Académique Documents
Professionnel Documents
Culture Documents
q
pour les PME
comporte des risques. D’ailleurs,
les données empiriques sur le sujet
indiquent que près de la moitié des
PME sont amenées à déposer leur bilan
avant même de franchir le cap de la
Organisation internationale
de normalisation
Ch. de Blandonnet 8, CP 401
CH -1214 Vernier, Genève, Suisse
Centre du Commerce
International
Palais des Nations,
CH -1211 Genève 10, Suisse
iso.org
© ISO, 2015
Tous droits réservés
ISBN 978-92-67-20645-5
COVER - ISO 31000 Risk Management - A practical guide for SMEs.indd 1-3 2016-04-05 08:15:09
academy
guide pratique pour les PME
À propos de l’auteur
John Lark est le Directeur général de Coherent Advice Inc., cabinet canadien
de prestations de services de management du risque auprès d’organismes du
secteur public et du secteur privé, tant au niveau national qu’international.
M. Lark a plus de 35 ans d’expérience dans le domaine du management, 15 ans
en management du risque et possède une licence et une maîtrise en sciences.
Il a exercé au sein du comité technique chargé du management du risque du
Conseil canadien des normes (CCN), de l’Association canadienne de norma-
lisation (CSA) et de l’ISO (TC 262 et ses groupes de travail). M. Lark exprime
sa vive reconnaissance pour les précieux éclairages généreusement appor-
tés par Grant Purdy et John Fraser sur ISO 31000:2009 et le management du
risque.
À propos du relecteur
Remerciements
L’ISO, l’ITC et l’ONUDI remercient John Lark et Valentin Nikonov pour avoir
mis leur expertise au service de la préparation du présent manuel, ainsi que
l’ISO/TC 262.
Mission de l’ITC
Objectifs de l’ITC
À propos de l’ONUDI
À propos de l’ISO
Nous sommes une organisation non gouvernementale, sans but lucratif, com-
posée de 162 membres qui sont les organismes nationaux de normalisation de
162 pays. Notre Secrétariat central est basé à Genève, en Suisse.
Sommaire Page
Avant-propos................................................................................................. 9
0 Introduction.......................................................................................... 11
1 Objectifs et gouvernance..................................................................... 21
1.1 Objectifs clairs............................................................................... 21
1.2 Repérage et évaluation des dispositions de
gouvernance existantes.................................................................22
2 Mandat et engagement...................................................................... 25
2.1 Définir votre engagement..............................................................25
2.2 Déterminer des objectifs pour la mise en œuvre
d’ISO 31000:2009......................................................................... 27
2.3 Établir des mesures de performance pour le management
du risque.......................................................................................29
2.4 Parties prenantes internes et externes.......................................... 30
2.5 Communiquer au sujet de l’engagement en matière de
management du risque auprès des parties prenantes................... 31
3 Concevoir le cadre organisationnel de management du risque...... 33
3.1 Cadre organisationnel de management du risque.........................33
3.2 Comparer votre approche existante en matière de
management du risque à ISO 31000:2009....................................39
3.3 Principes de management du risque............................................. 40
3.4 Comprendre le contexte tant interne qu’externe de
votre organisme.............................................................................42
3.5 Politique de management du risque..............................................45
3.6 Alignement entre la politique de management du risque
et l’organisme............................................................................... 48
3.7 Attitude face au risque.................................................................. 49
3.8 Critères de risque.......................................................................... 50
4 Mettre en œuvre le management du risque....................................... 55
4.1 Comprendre les aptitudes, la capacité et la culture de
votre organisme en matière de risque...........................................55
4.2 Planifier la transition à ISO 31000:2009........................................ 57
4.3 Mise en œuvre du cadre organisationnel de management
du risque.......................................................................................59
4.4 Le plan de management du risque................................................62
Avant-propos
Le risque est un facteur inhérent à la pratique des affaires. Les données empi-
riques sur le sujet indiquent que 50 % des petites et moyennes entreprises
(PME) sont amenées à déposer leur bilan avant même de franchir le cap de la
cinquième année. Il est donc clair que l’exploitation d’une entreprise comporte
des risques. Ceux-ci peuvent avoir des conséquences en termes de performance
économique et de réputation professionnelle, sans oublier les considérations
environnementales, sociales ou relatives à la sécurité. Ces risques sont de
tous ordres, internes ou externes, directs ou indirects. Malgré un élément
d’incertitude sous-jacent, il est souvent possible d’anticiper les risques, et de
concevoir et mettre en place des systèmes et des mesures destinés à minimiser
leurs conséquences négatives ou à maximiser leurs conséquences positives.
Les risques imputables à un désordre peuvent être maîtrisés en améliorant les
modèles de gestion et de gouvernance. De cette manière, les entreprises qui
adoptent une stratégie de management du risque ont davantage de chances
de survivre et de prospérer.
Chacun sait que les PME représentent la majeure partie des entreprises dans
le monde entier, et sont le pilier du commerce et de la croissance économique.
Elles sont le principal moteur de l’innovation, de l’intégration sociale et de
l’emploi dont elles représentent 60 % des débouchés du secteur privé. Compte
tenu de l’importance des PME pour la croissance et le développement écono-
miques, il s’avère particulièrement essentiel de se pencher sur la question du
management du risque pour les PME.
