L’exploitation d’une entreprise

q
pour les PME
comporte des risques. D’ailleurs,
les données empiriques sur le sujet
indiquent que près de la moitié des
PME sont amenées à déposer leur bilan
avant même de franchir le cap de la

ISO 31000 : Management du risque – Guide pratique pour les PME

cinquième année.
Les PME trouveront dans le manuel
ISO 31000 : Management du risque
– Guide pratique pour les PME, qui
offre une description détaillée des
exigences de la norme, des conseils
pour l’identification et la mise en œuvre
de stratégies de management du risque.

Organisation internationale
de normalisation
Ch. de Blandonnet 8, CP 401
CH -1214 Vernier, Genève, Suisse

Centre du Commerce
International
Palais des Nations,
CH -1211 Genève 10, Suisse

Organisation des Nations Unies

ISO 31000
Management du risque
pour le développement industriel
Vienna International Centre, P.O. Box 300,
AT -1400 Vienne, Autriche

iso.org
© ISO, 2015
Tous droits réservés

ISBN 978-92-67-20645-5

COVER - ISO 31000 Risk Management - A practical guide for SMEs.indd 1-3 2016-04-05 08:15:09
 academy
guide pratique pour les PME

ISO 31000 Management du risque

COVER - ISO 31000 Risk Management

31000_handbook_fr.indd 1 - A practical guide for SMEs.indd 5 2016-04-05
2016-04-20 08:23:52
07:19:04
 

Document protégé par copyright

Tous droits réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite
ni utilisée sous quelque forme que ce soit et par aucun procédé, sans l’accord écrit de l’ISO.
Les positions exprimées dans la présente publication sont celles de ses auteurs et contributeurs, et ne
prétendent pas refléter celles du Centre international du commerce (ITC), de l’Organisation internationale
de normalisation (ISO) ou de l’Organisation internationale des Nations Unies pour le développement
industriel (ONUDI).
Les appellations utilisées dans la présente publication et la présentation des informations qui y figurent
n’impliquent, de la part de l’ITC, de l’ISO et de l’ONUDI, aucune prise de position quant au statut juri-
dique des pays, territoires, villes ou zones, ou de leurs autorités, ni quant au tracé de leurs frontières ou
délimitations, ni quant à leur système économique ou à leur degré de développement. Les appellations
telles que «industrialisés», «développés» ou «en développement » sont utilisées à des fins statistiques et
n’expriment pas nécessairement un jugement sur le stade atteint par un pays ou une région particulière
dans le processus de développement.
La mention de noms de sociétés ou d’organisations et de leurs sites Web, de produits commerciaux, de
marques ou de processus brevetés n’implique pas leur approbation de la part de l’ITC, de l’ISO ou de l’ONUDI.

© ISO 2015. Publié en Suisse

ISBN 978-92-67-20645-5

ISO copyright office

CP 401 • CH -1214 Vernier, Genève
Tel. +41 22 749 01 11
Fax. +41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org

2  ISO 31000: Management du risque — Guide pratique pour les PME

31000_handbook_fr.indd 2 2016-04-20 07:19:04

 

À propos de l’auteur

John Lark est le Directeur général de Coherent Advice Inc., cabinet canadien
de prestations de services de management du risque auprès d’organismes du
secteur public et du secteur privé, tant au niveau national qu’international.
M. Lark a plus de 35 ans d’expérience dans le domaine du management, 15 ans
en management du risque et possède une licence et une maîtrise en sciences.
Il a exercé au sein du comité technique chargé du management du risque du
Conseil canadien des normes (CCN), de l’Association canadienne de norma-
lisation (CSA) et de l’ISO (TC 262 et ses groupes de travail). M. Lark exprime
sa vive reconnaissance pour les précieux éclairages généreusement appor-
tés par Grant Purdy et John Fraser sur ISO 31000:2009 et le management du
risque.

À propos du relecteur

Valentin Nikonov a plus de 15 ans d’expérience professionnelle en management

du risque, conformité et veille stratégique auprès d’établissements financiers et
d’organisations internationales. M. Nikonov coordonne les travaux du Groupe
d’experts de la gestion du risque à la Commission économique des Nations
Unies pour l’Europe (CEE-ONU). En qualité d’Expert international en gestion
du risque auprès de l’Organisation des Nations Unies pour le développement
industriel (ONUDI), M. Nikonov a mis en place des outils et des méthodes de
gestion du risque dans les systèmes de réglementation de pays en développe-
ment. Il est expérimenté dans la conception, la mise en œuvre et la gestion
de systèmes de management du risque dans le cadre de l’entreprise et de la
réglementation.

