SOMMAIRE

Introduction 3
1. Les Principes - Nouveautés du Chapitre 4 4
2. Le Cadre Organisationnel - Nouveautés du Chapitre 5 5
3. Le Processus - Nouveautés du Chapitre 6 6
Conclusion 9
 La gestion de risques a longtemps été imposée par des
obligations légales, des impératifs liés à la qualité des produits
ou la conduite de projets. Cette vision a désormais évolué, pour
donner à la gestion de risques toute sa place parmi les bonnes
pratiques de gouvernance des organisations.

INTRODUCTION
Le Committee of sponsoring organizations (COSO) a été le premier à marquer cette évolution, en
publiant en septembre 2017 le nouveau COSO ERM 2017. Aligné sur le cycle de vie des organisations, ce
nouveau référentiel se veut plus global, simple et pragmatique. Il insiste notamment sur :
L’importance de la prise en compte de la culture d’entreprise et des valeurs éthiques en tant que
paramètres de la gestion de risques,
La nécessité d’intégrer la gestion de risques dans la définition et le suivi de l’exécution de la stratégie,
Le besoin de cohérence de la gestion de risques avec la définition des objectifs de performance et leur
atteinte,
Le besoin de prendre en considération les risques liés au positionnement quant aux évolutions
technologiques et à l’explosion des données.

L’International Organization for Standardization (ISO) a publié en février 2018 une nouvelle version de
l’ISO 31000. Cette version, elle aussi simplifiée, propose des grandes lignes directrices pour orienter la
gestion de risques, telles que :
• L’importance d’un lien renforcé avec la stratégie de l’organisation, via une implication marquée de
la Direction.
• La nécessité d’accroître la mobilisation des équipes et parties prenantes,
• Le besoin d’une meilleure prise en compte du contexte,
• L’utilité d’une vision dynamique de la gestion de risques, qui intègre l’analyse des dispositifs de
maîtrise.

« La norme vise essentiellement à attirer

l'attention de toutes les parties prenantes
sur le fait que de bonnes pratiques de
management des risques permettent de
garantir la viabilité et le succès à long terme
d'une organisation. Car négliger de gérer
les risques revient à prendre le risque de
connaître des échecs »
explique Jason Brown, président de l’ISO/TC 262, le comité
technique responsable de la révision de la norme.

L’ISO 31000:2018, qui demeure non certifiable, est en passe de devenir centrale aux démarches Qualité.
Elle apporte en effet des éléments méthodologiques importants pour répondre aux nouvelles obligations
de normes,quant à elles certifiables, et qui intègrent un volet Risques telles que l’ISO 9001:2015 ou l’ISO
14001:2015.
Parce qu’il peut être difficile d’appréhender la portée de ces changements, voici quelques clés de
décryptage pour mieux saisir les nouveautés des chapitres 4, 5 et 6 de l’ISO 31000 (respectivement
« principes », « cadre organisationnel » et « processus »). Leurs but est de vous aider à définir une
approche risque conforme à ces nouvelles exigences, et surtout à forte valeur ajoutée.

