LES CAHIERS LE A C

DE LA
SCURIT INDUSTRIELLE CU DU S
LA NORME
ISO 31000
10 QUESTIONS
GILLES MOTET
2009-05
L
~ Fondation pour une Culture de Scurit Industrielle (FonCSI) est une Fondation de
Recherche reconnue dutilit publique par dcret en date du 18 avril 2005. Elle a pour
ambitions de :
contribuer lamlioration de la scurit dans les entreprises industrielles de toutes
tailles, de tous secteurs dactivit ;
rechercher, pour une meilleure comprhension mutuelle et en vue de llaboration dun
compromis durable entre les entreprises risques et la socit civile, les conditions et la
pratique dun dbat ouvert prenant en compte les dinrentes dimensions du risque ;
favoriser lacculturation de lensemble des acteurs de la socit aux problmes des
risques et de la scurit.
Pour atteindre ces objectifs, la Fondation favorise le rapprochement entre les chercheurs de
toutes disciplines et les dinrents partenaires autour de la question de la scurit industrielle :
entreprises, collectivits, organisations syndicales, associations. Elle incite galement
dpasser les clivages disciplinaires habituels et favoriser, pour lensemble des questions, les
croisements entre les sciences de lingnieur et les sciences humaines et sociales.
diteur : Institut pour une Culture de Scurit Industrielle
Association de loi 1901
http://www.icsi-eu.org/
Fondation pour une Culture de Scurit Industrielle
Fondation de Recherche, reconnue dutilit publique
http://www.icsi-eu.org/
6 alle mile Monso BP 34038
31029 Toulouse cedex 4
France
Tlphone : +33 (0) 534 32 32 00
Fax : +33 (0) 534 32 32 01
Courriel : contact@icsi-eu.org
iv
Avant-propos
L
~ socit se trouve face deux objectifs qui semblent a priori contradictoires : dvelopper linnovation
(nouvelles technologies, dmarches et organisations, nouveaux produits, procds et services, etc.) qui est
source intrinsque de risques, et garantir un haut niveau de scurit aux citoyens. Pour rconcilier ces objectifs, les
risques doivent tre matriss et les justincations de cette matrise fournies. De nombreux documents sectoriels
proposent des moyens rpondant ces exigences. La nouvelle norme ISO 31000 fournit un cadre gnral au
Management du risque qui englobe la problmatique de la scurit et linscrit au sein des multiples proccupations
des organismes et des autres parties prenantes. Elle propose une nouvelle dnnition du risque ; elle amliore le
processus de Management du risque ; elle favorise lintgration du Management du risque dans le systme de
Management de lorganisme ; elle introduit des principes qui pilotent les choix des activits de Management
du risque. Ces apports permettent daborder de faon cohrente et explicite de nombreux aspects interfrant
gnralement de faon anarchique et implicite dans les activits de Management du risque : multiplicit dobjectifs
connictuels, distribution des responsabilits, valuation de lemcacit des moyens et de leurs utilisations, etc.
Ce document fournit un clairage sur cette norme, abordant ses origines et ses apports. Il na pas pour ambition den
dtailler le contenu et encore moins den proposer des mises en uvre pratiques.
propos de lauteur
G
i iiis Motet est professeur lInstitut National des Sciences Appliques de Toulouse et chercheur au LATTIS
(LAboratoire Toulousain de Technologie et dIngnierie des Systmes). Sa recherche concerne les principes du
Management du risque et leurs applications la matrise des fautes dans les modles logiciels et les programmes. Il
est co-auteur douvrages parus chez InterEditions, Kluwer et Prentice Hall sur la Sret de fonctionnement des
systmes informatiques. Il assure la Direction Scientinque de la Fondation pour une Culture de Scurit Industrielle
et de lInstitut pour une Culture de Scurit Industrielle.
Il a particip aux travaux du groupe valuation des risques de lAFNOR et a reprsent la France dans le groupe
de travail Risk management de lISO en charge de la rdaction de la norme ISO 31000 ( Risk Management -
Principles and guidelines ) et de la rvision du Guide 73 de lISO ( Risk Management - Vocabulary ). Il est
lorigine du Master System Engineering de lINSA de Toulouse et du Mastre Spcialis Risk Engineering
co-accrdit par lINSA et lINP de Toulouse en collaboration troite avec lICSI (cf. le Ple des Mastres en
Management des risques).