Remerciements

L’Organisation internationale de normalisation (ISO), le Centre du commerce

international (ITC), et l’Organisation des Nations Unies pour le développement
industriel (ONUDI) ont mis conjointement au point cette publication.

L’ISO, l’ITC et l’ONUDI remercient John Lark et Valentin Nikonov pour avoir
mis leur expertise au service de la préparation du présent manuel, ainsi que
l’ISO/TC 262.

ISO 31000: Management du risque — Guide pratique pour les PME  3

31000_handbook_fr.indd 3 2016-04-20 07:19:04

 

Khemraj Ramful et Hema Menon, ITC, ont dirigé et coordonné l’élaboration du

présent guide. Juan Pablo Davila, ONUDI, en a supervisé la relecture technique.
Laurent Galichet et Brian Stanton, ISO, ont établi le programme de publication,
la correction et la mise en page de la publication.

4  ISO 31000: Management du risque — Guide pratique pour les PME

31000_handbook_fr.indd 4 2016-04-20 07:19:04

 

Centre du commerce international (ITC)

Commerce pour le bien de tous

Le Centre du commerce international (ITC) est l’agence conjointe de l’Organi-

sation mondiale du commerce et des Nations Unies.

Mission de l’ITC

L’ITC contribue au succès des exportations des petites et moyennes entreprises

dans les pays en développement et les économies en transition en offrant,
avec ses partenaires, des solutions durables et inclusives de développement
du commerce pour le secteur privé, les institutions d’appui au commerce et
les décideurs politiques.

Objectifs de l’ITC

• Renforcer la compétitivité internationale des entreprises grâce aux services

de formation et d’appui de l’ITC.
• Renforcer la capacité des institutions d’appui au commerce en faveur des
entreprises.
• Renforcer l’intégration du secteur privé dans l’économie mondiale en four-
nissant une assistance aux décideurs politiques.

Veuillez visiter notre site www.intracen.org pour plus d’information.

À propos de l’ONUDI

L’ONUDI est l’institution spécialisée des Nations Unies chargée de promouvoir

le développement industriel pour la réduction de la pauvreté, la mondialisation
inclusive et la sauvegarde d’un environnement durable. La vision de l’ONUDI
est celle d’un monde dans lequel le développement économique serait durable
avec une prospérité partagée et la croissance économique, équitable. L’ONUDI
a pour objectif de réduire la pauvreté grâce au développement industriel inclu-
sif durable. Tous les pays devraient avoir la possibilité de mettre en place un
secteur de production prospère, d’accroître leur participation au commerce
international et de protéger leur environnement.

Pour en savoir plus sur l’ONUDI, rendez-vous sur www.unido.org.

ISO 31000: Management du risque — Guide pratique pour les PME  5

31000_handbook_fr.indd 5 2016-04-20 07:19:04

 

À propos de l’ISO

L’ISO (Organisation internationale de normalisation) est le premier producteur

mondial de Normes internationales d’application volontaire.

Nous sommes une organisation non gouvernementale, sans but lucratif, com-
posée de 162 membres qui sont les organismes nationaux de normalisation de
162 pays. Notre Secrétariat central est basé à Genève, en Suisse.

Veuillez visiter notre site www.iso.org pour plus d’information.

6  ISO 31000: Management du risque — Guide pratique pour les PME

31000_handbook_fr.indd 6 2016-04-20 07:19:04

 

Sommaire Page

Avant-propos................................................................................................. 9
0 Introduction.......................................................................................... 11
1 Objectifs et gouvernance..................................................................... 21
1.1 Objectifs clairs............................................................................... 21
1.2 Repérage et évaluation des dispositions de
gouvernance existantes.................................................................22
2 Mandat et engagement...................................................................... 25
2.1 Définir votre engagement..............................................................25
2.2 Déterminer des objectifs pour la mise en œuvre
d’ISO 31000:2009......................................................................... 27
2.3 Établir des mesures de performance pour le management
du risque.......................................................................................29
2.4 Parties prenantes internes et externes.......................................... 30
2.5 Communiquer au sujet de l’engagement en matière de
management du risque auprès des parties prenantes................... 31
3 Concevoir le cadre organisationnel de management du risque...... 33
3.1 Cadre organisationnel de management du risque.........................33
3.2 Comparer votre approche existante en matière de
management du risque à ISO 31000:2009....................................39
3.3 Principes de management du risque............................................. 40
3.4 Comprendre le contexte tant interne qu’externe de
votre organisme.............................................................................42
3.5 Politique de management du risque..............................................45
3.6 Alignement entre la politique de management du risque
et l’organisme............................................................................... 48
3.7 Attitude face au risque.................................................................. 49
3.8 Critères de risque.......................................................................... 50
4 Mettre en œuvre le management du risque....................................... 55
4.1 Comprendre les aptitudes, la capacité et la culture de
votre organisme en matière de risque...........................................55
4.2 Planifier la transition à ISO 31000:2009........................................ 57
4.3 Mise en œuvre du cadre organisationnel de management
du risque.......................................................................................59
4.4 Le plan de management du risque................................................62