3
 1. LES PRINCIPES
Les nouveautés du chapitre 4 de l’ISO 31000:2018
Dans le chapitre 3 de l’ISO 31000, un risque
est défini comme “l’effet de l’incertitude sur
les objectifs”. La notion d’«objectifs» doit être
entendue au sens large, à tous les niveaux de
l’organisation.
La gestion des risques repose donc sur l’analyse
et le pilotage de tous les évènements porteurs
de conséquences positives ou négatives sur
les objectifs, et par rebond, sur la stratégie de
l’organisation. Son périmètre est donc très étendu.
Dans un souci de simplification, la nouvelle version
de la norme ISO 31000 définit 9 lignes directrices
au lieu de 11.
L’ISO 31000:2018 conserve les éléments phares
de l’ISO 31000:2009, mais les ré-agence afin de
mettre en lumière certains d’entre eux.
Parmi les huit principes, certains nous apportent
davantage d’éléments d’éclairage que d’autres.
Parmi eux :
• INTÉGRATION
Le Management des Risques doit impérativement
être global et diffusé à l’ensemble des processus
de l’organisation, y compris ceux en lien avec le
management ou la stratégie. En d’autres termes,
une identification des risques pour chaque
processus de l’organisation est encouragée, et
devrait être au coeur de leur gestion.
• DYNAMIQUE & AMÉLIORATION
CONTINUE
La Gestion de Risques ne créée de la valeur que si
elle est vivante. La méthodologie en place doit, par
exemple, intégrer des retours d’expérience autour
de la survenance du risque en cas de risques
avérés, et des axes d’amélioration des moyens de
maîtrise des événements susceptibles de générer
un impact sur les objectifs de l’organisation.
L’analyse des retours d’expérience doit pouvoir
remettre en question la méthodologie déployée et
notamment le scoring des risques.
Par exemple, les 1er et 4ème principes, à savoir
«le management du risque crée de la valeur et
la préserve » et « le management des risques
traite explicitement de l’incertitude », ont été
replacés dès l’introduction du chapitre comme des
principes directeurs.
ISO 31000:2018 :
Les principes
• DÉMARCHE STRUCTURÉE ET GLOBALE
Gérer les risques implique de pouvoir les comparer
entre eux afin de les prioriser et concentrer les
ressources sur ceux qui impactent réellement la
création de valeur. Ils doivent être mesurés sur la
base d’une échelle ou grille de lecture unique et
adaptée à la culture de l’organisation.
• MEILLEURES INFORMATIONS &
FACTEURS HUMAINS
La norme ISO 31000:2018 insiste sur le fait
que le management des risques n’est ni une
science exacte ni une donnée parfaitement
fiable. L’évaluation des risques doit tenir compte
de l’appétence de l’organisation à prendre des
risques et des points de vue des parties prenantes.
Elle reste essentiellement déclarative, basée sur
les connaissances des managers, avec ce qu’elles
comportent d’incertitude. En gestion de risques,
on ne cherche pas à s’assurer que les dispositifs
de maîtrise sont appliqués (ce qui est le rôle de
l’audit) mais que d’un point de vue théorique,
ils sont complets et efficaces. Le traitement de
chaque risque repose donc en partie sur l’intuitu
personae.
4
 CONCRÈTEMENT, COlogMM ENT FAIRE? se des meilleures pratiques
ies développés sur la ba
Des outils et méthodo X4 Risk permet ainsi de rép
ondre aux
ris qu es exi ste nt. PY
en gestion de
version de la norme :
principes de la nouvelle PYX4 Risk. La gestion
nt au co eu r de la méthodologie de
Les pro ce ssu s so cable de manière
•
on d à un pro ce ssu s unique et itératif, appli
de risqu e rép l’organisation.
gè ne à l’en se mble des processus de
globale et ho mo rmée dans le temps
de s ris qu es à un instant T peut être confi
• L’évalua tio n et l’analyse des
mo yen s de ma îtrise ou par la collecte
par l’au dit de s tachement des
nt la ma tér ial isation des risques. Le rat
incidents , qu i so n de leur criticité.
on s au x ris qu es pe rmet de suivre l’évolutio
plans d’a cti ionner sur les
ma nd e au x pa rtie s prenantes de se posit
PYX4 Ris k de ir une stratégie
•
cte nt leu rs ob jectifs. Elles doivent défin
risques qu i im pa de chaque risque et
on se cla ire et tra cé e en fonction de la criticité
de rép
ssibles.
des moyens d’actions po

2. LE CADRE ORGANISATIONNEL
Les nouveautés du chapitre 5 de l’ISO 31000:2018

Le cadre organisationnel proposé par la norme a pour but de

faciliter la diffusion du management des risques à toutes les
activités, processus et fonctions de l’organisation.
Il repose sur 6 composantes :