Pour tout commentaire ou remarque permettant damliorer ce document, merci denvoyer un courriel
cahiers@icsi-eu.org.
v
vi
Table des matires
Avant-propos v
Q1. Pourquoi une nouvelle norme en Management des risques ? 1
Q2. Quest-ce que lISO 31000 ? 2
Q3. Pourquoi avoir redni la notion de risque ? 3
Q4. Quels changements dans le processus de Management du risque ? 4
Q5. Quest-ce que le Cadre organisationnel ? 5
Q6. Pourquoi riger des principes sur le Management du risque ? 6
Q7. qui cette norme est-elle destine ? 7
Q8. Par qui et comment cette norme a-t-elle t crite ? 8
Q9. Quels travaux futurs ? 9
Q10. LISO 31000 : une volution ou une rvolution ? 10
Principes
Cadre
organisationnel
Processus de
management
Activit affecte
par le risque
Le schma conceptuel de la norme ISO 31000.
vii
Q
u
e
s
t
i
o
n
1
10
Pourquoi une
nouvelle norme en
Management des
risques ?
I
i existe de nombreuses normes ou docu-
ments mtier concernant le Management
des risques et sa dclinaison dans des do-
maines tels que la scurit. Cependant, ces
normes sont sectorielles (avionique, ferroviaire,
nuclaire, procds, pharmacie, etc.). De plus,
elles concernent souvent des points de vue limi-
ts comme des tapes particulires du dvelop-
pement de projets (par exemple la conception).
Dautres documents traitent de risques anec-
tant des technologies spcinques (par exemple
le logiciel ou llectronique). Dautres, ennn,
rpondent des sources de dangers cibles (par
exemple, les explosions ou les rayonnements
lectromagntiques).
Or, la gestion des risques de systmes socio-
techniques complexes comme une installa-
tion industrielle ou un dveloppement de pro-
jet industriel, ncessite daborder la question
des risques dun point de vue global. Ainsi,
mme si chaque domaine a dvelopp des ter-
minologies et des techniques dusage partiel
et spcinque, il existe des problmatiques qui
requirent une approche globale et gnrique.
Par ailleurs, on constate que les ingnieurs
ont parfois une perte de repres lorsquils ap-
pliquent les standards sectoriels. Ils peinent
les positionner dans une approche de Manage-
ment des risques globale lorganisme et ainsi
bien comprendre les apports mais aussi les
limites de lapplication de ces documents.
La nouvelle norme ISO 31000 a tir pront
des changes entre des experts internatio-
naux issus dorganismes trs varis (indus-
triels, administrations, ONG, etc.) relevant de
multiples secteurs dactivits. Elle favorise la
prise en compte des risques par lensemble
de lorganisme et fournit aux parties prenantes
lassurance dune meilleure matrise de ces
risques.
LISO 31000 est une norme chapeau per-
mettant dtablir un dialogue entre les sec-
teurs dactivit en leur proposant un vocabu-
laire et un cadre commun. Cette norme faci-
litera galement le dveloppement des for-
mations dans le domaine de la gestion des
risques qui tait jusqualors rendu dimcile par
limpossibilit de multiplier les prsentations de
pratiques sectorielles.
Gilles Motet LISO 31000 en 10 Questions Page 1
Q
u
e
s
t
i
o
n
2
10
Quest-ce que
lISO 31000 ?
L
I SO 31000 propose une approche gn-
rique du Management des risques mais
ne prconise pas de moyens opration-
nels de mise en uvre. Cette norme suggre
de bonnes questions pour aborder le sujet
complexe de la gestion des risques et non
de bonnes pratiques pour y rpondre. Les
moyens de mise en uvre du Management
des risques sont dvelopps dans les documents
mtiers sectoriels qui ne sont donc pas rendus
obsoltes par cette norme. Ils y trouvent au
contraire un vocabulaire et un cadre global pour
les situer.