ISO 31000: Management du risque — Guide pratique pour les PME  7

31000_handbook_fr.indd 7 2016-04-20 07:19:04

 

4.5 Ressources pour mettre en œuvre le plan de

management du risque................................................................. 64
4.6 Établir le contexte du processus de management du risque......... 66
4.7 Méthodes de management du risque........................................... 68
4.8 Communication et concertation concernant le processus
de management du risque............................................................. 76
5 Surveillance et revue.......................................................................... 79
5.1 Surveillance et revue du cadre organisationnel de
management du risque.................................................................. 79
5.2 Surveillance et revue du processus de management du risque...... 81
6 Amélioration continue du cadre organisationnel............................. 85
6.1 Déterminer l’efficacité du management du risque..........................85
6.2 Amélioration continue du cadre organisationnel........................... 87
6.3 Amélioration continue de la mise en œuvre du processus............. 91
Annexe A — Techniques de management du risque pour les PME.......... 95
Annexe B — Conseils spécifiques pour les PME...................................... 117
Annexe C — Guides, manuels et documents de référence pour
les PME............................................................................................... 147

8  ISO 31000: Management du risque — Guide pratique pour les PME

31000_handbook_fr.indd 8 2016-04-20 07:19:04

 

Avant-propos
Le risque est un facteur inhérent à la pratique des affaires. Les données empi-
riques sur le sujet indiquent que 50 % des petites et moyennes entreprises
(PME) sont amenées à déposer leur bilan avant même de franchir le cap de la
cinquième année. Il est donc clair que l’exploitation d’une entreprise comporte
des risques. Ceux-ci peuvent avoir des conséquences en termes de performance
économique et de réputation professionnelle, sans oublier les considérations
environnementales, sociales ou relatives à la sécurité. Ces risques sont de
tous ordres, internes ou externes, directs ou indirects. Malgré un élément
d’incertitude sous-jacent, il est souvent possible d’anticiper les risques, et de
concevoir et mettre en place des systèmes et des mesures destinés à minimiser
leurs conséquences négatives ou à maximiser leurs conséquences positives.
Les risques imputables à un désordre peuvent être maîtrisés en améliorant les
modèles de gestion et de gouvernance. De cette manière, les entreprises qui
adoptent une stratégie de management du risque ont davantage de chances
de survivre et de prospérer.

Les grandes entreprises sont mieux outillées et relativement bien structurées

pour aborder les risques tout en optimisant leurs bénéfices. En revanche, les
PME, plus limitées à divers titres, sont davantage exposées aux aspects néga-
tifs des risques. Néanmoins, dès lors qu’elles disposent de bons outils, les
PME peuvent, grâce à leur adaptabilité, tirer parti de certaines possibilités
d’augmenter leur part de marché, de se développer et de gérer leurs risques
plus efficacement.

Chacun sait que les PME représentent la majeure partie des entreprises dans
le monde entier, et sont le pilier du commerce et de la croissance économique.
Elles sont le principal moteur de l’innovation, de l’intégration sociale et de
l’emploi dont elles représentent 60 % des débouchés du secteur privé. Compte
tenu de l’importance des PME pour la croissance et le développement écono-
miques, il s’avère particulièrement essentiel de se pencher sur la question du
management du risque pour les PME.

Or, les PME ont peu de soutien lorsqu’il s’agit de déterminer quel est le meilleur
moyen de gérer leurs risques ou à qui s’adresser pour obtenir conseil. Les études
révèlent que si la plupart des PME adoptent certaines mesures de prévention

ISO 31000: Management du risque — Guide pratique pour les PME  9

31000_handbook_fr.indd 9 2016-04-20 07:19:04

 

et de réduction des pertes, elles n’engagent cependant pas de processus for-

mel de management du risque et une grande majorité d’entre elles ignorent
totalement la notion de traitement du risque.

ISO 31000:2009, Management du risque — Principes et lignes directrices, four-

nit un ensemble de principes, un cadre et un processus pour gérer toute forme
de risque. Les organismes de toutes tailles qui ont recours à ISO 31000:2009
augmentent leurs chances d’atteindre leurs objectifs, sont mieux à même de
cerner les opportunités et les menaces, et d’allouer et d’employer efficacement
des ressources pour le management du risque.