ISO 31000:2018 :
Le cadre organisationnel

Tout comme l’ISO 9001:2015, l’ISO 31000:2018
insiste sur la notion de leadership et prône une
forte implication de la Direction dans la gestion
de risques. A ce titre, on retrouve dans la norme
un alignement avec l’AMF en termes de bonnes
pratiques de gouvernance, notamment avec la
notion de comité d’audit et des risques.
Les rôles de chacun des acteurs de la gestion
de risques sont clairement définis dans l’ISO
31000:2018 :
• LA DIRECTION doit promouvoir et
communiquer sur la valeur ajoutée de la
démarche risques, mais aussi s’impliquer
dans le processus de gestion de risque lui
même. La Direction doit ainsi mettre en place
une gestion de risques adaptée et lui allouer
les ressources nécessaires, identifier et définir
les rôles de chacun au sein de l’organisation
et définir des stratégies de réponse.
• LES ORGANES DE SURVEILLANCE sont en
charge de s’assurer que les risques sont
intégrés dans les objectifs, compris, adaptés
et communiqués aux différentes parties
prenantes de façon adéquate.
La Direction, comme les organes de surveillance,
doivent démontrer leur engagement dans la
démarche de gestion de risques de sa conception
à la diffusion au sein de l’organisation, voire
auprès des parties prenantes externes.
• Véritable chef d’orchestre, le GESTIONNAIRE
DES RISQUES OU RISK MANAGER doit être
rattaché à la Direction. Ceci est un prérequis
à l’alignement de la gestion de risques
avec la stratégie de l’organisation. Le Risk
Manager est le pilote du projet de gestion de
risques, selon la feuille de route définie par
la gouvernance. Garant de la méthodologie, il
s’assure qu’elle est correctement comprise et
appliquée. Il fournit à la Direction les éléments
qui permettront d’évaluer la performance
et la pertinence de la démarche de gestion
de risques, et donc sa valeur ajoutée dans
l’organisation. Le Risk Manager n’est pour
autant pas responsable de l’ensemble
des risques de l’organisation, tout comme
le pilote de la démarche processus n’est
pas responsable de tous les processus de
l’organisation.

5
La norme ISO 31000:2018 précise en effet Le Risk Manager est donc amené à gérer et
que pour chacun des risques, un ou plusieurs historiser une masse d’informations qui peut
responsables doivent être identifiés. Souvent rapidement s’avérer conséquente. La section
désigné par le terme Propriétaire du Risque, « affectation des ressources » de la norme ISO
ce membre de l’organisation a en charge le 31000:2018 lui apporte des éléments de réponse,
traitement du risque et notamment la définition en préconisant l’utilisation d’un système de
de la stratégie de réponse et d’éventuels plans gestion de l’information dédié.
d’actions, afin d’améliorer les moyens de maîtrise.
Au delà du volet organisationnel de la gestion
de risques, le chapitre 5 insiste également CONCRÈTEMENT, COMM
sur l’importance de la concertation et de la
communication entre les différentes parties
Il existe un ce
rtain nombre
ENT FAIRE?
l’organisation d’outils dédié
prenantes du projet. Cela passe notamment par de la démarch sà
de ses inform e ri
la nécessité de « collecter, consolider, synthétiser ations. Le mod sque et la gestion
suite logicielle ule PYX4 Risk
et partager » l’information tout au long de la PYX4 permet de la
• p ar exemple d
démarche. Affecter chaq e :
ue risque à u
responsable n propriétaire
La traçabilité de l’information apparaît donc qui peut agir ,
l’ensemble d et gérer
comme un élément central. Ceci va dans le sens es étapes de
portefeuille d la gestion de
des grandes lignes directrices édictées par la e risques son
• Historiser l’en
norme ISO 31000, qui prône une démarche semble des m
apportées au odifications
itérative (avec la notion de retour d’expérience), x risques afin
trace des déc de garder un
participative (dans la prise en compte des isions prises e
qu’elles suiven et s’assurer
opinions) et responsabilisante. t un workflow
• Monitorer le tr intégré
aitement des
incidents selo risques et des
n les rôles &
via les décisio responsabilité
ns, l’état d’ava s,
documents lié ncement ou le
s. s
• Définir des dro
its d’accès à
risques adap la base de
tés aux respon
de chaque ac sa bilités et rôle
teur vis à vis s
de la démarch
e.