LISO 31000 ne concerne pas exclusivement les
grands groupes industriels ou nnanciers ou les
grandes administrations publiques, mais tout
type dorganisme, de tous secteurs et de
toutes tailles (entreprise, gouvernement, ONG,
individu, etc.). Ses principes stipulent dailleurs
que sa mise en uvre doit tre adapte aux
caractristiques de lorganisme (taille, type de
risque trait, etc.). Elle na donc pas pour but
duniformiser les pratiques, mais dharmoniser
les dmarches en termes de principes et de
processus.
LISO 31000 fournit tout dabord une redni-
tion du terme de risque qui permet de prendre
en compte explicitement de nombreuses probl-
matiques rcentes (cf. question 3).
Le processus de Management des risques quelle
propose, complte ceux existants en y intgrant
par exemple la prise en compte explicite du
contexte dans lequel le risque est tudi (cf.
question 4).
La norme introduit un second processus appel
Cadre organisationnel structurant les activi-
ts des organismes pour mettre en place et
amliorer continment le processus de Ma-
nagement des risques (cf. question 5).
Ennn, elle base lensemble de ces activits
sur des principes gnraux qui doivent rgir
la structure de ces processus et leur mise en
uvre (cf. question 6).
LISO 31000 est structure en 4 grandes sections :
la premire dnnit le vocabulaire employ dans
la norme, la seconde tablit les principes, la
troisime dcrit le cadre organisationnel et la
quatrime expose le processus de Management
des risques. Une vue schmatique en est fournie
la page vii.
Gilles Motet LISO 31000 en 10 Questions Page 2
Q
u
e
s
t
i
o
n
3
10
Pourquoi avoir
redni la notion de
risque ?
D
ui~N1 de trs nombreuses annes, le
concept de risque a t assimil celui
de danger. Sa matrise tait du ressort des
techniciens qui comprenaient les mcanismes, par
exemple physico-chimiques, pouvant entrainer des
accidents. Loccurrence des dommages tait pr-
venue par des traitements la source ayant pour
but de rduire ce danger.
Cette approche conduisait implicitement ligno-
rance totale ou partielle des enets positifs de lac-
tivit source du risque. Pour tenir compte de ces
apports tout en prvenant les dommages poten-
tiels, la dnnition du terme risque sest ensuite
dplace vers celle dvnement probable ayant
des consquences. La prsence dune source de
risque tait rendue acceptable au regard des trs
improbables dommages quelle pouvait engendrer
et des contributions positives quelle fournissait
assurment. La gestion des activits mdicales, des
produits pharmaceutiques ou encore des moyens de
transports ou des installations industrielles, relve
actuellement de cette approche. Elle donne lieu
ltablissement de modles danalyse probabiliste
des enets mis au point par des ingnieurs et lint-
gration de barrires pour rduire la vraisemblance
et limportance des enets indsirs potentiels.
La norme ISO 31000 dnnit le risque comme
leet de lincertitude sur latteinte des objec-
tifs. Cette dnnition dplace de nouveau la question
du risque en imposant de spciner les objectifs dune
activit dont latteinte pourrait tre entrave par
loccurrence de circonstances incertaines. Am-
liorer la sant des cots raisonnables dans un
contexte donn est un exemple introduisant trois
objectifs : amliorer la sant, en respectant une en-
veloppe budgtaire, sans bouleverser le contexte
social. Cette multiplicit des objectifs ncessite que
les dcideurs fassent des arbitrages. Ces derniers
devront tre pris en compte par les ingnieurs et
les techniciens proposant des moyens empchant
que les enets de lincertitude nentravent le droule-
ment des activits mises en place pour atteindre les
objectifs.
