|
Janvier-février 2010 - N° 109 - Préventique Sécurité
La norme NF ISO 31000
Un texte UNIFICATEUR
par Alain Goarant
Téléchargez le document complet en version PDF en cliquant ici
LA PARUTION en janvier dernier de la norme ISO 31000 doit être soulignée, car dans l’univers des normes, celle-ci va occuper une importance particulière. Il ne s’agit pas seulement d’une norme supplémentaire, parce que son but est d’unifier. Au fil du temps, le dispositif normatif a réuni des textes multiples, traitant des sujets les plus divers, en empruntant à quelques principes initiaux et en les complétant parfois maladroitement, de sorte qu’il a perdu une grande part de sa signification et de sa crédibilité. Cette évolution peut être mise en parallèle avec celle des dispositifs réglementaires qui ont grossi dans des proportions telles qu’ils tendent à la paralysie. Mais, si le système juridique a su évoluer grâce à la jurisprudence qui a très tôt imposé quelques principes supérieurs, le système économique libéral a toléré que le dispositif normatif s’éparpille et évolue dans les détails au mépris des principes initiaux. La norme ISO 31000 a pour mission de favoriser une expression plus unitaire et peut-être plus globale de l’ensemble. Un tel texte manquait au dispositif. Nous l’appelions depuis toujours et c’est avec un intérêt certain que nous observons sa parution. Sera-t-il le moteur attendu ? Nous avons demandé à Alain Goarant, consultant expérimenté ayant participé très activement à la commission de l’Afnor qui a élaboré cette norme, de présenter brièvement celle-ci. Nous reviendrons sur le sujet prochainement, à l’occasion des journées organisées à Paris, par Préventique et l’Afnor les 10 et 11 juin prochains, sur le thème de l’apport des normes à la sécurité et au management des risques.
Hubert Seillan
LA NOTION DE RISQUE est de plus en plus présente dans notre société. Nous y sommes de plus en plus sensible. Que ce soit en termes de danger naturels, technologiques, financiers ou sanitaires, ces derniers mois ont malheureusement été riches en actualité. Que l’on évoque les inondations récentes en Vendée ou la grippe A(H1N1), force est de constater qu’il nous faut disposer de méthodes, ou tout au moins d’une démarche d’analyse des risques communes au plus grand nombre, pour pouvoir prendre une décision sur la base d’un système d’analyse et de critères équilibrés et propres à conduire à l’efficience de la décision et du traitement du risque. À cet aspect négatif des risques au sens de pertes, il convient bien évidemment d’ajouter la notion d’opportunité que l’on pourrait associer au plan de relance de l’industrie, par exemple. Nous espérons tous que les actions engagées dans le plan de relance conduiront au retour de la croissance créatrice de valeur et de recettes fiscales et qu’il ne sera pas nécessaire de recourir à un nouvel impôt pour financer à posteriori les actions déployées. La parution au mois de janvier dernier de la norme ISO 31000, peut paraître opportune. Cette norme « Management du risque - Principes et lignes directrices
» a été homologuée pour prendre effet au 30 janvier 2010.
Comme l’indique son titre, cette norme établit des lignes directrices. Elle n’a pas pour vocation à conduire à la certification. Elle se veut de portée générale et la plus transversale possible. Elle doit permettre à chacun quelque soit son organisme et son activité ainsi que le sujet traité, dommage ou cible, gain ou perte, d’évaluer et de traiter les risques inhérents. Les travaux qui ont conduit à l’élaboration de cette norme ont mis en évidence, s’il en était encore besoin, la différence des approches latines et anglo-saxonnes. Nous avons encore du mal à comprendre et admettre la notion de risque bénéfique. Et pourtant le créateur d’entreprise s’engage et le banquier le soutient s’ils estiment chacun que le risque lié à la réalisation de profit est supérieur au risque de pertes. Tel est le parti pris de cette norme de management du risque pour laquelle la définition du risque est l’incertitude sur l’atteinte des objectifs. Cette norme doit servir à « l’harmonisation des processus de management du risque dans les normes existantes et à venir ».
