ISO Rapport. projet tuteuré. Management du risque

Transcription

1 ISO Rapport de projet tuteuré Management du risque 2011

2 Remerciements Nous tenons tout d'abord à remercier M. Gaël Morel, notre tuteur de projet, d avoir su nous conseiller et nous orienter sur les points à étudier et nous expliquer la démarche à entreprendre pour mener à bien notre projet. Nous remercions également M. François Péron, le responsable de ce projet tuteuré, d avoir choisi l étude de référentiels récents, peu connus à l heure d aujourd hui mais dont leur apprentissage nous aura permis d acquérir de nouvelles compétences qui se révèleront être des arguments convaincants pour notre future insertion professionnelle. Nous adressons toute notre reconnaissance à M. Alex Dali, membre de la commission AFNOR, d'avoir pris le temps de répondre à nos questions. Nous souhaiterions également adresser nos remerciements à M. Frugier Guillaume, membre du cabinet conseil Capsicom ainsi que la société Riskeal de nous avoir apporté des éléments de réponses. Enfin, nous adressons nos remerciements à l'ensemble du groupe 1 de la promotion pour son soutien, son partage et sa sympathie. 1

3 Sommaire Introduction... 3 Présentation de la démarche... 4 La Démarche projet... 5 Analyse de l existant... 5 Planification... 6 La norme ISO : Historique... 7 Présentation générale... 7 Contexte... 8 Objectifs et avantages... 8 L ISO 31000, une nouvelle définition du risque... 9 Structure de la norme Procédures Comparaison avec la norme AS/NZS 4360 : Le lien entre la norme ISO : 2009 et le référentiel OHSAS : Généralités concernant OHSAS : Principales exigences et organisation du référentiel Le lien entre le référentiel OHSAS et la norme ISO Mise en place de l ISO Organigramme Explication Méthode d amélioration continue Conclusion Bibliographie Annexes

4 Introduction Actuellement en formation en licence Coordinateur Qualité, Santé Sécurité et Environnement (QSE), il est souhaitable de connaître un maximum de référentiels et de guides en matière de qualité, de sécurité et d environnement afin d être performants et compétitifs dans le monde du travail. C est pourquoi nous étudions, dans le cadre de notre formation, des normes fondamentales telles que l ISO 9001, l ISO ainsi que le référentiel OHSAS Afin d élargir nos compétences, le projet tuteuré qui nous a été proposé cette année nous a permis d étudier une nouvelle norme. Cette norme n étant pas ou peu connue des étudiants, nous devrons étudier celle-ci. Notre mission sera alors de la comprendre et de l analyser pour la restituer. Le projet tuteuré aboutira, pour finir, sur le rendu d un rapport, mais aussi sur la réalisation d une soutenance. Il va donc non seulement nous permettre d étudier une norme et de nous l approprier, mais aussi de développer nos compétences en matière de communication, cette dernière se révélant être essentielle pour de futurs coordinateurs QSE. Cette norme étudiée étant présentée ensuite à tous les étudiants de la promotion, ces nouvelles connaissances acquises seront ainsi partagées. Ce projet tuteuré a aussi pour objectifs de nous faire travailler sur la planification et la gestion de projet. Devant concilier les cours, les visites en entreprise et les différents projets, nous devrions ainsi acquérir une compétence en management de projet. 3