Cette nouvelle dnnition ne remet pas en cause les
problmatiques de traitement des dangers ou dana-
lyse des vnements dommageables. Elle les com-
plte en formalisant limportance du rle des d-
cideurs, quil sagisse de personnes physiques ou
morales (directeurs de sites industriels, lus, auto-
rits de contrle, ingnieurs, etc.) ou plus gnra-
lement de la socit. Elle permet tout dabord de
signiner un tat de fait, savoir que les objectifs
sont multiples, quils concernent non seulement la
scurit mais aussi des questions conomiques et
politiques, personnelles ou socitales. Les noncer
vite de parasiter les activits de Management des
risques par des non-dits et, en formulant explici-
tement les arbitrages, rend plus transparentes les
nombreuses dcisions prises durant ces activits.
Gilles Motet LISO 31000 en 10 Questions Page 3
Q
u
e
s
t
i
o
n
4
10
Quels changements
dans le processus de
Management du
risque ?
L
i processus gnrique de Management
des risques propos dans lISO 31000
reprend les activits classiques dappr-
ciation des risques (identincation, analyse,
valuation) et de leur traitement. La norme les
complte par 3 autres activits.
Ltablissement du contexte oblige dnnir
en amont de ces activits, les paramtres fonda-
mentaux caractrisant lenvironnement dans
lequel senectue le Management du risque et
les valeurs de ces paramtres. Lenvironne-
ment est tout dabord externe lorganisme.
Des seuils stipuls par une rglementation ou
des critres dapprciation des risques issus des
parties prenantes, sont deux exemples de para-
mtres. Lenvironnement du Management du
risque inclut galement lorganisme lui-mme
(la norme parle denvironnement interne). Les
pratiques propres lorganisme en sont des
exemples de paramtres. La norme propose
dnumrer ces paramtres et de sparer leur
dnnition de leurs utilisations dans les autres
tches du processus, clarinant ainsi les din-
rentes responsabilits des intervenants dans
le processus de Management du risque. Par
exemple, la matrice de risque constitue un
paramtre utilis lors de lvaluation du risque.
Ses valeurs ne doivent pas tre dnnies par
les personnes enectuant cette valuation. En
enet, elles caractrisent, entre autres, limpor-
tance relative entre la probabilit doccurrence
dvnements dommageables et la gravit des
dommages. Il sagit donc dune donne relative
au contexte dans lequel senectue lvalua-
tion des risques. Dautres valeurs de cette
matrice, voire un autre moyen dvaluation,
sont utiliss dans dautres contextes.
La norme met galement en valeur la tche
de Communication et concertation et son
couplage avec lensemble des autres tches
du processus. Ces changes concernent aussi
bien les parties prenantes externes que celles
internes lorganisme qui gre le risque. La
norme mentionne en particulier que cette tche
facilite la comprhension du contexte et lint-
gration de ses changements par les activits
de Management des risques.
Elle distingue ennn la tche intitule Sur-
veillance et revue ayant par exemple pour
but de r-valuer le droulement des activi-
ts de Management des risques. Cette tche
peut ainsi mesurer lemcacit de lemploi des
moyens mis en uvre ann damliorer leurs
utilisations futures.
Gilles Motet LISO 31000 en 10 Questions Page 4
Q
u
e
s
t
i
o
n
5
10
Quest-ce que le Cadre
organisationnel ?
L
~ gestion des risques est frquemment
mise en uvre par plusieurs processus
de Management des risques, qui sont
drouls en parallle ann de rpondre divers
objectifs tels que la prvention des vnements
accidentels, dune part, et la prvention des
dommages dus la malveillance, dautre part.
Or ces processus peuvent prsenter des enjeux
conictuels quil convient de grer non pas a
posteriori mais a priori. Par exemple, la mise
en uvre de la tche de Communication et
concertation , pour rpondre des besoins de
prvention des accidents (cestdire scurit
au sens safety) conduira dinuser largement
des informations sur les dangers, leurs enets
potentiels et les moyens mis en uvre pour
les matriser. Cette communication est par-
fois obligatoire, comme pour les rsums
non-techniques des tudes de dangers. Une
telle communication peut aller lencontre
des objectifs de prvention des malveillances
(cestdire scurit au sens security). Or
une installation industrielle, par exemple, doit
atteindre simultanment ces deux objectifs
(safety et security).