3. LE PROCESSUS
Les nouveautés du chapitre 6 de l’ISO 31000:2018

Ce dernier chapitre, véritable cœur de la nouvelle

norme, présente les différentes étapes du
processus de gestion de risques.
Ces différents jalons constituent un cadre
pragmatique qui aide à construire un référentiel
méthodologique pour décrire une démarche de
gestion de risques.

6
 PÉRIMÈTRE D’APPLICATION, CONTEXTE
ET CRITÈRE
La norme ISO 31000:2018 précise que
l’initialisation d’une démarche de gestion des
risques nécessite d’être abordée et gérée comme
un projet.
Cela commence par la définition du champ
d’action de la démarche, qui doit être global
puisqu’elle traite l’ensemble des évènements
susceptibles de remettre en cause la stratégie, les
objectifs, les opérations ou les projets. Pour faire
face à un champ d’action aussi vaste, la Direction
devra statuer sur un plan de déploiement de la
démarche adapté aux ressources et aux enjeux de
l’organisation.
La notion de “critères” abordée dans le chapitre
6 apporte quant à elle des réponses vis à vis
des informations à collecter pour pouvoir
traiter efficacement un risque et garantir un
reporting efficace. Parmi ces critères figurent
la définition des natures de risques, la mesure
et le niveau de criticité. A noter que la version
2018 de l’ISO 31000 propose un nouveau critère
méthodologique, à savoir la « cohérence dans
l’utilisation des mesures ». Ce critère renforce
le fait que l’évaluation des risques doit reposer
sur une échelle à la fois unique et adaptée à
l’organisation.
Ces différents éléments devront être déterminés
en début de projet, même s’ils sont forcément
amenés à évoluer dans le temps. Ils seront
développés dans la partie « appréciation ».
APPRÉCIATION DU RISQUE
La première étape de l’appréciation d’un risque
est son identification, ou plus précisément
la définition des notions à intégrer dans
l’identification et le libellé des risques.
Si l’ISO 31000:2018 ne spécifie pas de méthode,
elle liste néanmoins des éléments à prendre en
compte, tels que la source du risque, la menace
ou l’opportunité, la cause, les conséquences
(notamment sur les objectifs). La norme répond
ainsi à deux problématiques majeures de la
gestion de risques :
• Être précis pour éviter les doublons, tout
en évitant de générer des bases de risques
inflationnistes et en veillant à rattacher
chacun d’entre eux aux objectifs
• Être précis afin de pouvoir évaluer
minutieusement les risques.
L’identification du risque est précisée lors de
la phase d’analyse qui intègre le scénario, les
moyens de maîtrise existants et les interactions,
notamment avec les autres risques identifiés.

CONCRÈTEMENT, COMMENTlsFAI RE?

intègrent ces éléments.
Certaines méthodologies et outi
ue dans PYX4 Risk est composée:
Par exemple, l’identification d’un risq
ou à l’opportunité
• du libellé, correspondant à la menace
• du scénario
• de la ou des causes et conséquences seront évalués
moyens des maîtrises en place, qui
• de l’identification des dispositifs et
et de la procédure
cha que risq ue évol ue dan s un univers composé du processus
De mêm e, ue” dans la norme).
que ls il est lié, ains i que de sa fam ille (ce qui correspond au “type de risq
aux

Une fois “qualifié”, le ris

que doit être
évalué, c’est-à-dire confr
onté aux
critères préalablement
fixés, à la grille
d’évaluation de ses cons
équences, et
à sa vraisemblance. Le
scoring de la
criticité intègre les dispo
sitifs de maîtrise
qui sont également éva
lués.