Dans l’optique d’aider les PME à mieux se préparer et à gérer efficacement

les risques, l’ISO, l’ITC et l’ONUDI ont décidé de conjuguer leurs efforts et
de préparer le présent guide sur ISO 31000:2009. Cette publication a pour
vocation d’aider les PME à comprendre les exigences de la norme, à com-
parer leurs pratiques de management du risque par rapport au référentiel
reconnu à l’échelon international, et à aligner leurs pratiques sur la Norme
internationale.

Nous espérons que ce guide constituera un outil pratique et une ressource utile
pour les PME dans leurs efforts pour améliorer leur compétitivité et accroître
leur participation au commerce international, en parvenant à mieux identifier
et gérer leur éventail de risques.

Arancha GONZÁLEZ LI Yong Kevin MCKINLEY

Directrice exécutive Directeur général Secrétaire général par intérim
ITC ONUDI ISO

10  ISO 31000: Management du risque — Guide pratique pour les PME

31000_handbook_fr.indd 10 2016-04-20 07:19:05

 

0   Introduction
0.1   Objet

Le présent guide a pour objet de fournir un bref aperçu des dispositions à

prendre pour la mise en œuvre du management du risque conformément aux
exigences de la norme ISO 31000:2009 dans les petites et moyennes entreprises
(PME), au travers d’une série de questions, suivies de conseils.

ISO 31000:2009, dite «la norme» dans le corps du présent document, est un

ensemble de principes et de lignes directrices succinctes et générales sur la
mise en œuvre du management du risque. La norme compte 23 pages et pré-
sente 11 principes, un cadre organisationnel et un processus qui sont adap-
tables aux besoins des organismes de tous types et de toutes dimensions.

Ce guide est destiné à mieux faire comprendre la norme aux décideurs au

sein des PME et à les aider à mettre en œuvre un management du risque qui
soit adapté à la taille et à la complexité de ces entreprises, tant dans les pays
développés que dans les pays en développement.

La norme stipule dans son Article 1

«Bien que la présente Norme internationale fournisse des lignes directrices

générales, elle ne vise pas à promouvoir l’uniformisation du management
du risque au sein des organismes. La conception et la mise en œuvre des
plans et des structures organisationnelles de management du risque
devront tenir compte des divers besoins d’un organisme spécifique, de
ses objectifs, son contexte, sa structure, son activité, ses processus, ses
fonctions, ses projets, ses produits, ses services ou ses actifs particuliers,
ainsi que de ses pratiques spécifiques.»

Ce guide apporte, sous la forme d’une liste de contrôle, un complément à la

norme. Il a été établi en partant du principe que le lecteur aura accès au texte
complet de la norme. Cette publication a pour objet de fournir des éclairages,
des conseils et des explications liminaires concernant l’ensemble des éléments
de la norme ISO 31000:2009. Elle peut être achetée auprès de l’ISO ou de votre
organisme national de normalisation.

ISO 31000: Management du risque — Guide pratique pour les PME  11

31000_handbook_fr.indd 11 2016-04-20 07:19:05

 

0.2   L’intérêt de mettre en œuvre le management du risque

Ce bref résumé souligne l’intérêt d’inscrire au cœur des valeurs de votre orga-
nisme l’engagement explicite de mettre en œuvre le management du risque.
Les entreprises de toutes tailles sont amenées à gérer des risques, et cela vaut
depuis leur création jusqu’à la fin de leur vie. Les individus ou les groupes
conscients de l’existence d’un risque susceptible d’avoir un effet positif sur les
objectifs de l’organisme, par exemple la demande d’un produit ou d’un service,
peuvent traiter ce risque en procédant à l’ouverture d’un nouveau magasin ou
d’un nouveau bureau. Avant d’engager la moindre opération, les entrepreneurs
doivent gérer d’autres risques liés à l’acquisition d’un emplacement, l’identi-
fication des compétences utiles à l’entreprise ainsi qu’au recrutement et à la
fidélisation d’employés qualifiés, l’obtention d’un financement, de matières
premières, d’équipements, etc. Ce ne sont là que quelques exemples d’une
longue liste de risques auxquels une PME peut être confrontée.

Le management du risque est une activité stratégique essentielle pour les entre-
prises de toutes tailles. Celles qui gèrent efficacement leurs risques peuvent
s’épanouir et parvenir à livrer des produits et services de qualité lorsque tel
est l’objectif de ces entreprises.

La mise en œuvre du management du risque en conformité avec les exigences

d’ISO 31000:2009 a pour vocation première de permettre l’atteinte des objectifs.
C’est la raison pour laquelle l’engagement de mettre en œuvre le management
du risque doit se vérifier à tous les niveaux de l’entreprise. Les propriétaires et
le conseil d’administration (le cas échéant), ainsi que la direction aux différents
échelons, doivent comprendre les avantages que peut apporter un manage-
ment du risque fiable et cohérent, et en démontrer l’utilité au personnel en le
mettant en œuvre.