Le Cadre organisationnel ( Framework en
anglais) a pour but de grer ces connits et, de
faon plus large, dintgrer les activits de
Management du risque dans celles de lor-
ganisme. En enet, la gestion des risques ne
doit pas tre traite comme une activit auto-
nome, mais au contraire associe aux autres
activits dont celles oprationnelles. Elle doit
ainsi tre utile ces activits et notamment
contribuer aux dcisions quelles ncessitent.
Ce Cadre organisationnel est lui-mme d-
nni par un processus qui permet la mise en
place des processus de Management des
risques ainsi que leur amlioration conti-
nue. Le premier aspect concerne par exemple
le choix de moyens emcaces pour raliser
les activits des processus de Management
des risques. Le second (amlioration conti-
nue) ncessite la mise en place de dispositifs
dvaluation de ces moyens et leur adaptation
permanente. Le processus du Cadre organi-
sationnel est constitu dun cycle de type
PDCA (Plan, Do, Check and Act) bien connu
en Qualit. Il est prcd par une tche im-
posant de dnnir, entre autres, les objectifs
et les indicateurs de performance du Ma-
nagement du risque. Intitule Mandat et
engagement , cette tche marque limpor-
tance du leadership dans le Management
du risque.
Le Cadre organisationnel regroupe des ac-
tivits permettant donc de mettre en place
une approche proactive du Management
des risques intgrant les connaissances nou-
velles (donnes, modles, techniques, pratiques,
etc.), par une valuation continue de lemcacit
des moyens utiliss et par une veille sur les
moyens nouveaux disponibles.
Gilles Motet LISO 31000 en 10 Questions Page 5
Q
u
e
s
t
i
o
n
6
10
Pourquoi riger des
principes sur le
Management du
risque ?
L
is i ii~N1~1i oNs des processus de Ma-
nagement du risque sont issues des acti-
vits du Cadre organisationel. La norme
ISO 31000 base la ralisation de ce cadre et donc des
processus sur onze Principes . Il est important
de mentionner que ces principes ne concernent pas
les risques particuliers grer mais anectent la
faon de les grer. Les questions telles que Quel
est le niveau de risque acceptable ? relvent de
l tablissement du contexte de chaque proces-
sus de Management du risque.
Par exemple, la norme rige en principe que le
Management des risques doit crer de la va-
leur . Cette phrase ne doit pas tre interprte
dun point de vue nnancier. Elle exprime que len-
semble des activits de gestion des risques mises en
place doivent contribuer emcacement latteinte
des objectifs de lorganisme ann de matriser les ef-
fets de lincertitude. Ce principe induit notamment
les activits dvaluation des moyens du processus
de Management des risques par le Cadre organisa-
tionnel et lvaluation de lemcacit de lutilisation
de ces moyens par le processus de Management
des risques lui-mme. Par exemple, elle pourrait
conduire valuer lemcacit relle dune rgle-
mentation avant de la promulguer. Des techniques
comme lAnalyse Cot-Bnnces pourraient tre
utilises comme outil dvaluation.
Un second principe stipule que le Management
des risques traite explicitement de lincerti-
tude . Cette incertitude concerne par exemple
les connaissances sur les sources du risque. Les
modles et outils danalyse doivent donc prendre
en compte cette mconnaissance. Lacceptation de
lincertitude induit galement laspect itratif du
processus de Management du risque ann dintgrer
les nouvelles connaissances disponibles. Lincerti-
tude anecte aussi les moyens utiliss pour grer le
risque, comme ceux concernant son analyse et son
traitement (par exemple lemcacit des barrires de
protection). Limpact de lincertitude sur les usages
de ces moyens doit tre explicit.
Le principe qui nonce que le Management
du risque doit intgrer les facteurs humains et
culturels est par exemple pris en compte dans
la tche Mandat et engagement du Cadre
organisationnel. En enet, elle requiert de sassu-
rer de la disponibilit des ressources humaines
adquates. Dans le processus de Management
des risques, ce principe impacte, entre autres, la
mise en uvre de la tche d tablissement du
contexte . Par exemple, celle-ci doit identiner les
critres dapprciation des risques adopts par les
parties prenantes.
