propose : le proces-sus du Cadre organisationnel et le processus de Ma-nagement du risque. Du recul sera sans doute né-cessaire pour assimiler les remises en cause qu’ellesous-tend. Essayons d’en anticiper quelques-unes.La nouvelle norme dé�nit le risque comme l’« e�etde l’incertitude sur l’atteinte des objectifs ». Nousavons mis en valeur à la question 3, l’évolution duconcept de risque et introduit son impact sur les ap-proches de Management du risque. Cette nouvelledé�nition va déplacer les débats sur le risque versla question fondamentale : quels sont les objec-tifs de l’organisme ou des autres parties pre-nantes ? La formulation explicite de ces objectifsamènera sans doute des débats. En e�et, ces objec-tifs sont multiples et souvent contradictoires. Parexemple, nous voulons des emplois et consommerdes produits manufacturés, mais pas de sites indus-triels. Nous désirons que notre activité soit prochede notre domicile, mais que celle des autres en soitla plus éloignée possible. Des arbitrages devrontêtre e�ectués entre ces di�érents objectifs. Lanorme suggère qu’ils soient explicites et justi�és.Sommes-nous prêts à le faire ? Cette dé�nition ini-tiale des objectifs et l’explicitation des arbitrages de-vraient faciliter les autres activités de Managementdes risques et rendront plus transparentes et mieuxcomprises les décisions.La norme incite à expliciter également les rôles etresponsabilités de chacun dans le Managementdes risques. Ainsi, la tâche d’« Établissement ducontexte » du processus de Management du risquepermet de délimiter la portée des activités suivantesde ce processus. Elle a�rme que la gestion des

risques dépendra tout d’abord des réglementationsmais aussi des parties prenantes externes, de leursattentes, valeurs, cultures, etc. Elle souligne égale-ment que cette gestion des risques dépendra aussidu contexte interne à l’organisme : sa structure, sesnormes et pratiques, ses savoir-faire, mais aussises valeurs. De même, la tâche « Mandat et en-gagement » du Cadre organisationnel dé�nit lesresponsabilités incombant à la direction, dontcelle d’expliciter les objectifs. La tâche « Concep-tion du cadre organisationnel de Management desrisques » doit, par exemple, dé�nir les moyens telsque les processus, méthodes, modèles et outils quiseront utilisés dans les tâches du processus de Mana-gement des risques. Ceci permet de séparer explici-tement les responsabilités de choisir les bonsmoyens (rôle du Cadre organisationnel) et cellesde bien utiliser ces moyens (rôle du processus deManagement des risques).

Le Cadre organisationnel n’est pas un « Systèmede Management » mais une approche pour inté-grer les pratiques du Management du risquedans le Système de Management existant dansl’organisme. Nous avons mentionné que son pro-cessus itératif permet une amélioration continuedu processus de Management des risques. Ce faitrevient à accepter l’imperfection des activitésde ce processus, même s’il met en œuvre lesmeilleures connaissances à un moment donné. L’as-pect perfectible des activités du processus revientimplicitement à accepter l’occurrence d’incidentsou d’accidents qui doivent être sources de progrès.Si cette approche est réaliste, est-elle audible au-jourd’hui ? Quelle révolution implique-t-elle dansles relations entre les parties prenantes de la ges-tion des risques ? Je pense en particulier aux médiaset à la justice.

Gilles Motet L’ISO 31000 en 10 questions Page 10

Reproduction de ce document

Ce document est di�usé selon les termes de la license BY-NC-ND du Creative Commons. Vousêtes libres de reproduire, distribuer et communiquer cette création au public selon les conditionssuivantes :

• Paternité. Vous devez citer le nom de l’auteur original de la manière indiquée par l’auteur del’œuvre ou le titulaire des droits qui vous confère cette autorisation (mais pas d’une manièrequi suggérerait qu’ils vous soutiennent ou approuvent votre utilisation de l’œuvre).

• Pas d’utilisation commerciale. Vous n’avez pas le droit d’utiliser cette création à des �nscommerciales.

• Pas de modi�cation. Vous n’avez pas le droit de modi�er, de transformer ou d’adapter cettecréation.

Vous pouvez télécharger ce document (et d’autres versions des Cahiers de la Sécurité Industrielle) auformat PDF depuis le site web de la FonCSI.

Fondation pour une Culture de Sécurité Industrielle

Fondation de recherche reconnue d’utilité publique

http://www.FonCSI.org/

6 allée Émile Monso – BP 3403831029 Toulouse cedex 4France

Téléphone : +33 (0) 534 32 32 00Twitter : @LaFonCSICourriel : [email protected]

6 allée Émile MonsoZAC du Palays — BP 3403831029 Toulouse cedex 4

www.foncsi.org

ISSN 2100-3874