0.3   L’intérêt de suivre le présent guide

Les entreprises, grandes et petites, doivent pouvoir identifier, cerner et gérer

les incertitudes ou les risques déterminants pour leur réussite. ISO 31000:2009
offre une approche solide, fiable et éprouvée en matière de management
du risque. Les entreprises doivent comprendre et gérer leurs risques pour
assurer leur croissance et leur prospérité. En alignant leurs pratiques de
management du risque sur les exigences d’ISO 31000:2009, les organismes

12  ISO 31000: Management du risque — Guide pratique pour les PME

31000_handbook_fr.indd 12 2016-04-20 07:19:05

 

seront en mesure de mettre en œuvre le management du risque de façon cohé-

rente et efficace.

Le présent guide est destiné à aider les organismes à faire évoluer la démarche
de management du risque empirique, dictée par les événements, qui avait
prévalu lors de leur création, vers une démarche de management du risque
stratégique, axée sur des résultats concrets, fiable et rentable. Le manage-
ment du risque ne se borne pas à prendre ou à éviter des risques. Il s’agit de
bien cerner quels risques revêtent une importance pour l’organisme, et de les
gérer en fonction de l’évolution de l’organisme ou de son contexte opérationnel
(physique, environnemental, financier et social) au fil du temps.

0.4   Structure du présent guide

Ce guide suit la structure présentée à la Figure 1 et consacre un chapitre pour

chacun des cinq éléments du cadre organisationnel de management du risque,
ainsi que des conseils plus spécifiques qui sont donnés en annexe.

Figure 1 — Structure du guide

La structure de ce guide est fondée sur la séquence d’étapes suivante: «Plan-

Do-Check-Act» (PDCA). Ces quatre étapes consistent à Planifier — déterminer
ce que vous ferez, Réaliser — exécuter ce plan, Vérifier — s’assurer que le plan
vous aura permis d’atteindre vos objectifs, et Agir — identifier les domaines

ISO 31000: Management du risque — Guide pratique pour les PME  13

31000_handbook_fr.indd 13 2016-04-20 07:19:05

 

d’amélioration pour le prochain cycle d’activité. On retrouve ces quatre étapes

dans bon nombre de systèmes de management. Ce processus fait l’objet de
plusieurs appellations: «cercle vertueux», «roue de Deming» 1) ou encore «cycle
de Shewhart» 2).

La norme s’aligne sur cette séquence d’étapes pour soutenir l’amélioration

continue. La norme transpose les quatre étapes du cycle Plan-Do-Check-Act
(PDCA) de la manière suivante: conception (du cadre organisationnel de mana-
gement du risque); mise en œuvre; surveillance et revue; et amélioration
continue. Le présent guide suit cette séquence pour aider les utilisateurs à
élaborer et mettre en œuvre un management du risque propice à la poursuite
de l’amélioration de la réalisation des objectifs, tout en étant adaptable aux
changements pour conserver son efficacité.

Ce guide recommande que vous mettiez en œuvre le management du risque

en
• Élaborant un plan clair,
• Appliquant le plan tel qu’il a été conçu,
• Vérifiant que le plan permet d’atteindre les objectifs qui ont été déterminés
(en l’occurrence, les objectifs relatifs à la mise en œuvre du management
du risque), puis en
• Agissant pour modifier le plan en fonction des informations établies lors
des étapes de surveillance et de revue, concernant les aspects concluants
et ceux qu’il convient d’ajuster pour améliorer les résultats.

0.5   Risque, définition et interprétation

Le risque est un terme qui a été défini à maintes reprises et de différentes

manières. Dans ISO 31000:2009, le «risque» a une signification très spéci-
fique et pour comprendre la norme, il est important de comprendre cette
définition.

1) Deming, W.E. 1950. Elementary Principles of the Statistical Control of Quality, Japanese
Union of Scientists and Engineers.
2) Deming, W.E. 1986. Out of the Crisis. MIT Press. Cambridge, MA, 88 pp.

14  ISO 31000: Management du risque — Guide pratique pour les PME

31000_handbook_fr.indd 14 2016-04-20 07:19:05

 

Le risque est défini comme l’«effet de l’incertitude sur l’atteinte

des objectifs»

NOTE 1     Un effet est un écart, positif et/ou négatif, par rapport à une attente.

NOTE 2     Les objectifs peuvent avoir différents aspects (par exemple buts

financiers, de santé et de sécurité, ou environnementaux) et peuvent
concerner différents niveaux (niveau stratégique, niveau d’un projet, d’un
produit, d’un processus ou d’un organisme tout entier).

NOTE 3     Un risque est souvent caractérisé en référence à des événements

et des conséquences potentiels ou à une combinaison des deux.