Lexplicitation des principes qui rgissent le Ma-
nagement des risques est essentielle. En enet, ces
principes vont induire la faon de gouverner toutes
les activits. Lorganisme devrait donc au pralable
stipuler son degr dadhsion ces principes.
Gilles Motet LISO 31000 en 10 Questions Page 6
Q
u
e
s
t
i
o
n
7
10
qui cette norme
est-elle destine ?
D
i nombreuses personnes interviennent
dans les diverses activits de Manage-
ment des risques. La norme ISO 31000
sadresse chacune delles qui en tirera des
pronts dinrents.
Les personnes en charge de la mise en
place des activits de Management des
risques au sein des organismes trouveront
dans cette norme un cadre prcisant les ques-
tions aborder et proposant une structure
pour les traiter : principes, cadre organisation-
nel, processus de Management. Cette norme
sadresse donc en premier lieu aux directions
scurit des socits mais aussi aux autorits
de tutelle (ministres, agences, etc.).
Les personnes dnissant des pratiques
(modles, techniques, outils, guides, etc.) pour-
ront positionner celles-ci dans un canevas
gnrique. Les objectifs auxquels rpondent
ces pratiques seront ainsi prciss, limitant clai-
rement les contributions attendre de celles-ci.
Ces personnes identineront en outre plus pr-
cisment les activits ncessitant llaboration
de nouveaux moyens et les besoins auxquels
ils doivent rpondre. Cette norme sadresse
donc galement aux rdacteurs de normes
sectorielles, aux dveloppeurs de bonnes pra-
tiques (guides ou procdures) ou aux crateurs
de techniques ou doutils.
Les personnes charges de grer des
risques particuliers disposeront dun cadre
commun permettant de situer leurs activits
et les pratiques quelles mettent en uvre.
Elles connaitront ainsi mieux les rles et res-
ponsabilits de chacun dans la ralisation des
multiples tches indispensables une gestion
emcace des risques.
Les personnes charges dvaluer les pra-
tiques des organismes en matire de Mana-
gement des risques comme les autorits de
contrle (organismes de certincation, dauto-
risation dexploiter, etc.), disposeront dune
structure gnrique permettant de situer les
pratiques enectives.
LISO 31000 fournit donc aux divers inter-
venants dans la gestion des risques, une d-
marche structure qui peut tre partage, tout
en permettant de prciser les missions de cha-
cun sur lensemble de ces activits.
Gilles Motet LISO 31000 en 10 Questions Page 7
Q
u
e
s
t
i
o
n
8
10
Par qui et comment
cette norme a-t-elle
t crite ?
L
~ sphre des rdacteurs de normes est
souvent perue comme un milieu re-
groupant des vieux messieurs se cha-
maillant sur la place dune virgule car daccord
sur lessentiel. Cette vision est errone dans
le cas gnral et tout particulirement fausse
concernant le groupe des experts ayant labor
lISO 31000.
Tout dabord, la rdaction de cette norme a
t un choc de cultures entre des personnes
issues de secteurs trs varis : scurit des ins-
tallations industrielles et des produits, nnance,
gestion de projet, sant publique, organisa-
tions de dfense de lenvironnement, etc. Les
discussions nont pas port sur des dsaccords
syntaxiques mais sur des visions diverses de
ce quest le risque et sur la faon de labor-
der. Par exemple, un terme comme l apptit
du risque faisait frmir les uns alors quil
constituait un mot commun pour dautres.
En enet, un sens positif est donn au risque
dans le secteur nnancier, alors quune conno-
tation ngative est souvent adopte dans le
domaine de la scurit. Le terme attitude
face au risque a permis dy intgrer la notion
d aversion au risque .
Les points de vue sur le risque et sur sa gestion
sont minemment culturels et ceci mme dans
un secteur donn. Un latin na pas la mme ap-
proche quun anglo-saxon ou quun asiatique.
Ces cultures se sont galement confrontes
pour donner lieu un texte rentant cette
diversit. Le rsultat a t obtenu dans un
dlai relativement bref. Les travaux lancs en
juin 2004 ont t conclus nn 2008. Cette norme
nest assurment pas le fruit de compromis-
sions mais celui dun consensus. Les din-
rents secteurs industriels, publics, associatifs,
des divers pays ont contribu enrichir son
contenu tant au niveau national (via lAFNOR)
quinternational ( lISO).