Or, les PME ont peu de soutien lorsqu’il s’agit de déterminer quel est le meilleur
moyen de gérer leurs risques ou à qui s’adresser pour obtenir conseil. Les études
révèlent que si la plupart des PME adoptent certaines mesures de prévention
Nous espérons que ce guide constituera un outil pratique et une ressource utile
pour les PME dans leurs efforts pour améliorer leur compétitivité et accroître
leur participation au commerce international, en parvenant à mieux identifier
et gérer leur éventail de risques.
10 ISO 31000: Management du risque — Guide pratique pour les PME
0 Introduction
0.1 Objet
Ce bref résumé souligne l’intérêt d’inscrire au cœur des valeurs de votre orga-
nisme l’engagement explicite de mettre en œuvre le management du risque.
Les entreprises de toutes tailles sont amenées à gérer des risques, et cela vaut
depuis leur création jusqu’à la fin de leur vie. Les individus ou les groupes
conscients de l’existence d’un risque susceptible d’avoir un effet positif sur les
objectifs de l’organisme, par exemple la demande d’un produit ou d’un service,
peuvent traiter ce risque en procédant à l’ouverture d’un nouveau magasin ou
d’un nouveau bureau. Avant d’engager la moindre opération, les entrepreneurs
doivent gérer d’autres risques liés à l’acquisition d’un emplacement, l’identi-
fication des compétences utiles à l’entreprise ainsi qu’au recrutement et à la
fidélisation d’employés qualifiés, l’obtention d’un financement, de matières
premières, d’équipements, etc. Ce ne sont là que quelques exemples d’une
longue liste de risques auxquels une PME peut être confrontée.
Le management du risque est une activité stratégique essentielle pour les entre-
prises de toutes tailles. Celles qui gèrent efficacement leurs risques peuvent
s’épanouir et parvenir à livrer des produits et services de qualité lorsque tel
est l’objectif de ces entreprises.
12 ISO 31000: Management du risque — Guide pratique pour les PME
Le présent guide est destiné à aider les organismes à faire évoluer la démarche
de management du risque empirique, dictée par les événements, qui avait
prévalu lors de leur création, vers une démarche de management du risque
stratégique, axée sur des résultats concrets, fiable et rentable. Le manage-
ment du risque ne se borne pas à prendre ou à éviter des risques. Il s’agit de
bien cerner quels risques revêtent une importance pour l’organisme, et de les
gérer en fonction de l’évolution de l’organisme ou de son contexte opérationnel
(physique, environnemental, financier et social) au fil du temps.
1) Deming, W.E. 1950. Elementary Principles of the Statistical Control of Quality, Japanese
Union of Scientists and Engineers.
2) Deming, W.E. 1986. Out of the Crisis. MIT Press. Cambridge, MA, 88 pp.
14 ISO 31000: Management du risque — Guide pratique pour les PME
NOTE 1 Un effet est un écart, positif et/ou négatif, par rapport à une attente.
Dans bien des organismes, les risques ayant des conséquences positives
sont gérés séparément des risques ayant des conséquences négatives.
ISO 31000:2009 établit clairement que le processus de management du risque
(indiqué à la Figure 2 ci-après) est identique pour tous les risques, quelle que
soit la nature de leurs conséquences.
16 ISO 31000: Management du risque — Guide pratique pour les PME
Exemple
Dans les régions souvent frappées par les ouragans, les entreprises conservent
d’importants stocks de panneaux de contreplaqué destinés à protéger les
fenêtres, de sable et de sacs de sable, de bâches et d’aliments en conserve,
de manière à pouvoir en vendre une grande partie en cas de tempête.
Pour qu’une entreprise soit en mesure de réaliser ces impacts positifs, elle
doit constituer d’importants stocks à l’avance. L’incertitude de la tempête
est identique pour toutes les personnes susceptibles d’être affectées. La
nature de l’incertitude et son impact potentiel sur les objectifs dépendent
fortement du contexte de l’entreprise. L’aptitude des fournisseurs à tirer
parti de l’incertitude d’une violente tempête dépendra de la façon dont
ils auront envisagé le traitement du risque d’une hausse augmentation
subite de la demande, en maintenant d’importants stocks de produits de
première nécessité à disposition.
Tout au long de ce guide, le terme risque est utilisé pour décrire une incertitude
ayant des conséquences positives ou négatives; ou positives et négatives. Un
grand nombre de risques correspondent à ce dernier cas de figure.
Exemple
18 ISO 31000: Management du risque — Guide pratique pour les PME
«L’attitude face au risque» est définie comme «l’approche d’un organisme pour
apprécier un risque avant, éventuellement, de saisir ou préserver une opportu-
nité ou de prendre ou rejeter un risque». Lorsqu’un risque a une conséquence
positive, la ligne de conduite logique consiste à «poursuivre» le risque afin
d’améliorer l’atteinte des objectifs. Ce terme fait l’objet d’une explication plus
complète au Chapitre 3.7.
Normes — ISO
20 ISO 31000: Management du risque — Guide pratique pour les PME
1 Objectifs et gouvernance
22 ISO 31000: Management du risque — Guide pratique pour les PME
qui ne seront pas formalisées par écrit. Les meilleures pratiques veulent que
les dispositions de gouvernance soient élaborées, approuvées et communi-
quées au personnel, et qu’elles soient périodiquement examinées pour s’as-
surer qu’elles demeurent pertinentes à mesure que les conditions d’activité
évoluent.