NOTE 4     Un risque est souvent exprimé en termes de combinaison des

conséquences d’un événement (incluant des changements de circonstances)
et de sa vraisemblance.

NOTE 5     L’incertitude est l’état, même partiel, de défaut d’information

concernant la compréhension ou la connaissance d’un événement, de ses
conséquences ou de sa vraisemblance.
[ISO 31000:2009, Article 2.1]

Dans ISO 31000:2009, le risque est neutre; les conséquences associées à un

risque peuvent renforcer la réalisation des objectifs (conséquences positives)
ou limiter ou diminuer leur réalisation (conséquences négatives). Il est possible
de simplifier le management du risque en regroupant les risques par secteur
d’activité concerné, par exemple l’ensemble des «risques financiers» afin de
pouvoir les gérer plus efficacement.

L’incertitude, élément clé de cette définition, peut être le produit de la variabilité

de processus naturels, et peut également survenir à cause:
• d’informations manquantes,
• d’informations disponibles mais inaccessibles,
• d’informations imprécises,
• d’informations sujettes à des interprétations divergentes, ou
• d’informations impliquant un large éventail de possibilités, y compris des
changements au fil du temps 3).

3) Voir Section 2.2 du manuel SA/SNZ HB 436:2013.

ISO 31000: Management du risque — Guide pratique pour les PME  15

31000_handbook_fr.indd 15 2016-04-20 07:19:05

 

Dans bien des organismes, les risques ayant des conséquences positives
sont gérés séparément des risques ayant des conséquences négatives.
ISO 31000:2009 établit clairement que le processus de management du risque
(indiqué à la Figure 2 ci-après) est identique pour tous les risques, quelle que
soit la nature de leurs conséquences.

Figure 2 — Processus de management du risque d’ISO 31000:2009

Même si ISO 31000:2009 n’emploie pas ce terme, les risques présentant des

conséquences positives pour les objectifs de l’organisme peuvent être désignés
comme des «opportunités». Il peut s’agir par exemple de l’incertitude relative
à la présence de pétrole ou de minéraux dans une zone donnée, ou à l’exis-
tence d’un marché potentiel suffisant pour justifier des efforts d’expansion. Il
est possible de traiter ces risques impliquant des conséquences positives en
réalisant des sondages pour déterminer la présence éventuelle de quantités
commerciales suffisantes de pétrole ou de minéraux, ou en évaluant le nouveau
marché pressenti. La mise en œuvre d’ISO 31000:2009 permet de gérer l’incer-
titude entourant ces «opportunités». Il est plus efficace pour un organisme de

16  ISO 31000: Management du risque — Guide pratique pour les PME

31000_handbook_fr.indd 16 2016-04-20 07:19:06

 

gérer l’ensemble de ses risques en alignant son management du risque sur

ISO 31000:2009, quelle que soit la nature des conséquences.

Exemple

Les conséquences positives ou négatives dépendent du contexte

Un risque de tempête est susceptible d’endommager des infrastructures ou

de provoquer des retards de livraison de marchandises ou de prestation de
services. Pour bon nombre de résidents et d’entreprises, la tempête peut avoir
des impacts négatifs en termes d’accès des employés à leur lieu de travail,
de prestations de services ou d’infrastructures majeures (par exemple, site
de production, voies d’accès, ponts). Cependant, si un organisme est en
mesure de fournir des services d’urgence ou de remise en état, la tempête
peut alors avoir des impacts positifs pour celui-ci.

Dans les régions souvent frappées par les ouragans, les entreprises conservent
d’importants stocks de panneaux de contreplaqué destinés à protéger les
fenêtres, de sable et de sacs de sable, de bâches et d’aliments en conserve,
de manière à pouvoir en vendre une grande partie en cas de tempête.

Pour qu’une entreprise soit en mesure de réaliser ces impacts positifs, elle
doit constituer d’importants stocks à l’avance. L’incertitude de la tempête
est identique pour toutes les personnes susceptibles d’être affectées. La
nature de l’incertitude et son impact potentiel sur les objectifs dépendent
fortement du contexte de l’entreprise. L’aptitude des fournisseurs à tirer
parti de l’incertitude d’une violente tempête dépendra de la façon dont
ils auront envisagé le traitement du risque d’une hausse augmentation
subite de la demande, en maintenant d’importants stocks de produits de
première nécessité à disposition.

Tout au long de ce guide, le terme risque est utilisé pour décrire une incertitude
ayant des conséquences positives ou négatives; ou positives et négatives. Un
grand nombre de risques correspondent à ce dernier cas de figure.