Onze principes
La norme définit onze principes. Le premier d’entre eux est en relation avec les effets bénéfiques, puisque l’objectif déclaré du management du risque est la création de valeur et/ou sa préservation. Vient ensuite l’intégration au processus organisationnel et au processus de prise de décision. Le processus de décision n’est pas décrit, mais il s’inscrit dans la démarche dite d’appréciation et de traitement du risque. Parmi les autres principes énoncés, il est possible de relever les notions fondamentales de management dynamique, itératif et réactif au changement qui s’appuie sur la meilleure information disponible. Les dernières notions énoncées sont extrêmement importantes et ne sont pas aujourd’hui systématiquement mises en oeuvre dans les normes existantes relevant du traitement et de l’analyse du risque, comme l’ISO 14001 ou à l’OHSAS 18001. Si le processus d’itération peut être associé à l’amélioration continue, la notion de dynamique dans le management du risque introduit une nouvelle dimension, qui faisait défaut, de projection sur une échelle de temps plus ou moins longue, plus en accord par exemple avec les obligations de sécurité de l’employeur en matière de risque chronique (maladies professionnelles). Ainsi la norme ISO 31000 introduitelle la notion de scénario profitable ou dommageable et rejoint ainsi certaines dispositions à caractère réglementaire que l’on retrouve dans la cinétique de l’accident ou de l’événement redouté central des études de danger. Les éléments ci-dessus nécessitent une capacité de réactivité au changement et l’accès à la meilleure information disponible, donc à la mise en place d’une veille permanente et non d’une recherche cadencée à une fréquence plus ou moins importante des éléments nécessaires à la connaissance des phénomènes et à l’établissement du contexte.
Le management du risque
Le cadre organisationnel du management du risque décrit n’apporte pas d’élément particulier ou novateur pour les organisations rompues aux systèmes qualité. On retrouve aux tous premiers rangs les notions d’engagement, de mandat, de communication interne ou externe et de surveillance et de revue, au service du système de management et de l’amélioration continue. L’amélioration continue du système de management des risques est destinée à soutenir la décision et la stratégie de l’entité permettant ainsi la diminution de sa vulnérabilité et sa profitabilité à court, moyen et long terme. Un tel objectif et une telle organisation, en ces temps d’incertitude doit permettre un pilotage au plus prêt des préoccupations quotidiennes des dirigeants et des opérationnels pour construire les éléments de contexte qui permettront la meilleure l’analyse des risques identifiés en vue de leur évaluation puis de leur traitement. La transversalité et l’application des principes de cette norme au plus grand nombre de thèmes possibles, économiques, sociaux, technologiques… conduit aussi vers des normes de management plus large comme l’ISO 9004 puisque, comme annoncé au chapitre 5.6 « Surveillance et revue », les résultats « constituent une mesure de la performance et peuvent être intégrés au management global des performances de l’organisme ».
Le processus de management du risque
L’absence du mot danger dans la norme peut désarçonner les praticiens des évaluations des risques santé et sécurité au travail et des études de danger. En effet, le processus, tel que décrit dans la norme, traite de l’établissement du contexte, de l’appréciation du risque et du traitement du risque. La phase d’appréciation comprend l’identification du risque, l’analyse du risque et l’évaluation du risque. Ce qui est fondamental, c’est l’intégration dans le processus itératif de l’établissement du contexte. En effet ce point est trop souvent négligé ou oublié et peut réviser malgré des évolutions parfois rapides et pouvant avoir des impacts importants. C’est dans cette phase de détermination du contexte que sont définis par le propriétaire du risque, les « critères de risque » qui sont les niveaux d’acceptabilité ou d’objectif du risque auquel seront comparés les niveaux de risques issus de l’analyse devant conduire à la décision de traitement. La revue régulière de ces critères fait partie du processus d’amélioration. Les phases d’identification et d’analyse sont intimement liées et doivent s’appuyer sur des scénarios destinés à l’étude des conséquences éventuelles. L’ensemble des analyses se poursuivent par un traitement puis un plan d’action. L’ensemble du processus est surveillé et revu.
La décision
Tout processus de management se doit d’aboutir à la décision, la meilleure possible, et cette norme de management du risque ou de management par le risque dans le sens opportunité et menace n’a d’intérêt que par la qualité de la décision cohérente et efficiente qu’elle peut « produire ». Ainsi dans les principes, le management du risque est intégré au processus de prise de décision. La décision est évoquée plus loin dans la norme, entre l’évaluation et le traitement. Le processus de décision doit être conduit en parallèle, mais constitue le « client » du processus de management du risque et des autres processus de management. En effet c’est la décision, moteur de toute action, qui permet le juste pilotage de l’entité. Le management du risque n’a de raison d’être que par son utilisation dans le processus de décision qui doit permettre à l’entité d’évoluer, dans le cadre de sa stratégie, vers ces objectifs successifs le plus sûrement possible dans le respect des coûts et des délais, à court moyen et long terme et sans obérer les chances des générations futures. Pour y arriver, le champ d’application du management du risque doit être le plus large possible pour établir la cartographie globale des risques de l’entité, c’est-à-dire des opportunités qui se présentent à elle et des menaces potentielles auxquelles il sera nécessaire de faire face sur le chemin de la performance.
|
