ISO 31000

Présentation d'ISO 31000 :

La gestion des risques est essentielle pour avoir de bonnes performances économiques ainsi que pour la réputation professionnelle des organisations. Les risques ont également une influence au niveau de l'environnement, de la sécurité et de la société.

ISO 31000 fournit des principes, un cadre et des lignes directrices pour gérer toute forme de risque. Cette norme peut être utilisée par tout organisme. En effet, les organisations utilisant ISO 31000 augmentent leurs chances d'atteindre leurs objectifs, sont mieux à même de cerner les opportunités et les menaces et d'allouer et d'utiliser efficacement les ressources pour le management des risques.

ISO31000 ne se prête pas à des fins de certification mais donne plutôt des orientations pour les programmes d'audit internes ou externes. Elle sert à évaluer les pratiques des organisations en matière de management du risque.

D'autres normes tels que ISO 73 complètent ISO 31000 en ce qui concerne le management du risque ou encore 31010 qui traite des concepts de l'évaluation des risques, des processus et de la sélection des techniques d'évaluation des risques.

Bien qu'il existe de nombreuses normes ou documents métier liés au Management des risques, celles-ci sont sectorielles et concernent souvent des points de vue limités. La particularité d'ISO 31000 est qu'il aborde la question du management des risques d'un point de vue global. L'ISO 31000 permet ainsi d'établir un dialogue entre les secteurs d'activité en leur proposant un vocabulaire et un cadre commun.

Organisation :

L'ISO 31000 est divisé en quatre grandes sections : la première définit le vocabulaire employé dans la norme, la seconde établit les principes, la troisième décrit le cadre organisationnel et la quatrième expose le processus de Management des risques.

Points communs entre COSO ERM et ISO 31000 :

• Ils reconnaissent l'importance d'analyser et comprendre les facteurs internes/externes;
• Ils reconnaissent l'importance de la répartition des tâches et responsabilités au sein de l'organisation;
• Ils reconnaissent l'importance d'identifier les évènements ayant un impact sur les objectifs de l'entreprise comme étant un risque;
• Ils reconnaissent que l'identification des risques inclue l'indentification d'évènements ayant un impact positif et négatif;
• Ils reconnaissent que les organisations doivent utiliser plusieurs techniques pour l'identification des risques;
• Ils reconnaissent que l'analyse des risques doit se faire par des méthodes qualitatives, quantitatives et semi-quantitatives;
• Ils reconnaissent la présence de risques interdépendants, pour lesquels un risque peut en engendrer un autre ou est relié à d'autres risques;
• Ils reconnaissent que le traitement d'un risque peut avoir un impact sur plusieurs risques;
• Ils reconnaissent l'importance de réaliser une analyse coûts-bénéfices avant de sélectionner des traitements de risques;
• Ils reconnaissent que l'application des traitements de risques peut engendrer de nouveaux risques;
• Ils reconnaissent l'importance d'une communication efficace entre les parties prenantes, durant le processus de gestion des risques;
• Ils reconnaissent l'importance de surveiller les risques ainsi que la mise en œuvre d'un traitement des risques;
• Ils reconnaissent l'importance d'examens indépendants de risques et traitements de risques;

Ces nombreuses similarités sont un avantage pour les entreprises souhaitant utiliser COSO ERM et ISO 31000 afin de développer leur propre structure.

Différences :

Il est important de bien relever les différences entre COSO et ISO 31000 afin de permettre aux organisations de choisir les concepts les plus judicieux pour le cas dont il est question.

...