ISO 31000: Management du risque — Guide pratique pour les PME  17

31000_handbook_fr.indd 17 2016-04-20 07:19:06

 

Exemple

Décision dans laquelle les risques ont des conséquences positives

et négatives sur l’atteinte de l’objectif

Le gérant d’un commerce indépendant de vente d’articles spécialisés dans

une ville de taille moyenne observe que, dans une ville comparable d’un
pays limitrophe, il n’existe pas de magasin offrant la même gamme de pro-
duits que le sien. L’incertitude (le risque) que le propriétaire doit apprécier
consiste à déterminer s’il existe un marché suffisant pour l’exploitation
rentable d’un nouveau magasin.

Si le propriétaire souhaite traiter le «risque de potentiel de marché» (ou

l’opportunité) en ouvrant un nouveau magasin, il lui faut identifier et
apprécier tous les risques associés à cette décision d’ouverture. Les risques
peuvent être liés à l’existence d’un régime fiscal et douanier différent dans
ce pays, amoindrissant la possibilité de réaliser des bénéfices. De même,
les coûts de l’emplacement, de la main-d’œuvre, du transport, de l’entre-
posage et de l’accès aux services publics peuvent s’avérer plus élevés que
dans sa localité actuelle. Enfin, comme le propriétaire ne peut être présent
dans les deux magasins en même temps, il lui faut déléguer à un tiers le
contrôle des stocks et la gestion de la trésorerie, le service clientèle et les
ventes, pour l’un de ses deux points de vente.

Le propriétaire ne peut avoir simultanément, sur deux sites différents, la

même maîtrise que celle qu’il exerce actuellement sur ces aspects du fait
de sa présence physique sur l’un des sites.

Il devra identifier, analyser et évaluer chaque risque dans son contexte,

afin d’en apprécier l’impact global sur l’objectif visant à exploiter un
autre point de vente qui permette, à coup sûr, de dégager un bénéfice. Le
processus de management du risque permet d’apprécier l’importance de
tous les risques, de manière à ce que le propriétaire puisse déterminer si
l’ouverture d’un deuxième magasin dans la nouvelle localité considérée
est une décision commerciale judicieuse.

Le terme «traitement du risque» est défini comme un «processus destiné à

modifier un risque» et fait l’objet d’une description détaillée en Annexe B.4. La
norme prévoit également la note suivante: «Les traitements du risque portant

18  ISO 31000: Management du risque — Guide pratique pour les PME

31000_handbook_fr.indd 18 2016-04-20 07:19:06

 

sur les conséquences négatives sont parfois appelés «atténuation du risque»,

«élimination du risque», «prévention du risque» et «réduction du risque».

«L’attitude face au risque» est définie comme «l’approche d’un organisme pour
apprécier un risque avant, éventuellement, de saisir ou préserver une opportu-
nité ou de prendre ou rejeter un risque». Lorsqu’un risque a une conséquence
positive, la ligne de conduite logique consiste à «poursuivre» le risque afin
d’améliorer l’atteinte des objectifs. Ce terme fait l’objet d’une explication plus
complète au Chapitre 3.7.

0.6   ISO 31000:2009 et les normes d’appui

Ce guide a été élaboré en partant de l’hypothèse que le lecteur se sera procuré

ISO 31000:2009 et qu’il en aura pris connaissance. Cette norme est accom-
pagnée d’un vocabulaire formel de termes définis dans l’ISO Guide 73:2009
et d’une analyse des techniques d’évaluation des risques présentée dans
IEC 31010:2009. Il est recommandé aux lecteurs du présent guide de se pro-
curer chacune de ces trois normes.

Normes — ISO

ISO 31000:2009, Management du risque — Principes et lignes directrices

IEC 31010:2009, Gestion des risques — Techniques d’évaluation des risques

ISO Guide 73:2009, Management du risque — Vocabulaire

Rapport technique — ISO

ISO/TR 31004:2013, Management du risque — Lignes directrices pour l’implé-

mentation de l’ISO 31000

Des conseils supplémentaires sur la mise en œuvre d’ISO 31000:2009 sont

donnés dans les guides internationaux énumérés en Annexe C.1.

ISO 31000: Management du risque — Guide pratique pour les PME  19

31000_handbook_fr.indd 19 2016-04-20 07:19:06

 

20  ISO 31000: Management du risque — Guide pratique pour les PME

31000_handbook_fr.indd 20 2016-04-20 07:19:06

 

1 Objectifs et gouvernance

1.1 Objectifs clairs

Avez-vous des objectifs clairs pour votre organisme?

□ Oui → Passer à la question suivante

□ Non → Voir les conseils ci-dessous

Selon le dictionnaire Webster, un objectif se définit comme «quelque chose que

l’on essaie de faire ou de réaliser, un but ou un objectif». Ce mot est autrement
défini comme «une visée que l’action ou les efforts de quelqu’un tendent à
atteindre ou accomplir; un objectif; une cible». Les objectifs d’un organisme
sont sa raison d’être. Ils doivent être mesurables et tangibles.