7
 TRAITEMENT DU RISQUE Dans l’optique d’une stratégie visant à modifier la
criticité du risque, il convient de mettre en place
Le traitement du risque implique que son des plans d’actions qui intègrent une criticité
propriétaire se positionne sur celui-ci et établisse cible. L’ISO 31000:2018 va plus loin et insiste sur
une option de traitement ou stratégie de réponse. l’importance d’une surveillance dynamique et
Tout comme l’ISO 9001:2015, la norme permanente du risque. Elle aborde ainsi:
31000:2018 définit différents types de réponses • la nécessité « de suivre le traitement et de
possibles. Celles-ci vont du refus du risque juger de son efficacité »,
(arrêt de l’activité, élimination de la source du • la mesure du « risque résiduel », soit la
risque) à son acceptation éclairée, en passant criticité après traitement, qui devra être
par différentes actions à mettre en place communiquée et revue périodiquement
pour modifier sa criticité (à la hausse en cas
d’opportunité ou à la baisse en cas de menace).
Quelque soit la stratégie choisie, celle-ci
devra être à la fois tracée, motivée et mise en CONCRÈTEMENTs,deCOceMM ENT FAIRE?
rtains outils
perspective avec l’objectif visé. Ceci est d’autant Les fonctionnalité
re aux besoins listés
plus important que la phase de traitement, permettent de répond
000:2018.
tout comme la phase d’appréciation, intègre la par la norme ISO 31
r exemple de :
perception des différentes parties prenantes de la PYX4 Risk permet pa
atégie de
démarche de gestion de risques. • définir et tracer la str
réponse
s suite au
• tracer les évaluation
ou tout autre
traitement du risque,
nt de réévaluer
événement nécessita
inc ident ou un
sa criticité, tels qu’un
audit.
d’actions en
• monitorer les plans
de validation
intégrant un workflow
ct ions
• évaluer ces plans d’a

ENREGISTREMENT ET CONSTRUCTION Elle ne donne cependant pas d’indication

DE RAPPORTS précise ou d’exemple quant au reporting ou aux
indicateurs clés d’une gestion de risques.
L’ISO 31000: 2018 s’achève sur la dernière
étape du processus de gestion de risques, à
savoir le pilotage global de démarche et la
communication qui lui est associée.
L’objectif est d’analyser sa valeur ajoutée et son
dynamisme afin de l’améliorer si nécessaire.
L’ élaboration du reporting doit également
permettre à la Direction de prendre ou d’entériner
des décisions.
La gestion de risques met à jour les craintes et les
faiblesses (et parfois les forces) de l’organisation.
La norme invite donc à une communication
maîtrisée, qui prenne toute la mesure de la forte
sensibilité des informations contenues dans les
rapports.

8
 EN CONCLUSION
Si la nouvelle version de l’ISO 31000 ne révolutionne pas à proprement parler la gestion
de risques, elle atteint toutefois son objectif : lui conférer une plus grande simplicité de
compréhension et davantage de pragmatisme.
Alignée et cohérente avec le COSO ERM 2017 dans ses grands principes, l’ISO 31000:2018 répond
à une tendance de plus en plus forte: il ne peut y avoir qu’une et une seule démarche de gestion
des risques stratégiques dans les organisations, qu’elle soit portée par le contrôle interne ou la
Qualité.
Seul bémol, cependant de taille, elle n’aborde pas une autre question sensible: comment créer
des passerelles entre la gestion des risques stratégiques et les démarches de gestion de risques
plus opérationnels tels que les risques liés au produit, document unique, etc.

9
 Découvrez comment gérer vos risques !

Publication PYX4 2018_ Alexandre BASSE | Virginie MENOT