Le rsultat de ce travail aura, je lespre,
comme premier enet de permettre chacun
de requestionner son point de vue sur le
concept de risque et sur ses approches pour
laborder, et damliorer in ne ses pratiques
de Management du risque.
titre personnel, il me reste lesprit les nom-
breux sujets dbattus, les arguments avancs
et les accords qui ont conduit la rdaction de
la norme.
Gilles Motet LISO 31000 en 10 Questions Page 8
Q
u
e
s
t
i
o
n
9
10
Quels travaux
futurs ?
C
i11i nouvelle norme va tout dabord
ncessiter dinformer et de former
non seulement sur son contenu mais
aussi sur la vision quelle sous-tend. Nous
avons par exemple mentionn la nouvelle dn-
nition du risque la question 3. Limportance
de l tablissement du contexte dans le
processus de Management des risques, lintro-
duction du Cadre organisationnel et lexpres-
sion de Principes rgissant lensemble, devront
tre expliques ann de faire comprendre leurs
intrts.
Comme mentionn en rponse la question 1,
lISO 31000 propose une approche gnrale du
Management des risques alors que des pra-
tiques existent dj. Lobjet de cette nouvelle
norme nest pas de balayer les normes secto-
rielles, ni les documents mtiers qui proposent
ces pratiques. Ltude de leur intgration dans
cette norme chapeau permettra de po-
sitionner les pratiques existantes et, ven-
tuellement, de mettre en valeur les aspects
non couverts par celles-ci ann dy porter re-
mde.
De nombreux secteurs disposent de documents
propres demandant lusage de moyens gnra-
lement proches voire souvent similaires. La
cration de lISO 31000 peut tre une oppor-
tunit dun rapprochement de ces secteurs
ann de disposer dun vocabulaire commun et
dharmoniser les dmarches en tirant pro-
t des expriences de chacun.
En plus daspects classiques, comme ceux du
processus de Management des risques, quelle
complte (tche tablissement du contexte ),
lISO 31000 introduit ou du moins formalise
de nouvelles questions essentiellement tra-
vers ses Principes et son Cadre organisation-
nel. Les pratiques associes restent souvent
dnnir. De nouveau, de nombreux travaux
inter-sectoriels pourraient tre conduits ann de
rduire les cots de ces tudes et de partager
les expriences. Cela pourrait tre le cas par
exemple de lvaluation des performances de
divers moyens de modlisation et danalyse de
lincertitude.
Lide dune boucle damlioration continue
sous-tendue par le Cadre organisationnel
pourrait conduire se questionner sur la d-
nition de niveaux de maturit des orga-
nismes devant grer des risques et sur les
moyens de progrs permettant de passer
dun niveau lautre. Cet accs progressif
un haut niveau de matrise des risques serait
assurment utile aux organismes, et en particu-
lier aux PME, et faciliterait lapprciation des
parties prenantes (administration, ONG, etc.).
Cette question est cependant trs sensible.
Gilles Motet LISO 31000 en 10 Questions Page 9
Q
u
e
s
t
i
o
n
10
10
LISO 31000 : une
volution ou une
rvolution ?
L
I SO 31000 sera certainement perue tout
dabord comme une volution dans le Ma-
nagement des risques en sattachant aux
lments mthodologiques quelle propose : le pro-
cessus du Cadre organisationnel et le processus
de Management du risque. Du recul sera sans
doute ncessaire pour assimiler les remises en
cause quelle sous-tend. Essayons den anticiper
quelques-unes.
La nouvelle norme dnnit le risque comme l enet
de lincertitude sur latteinte des objectifs . Nous
avons mis en valeur la question 3, lvolution du
concept de risque et introduit son impact sur les
approches de Management du risque. Cette nou-
velle dnnition va dplacer les dbats sur le risque
vers la question fondamentale : quels sont les
objectifs de lorganisme ou des autres parties
prenantes ? La formulation explicite de ces objec-
tifs amnera sans doute des dbats. En enet, ces
objectifs sont multiples et souvent contradictoires.