Ces objectifs peuvent figurer dans le plan stratégique de l’organisme ou dans

un document moins formel établi par l’équipe de direction à l’intention du per-
sonnel pour indiquer les réalisations de l’année qui s’ouvre (ou de toute autre
période). Bien souvent, si aucun objectif formel n’a été déterminé, il est utile
pour les membres de la direction de l’organisme de se réunir et de convenir des
objectifs qu’elle juge indispensables pour assurer la réussite de l’organisme.

Il convient que le propriétaire ou les gérants s’efforcent de collaborer avec

l’équipe de direction afin d’identifier des objectifs clairs pour l’entreprise et
de déterminer la date précise à laquelle ces objectifs devront être atteints et
maintenus. Les objectifs peuvent prendre diverses formes: chiffre d’affaires
ciblé, position par rapport à la concurrence, réserves financières, exigences
de conformité et autres résultats déterminants pour la survie et la prospérité
de l’organisme.

ISO 31000: Management du risque — Guide pratique pour les PME  21

31000_handbook_fr.indd 21 2016-04-20 07:19:06

 

Il convient que la direction identifie, approuve et communique les objectifs de

l’organisme à l’ensemble du personnel.

1.2 Repérage et évaluation des dispositions

de gouvernance existantes
Disposez-vous d’un cadre organisationnel clair ou d’un document décrivant
la gouvernance de votre organisme?

□ Oui → Passer à la question suivante

□ Non → Voir les conseils ci-dessous

La gouvernance consiste à déterminer quand et comment les décisions sont

prises, et fait de la responsabilité un élément clé à prendre en compte. La
gouvernance établit clairement les rôles et les responsabilités et identifie les
processus indispensables à la pérennité de l’organisme et à l’efficacité de son
fonctionnement. Les documents de gouvernance décrivent comment la direc-
tion (y compris le conseil d’administration, le cas échéant) pilote l’entreprise.

Les fonctions de gouvernance englobent la planification et l’établissement du

budget, la mesure de la performance, la vérification et l’audit, l’approvisionne-
ment, le recrutement, l’évaluation et le licenciement du personnel, ainsi que
la maîtrise de l’ensemble des opérations quotidiennes.

La direction d’un organisme, habilitée par les dispositions de gouvernance,

peut se décrire comme des «activités coordonnées dans le but de diriger et
piloter un organisme». Le management du risque se définit comme des «acti-
vités coordonnées dans le but de diriger et piloter un organisme vis-à-vis
du risque». Le parallélisme entre ces deux énoncés démontre à quel point le
management du risque et la gouvernance sont interdépendants.

Les filières de rapport sont souvent indiquées dans un organigramme qui

permet d’identifier la structure du pouvoir au sein de l’organisme. Si ce type
d’organigramme représente une première étape, il ne marque cependant que
le point de départ du repérage de la gouvernance d’un organisme. Si l’orga-
nisme est légalement constitué en société, il y aura un conseil d’administration
et un Président-Directeur général. Dans le cas de très petites structures, il y
aura peut-être simplement un propriétaire et des relations de gouvernance

22  ISO 31000: Management du risque — Guide pratique pour les PME

31000_handbook_fr.indd 22 2016-04-20 07:19:06

 

qui ne seront pas formalisées par écrit. Les meilleures pratiques veulent que
les dispositions de gouvernance soient élaborées, approuvées et communi-
quées au personnel, et qu’elles soient périodiquement examinées pour s’as-
surer qu’elles demeurent pertinentes à mesure que les conditions d’activité
évoluent.

La documentation de la gouvernance de l’organisme englobe l’identification

des filières d’approbation ainsi que les critères relatifs aux prises de décisions,
l’étendue du contrôle qui revient à chaque division ou responsable important,
la documentation nécessaire pour étayer la planification des activités ainsi
que le mode opératoire pour établir les cibles stratégiques et tactiques et sur-
veiller la progression. La documentation relative à la gouvernance devrait
également renvoyer à la législation, à la réglementation et aux principes direc-
teurs applicables, ainsi qu’aux politiques internes et externes qui ont trait à la
gouvernance et au contrôle.

Il est primordial que la description de la gouvernance reflète les dispositions

en vigueur et les niveaux de pouvoir qui ont été établis. La présence d’une
structure de gouvernance à jour, claire et efficace est essentielle pour créer
un cadre de management du risque efficient.

ISO 31000: Management du risque — Guide pratique pour les PME  23

31000_handbook_fr.indd 23 2016-04-20 07:19:06