Par exemple, nous voulons des emplois et consom-
mer des produits manufacturs, mais pas de sites
industriels. Nous dsirons que notre activit soit
proche de notre domicile, mais que celle des autres
en soit la plus loigne possible. Des arbitrages
devront tre eectus entre ces dirents ob-
jectifs. La norme suggre quils soient explicites
et justins. Sommes-nous prts le faire ? Cette
dnnition initiale des objectifs et lexplicitation
des arbitrages devraient faciliter les autres activi-
ts de Management des risques et rendront plus
transparentes et mieux comprises les dcisions.
La norme incite expliciter galement les rles et
responsabilits de chacun dans le Management
des risques. Ainsi, la tche d tablissement du
contexte du processus de Management du risque
permet de dlimiter la porte des activits sui-
vantes de ce processus. Elle amrme que la gestion
des risques dpendra tout dabord des rglemen-
tations mais aussi des parties prenantes externes,
de leurs attentes, valeurs, cultures, etc. Elle sou-
ligne galement que cette gestion des risques d-
pendra aussi du contexte interne lorganisme :
sa structure, ses normes et pratiques, ses savoir-
faire, mais aussi ses valeurs. De mme, la tche
Mandat et engagement du Cadre organisation-
nel dnnit les responsabilits incombant la
direction, dont celle dexpliciter les objectifs.
La tche Conception du cadre organisationnel
de Management des risques doit, par exemple,
dnnir les moyens tels que les processus, mthodes,
modles et outils qui seront utiliss dans les tches
du processus de Management des risques. Ceci
permet de sparer explicitement les responsabi-
lits de choisir les bons moyens (rle du Cadre
organisationnel) et celles de bien utiliser ces
moyens (rle du processus de Management des
risques).
Le Cadre organisationnel nest pas un Systme
de Management mais une approche pour in-
tgrer les pratiques du Management du risque
dans le Systme de Management existant dans
lorganisme. Nous avons mentionn que son pro-
cessus itratif permet une amlioration continue
du processus de Management des risques. Ce
fait revient accepter limperfection des activi-
ts de ce processus, mme sil met en uvre les
meilleures connaissances un moment donn. Las-
pect perfectible des activits du processus revient
implicitement accepter loccurrence dincidents
ou daccidents qui doivent tre sources de pro-
grs. Si cette approche est raliste, est-elle audible
aujourdhui ? Quelle rvolution implique-t-elle
dans les relations entre les parties prenantes de la
gestion des risques ? Je pense en particulier aux
mdias et la justice.
Gilles Motet LISO 31000 en 10 Questions Page 10
Reproduction de ce document
Ce document est dinus selon les termes de la license BY-NC-ND du Creative Commons. Vous tes libres de reproduire,
distribuer et communiquer cette cration au public selon les conditions suivantes :
Paternit. Vous devez citer le nom de lauteur original de la manire indique par lauteur de luvre ou le titulaire
des droits qui vous confre cette autorisation (mais pas dune manire qui suggrerait quils vous soutiennent ou
approuvent votre utilisation de luvre).
Pas dutilisation commerciale. Vous navez pas le droit dutiliser cette cration des nns commerciales.
Pas de modication. Vous navez pas le droit de modiner, de transformer ou dadapter cette cration.
Vous pouvez tlcharger ce document (et dautres versions des Cahiers de la Scurit Industrielle) au format PDF depuis le site
web de la FonCSI.
Fondation pour une Culture de Scurit Industrielle
Fondation de Recherche reconnue dutilit publique
http://www.icsi-eu.org/
6 alle mile Monso BP 34038
31029 Toulouse cedex 4
France
Tlphone : +33 (0) 534 32 32 00
Fax : +33 (0) 534 32 32 01
Courriel : contact@icsi-eu.org
6 AL L E EMI L E MONSO
ZAC DU PALAYS - BP 34038
31029 TOULOUSE CEDEX 4
w w w. i c s i - e u . o r g
CSI-Rex 9/06/08 18:15 Page 1