5 Présentation de la démarche Au lancement du projet, la fiche projet et une planification nous ont permis de définir des tâches précises et des objectifs intermédiaires. Différents changements d objectifs ont été réalisés, notamment de par le changement des dates de restitution, modifiant ainsi notre Gantt à plusieurs reprises. Ensuite, nous avons procéder à la lecture de la norme ISO afin d en comprendre le contexte. Dans le but d étudier cette norme en détail, nous avons choisi de suivre des éléments de méthode exposés par notre tuteur, M. Morel. Premièrement, une schématisation des chapitres de la norme qui nous a permis de la synthétiser dans son ensemble et de visualiser l enchaînement logique de ses chapitres. Lancement ISO Lien et comparaison Grille d'audit Entreprise Restitution Fiche projet Plannification des tâches Lecture et analyse Grille d'exigences Comparaison avec AS/NZS 4360 Liens avec l'ohsas Relecture des exigences Création de la grille d'audit Prise de contact Questionnaire Demande de participation à la mini conférence Rapport Présentation orale Mini conférence Synthèse de la norme Puis, une grille de l ensemble des Figure 1: schématisation de la méthode utilisé exigences de la norme, ordonnée par chapitre, qui nous a permis de comprendre les éléments à mettre en place au sein l organisme. Enfin, la réalisation d une grille d audit permettant aux étudiants de l adapter à une entreprise dans laquelle ils seront employés ou stagiaires. Un référentiel connu évoque aussi le management du risque : l OHSAS Souhaitant faire un lien avec la norme ISO 31000, une lecture attentive de ce référentiel a été nécessaire. Nous y reviendrons dans le rapport. Nous avons aussi effectué une comparaison avec la norme AS/NZS 4360, qui se révèle être son précurseur. Afin d avoir des cas concrets et un retour d expérience, nous avons souhaité prendre contact avec des entreprises. Dans ce but nous avons créé un livret projet (annexe 1) expliquant les aboutissants de celui-ci. Les contacts que nous avons pu avoir se sont révélés insuffisants du fait que cette norme soit récente (2009). En effet, elle n a pas encore eu le temps de se faire connaître du grand public et d autres normes très attendues telles que l ISO (responsabilité sociétale) sont sorties depuis, l éclipsant à l arrière-plan. 4

6 Notre recherche d entreprises s est donc porté sur d autres sociétés (cabinets de conseils en termes de management du risque principalement) moins aptes à appliquer cette norme mais néanmoins apte à nous apporter de précieuses informations la concernant notamment au niveau de ses caractéristiques. Nous avons contacté la société AFNOR, par le biais de M. Alex Dali, membre de la commission spécialisé dans le management du risque. Nous avons eu l occasion d échanger avec la société Générali, par le biais de M. Cosse, chargé de communication, rencontré lors d une soirée débat/conférence organisée à l UBS au sujet de la norme ISO Nous avons eu également le plaisir d avoir eu une réponse encourageante de la part de M. Frugier, travaillant pour la société conseil Capsicom, du fait qu il nous ait invités à le recontacter fin janvier pour une éventuelle conférence. Enfin, la société Riskeal, proposant des expertises concernant la gestion des risques, qui a eu la sympathie de répondre à nos interrogations par mail. De plus, pour tenter d avoir un cas concret d entreprise, nous avons contacté des entreprises SEVESO qui ont pour obligation la mise en place d une démarche de management du risque par le biais de leur système de gestion de la sécurité. Nous avons procéder essentiellement par mail en leur expliquant notre projet et en leur joignant un questionnaire (annexe 2). Celui-ci aborde des questions sur la connaissance de l ISO et l explication de leur démarche en terme de management du risque (que l entreprise utilise ou non cette norme). La Démarche projet Analyse de l existant L ISO est une norme concernant le management du risque. C est une norme non certifiable. Elle sert de guide pratique pour apporter une nouvelle vision du risque. De ce fait, les entreprises n ont pas l obligation juridique ni légale de la mettre en pratique. Cependant, celles-ci doivent répondre à un certain nombre de devoirs. Au niveau européen, la directive 89/391/CEE du 18 juin 1989 vise à promouvoir l amélioration en termes de santé, sécurité au travail. Elle concerne tous les secteurs privés et publics sauf exception. De plus, au niveau de la réglementation française, l article L oblige l employeur à assurer la sécurité de ses salariés : «L'employeur prend les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs.» Les articles L et L donnent les principaux principes de prévention en termes de sécurité. On s aperçoit que le cadre réglementaire français permet tout de même de préserver la santé des travailleurs, mais l ISO permet d y contribuer et d aller plus loin. Elle ne s intéresse pas qu au contexte directement en relation avec le salarié et donc les risques directs, mais tente de déterminer les causes profondes qui peuvent interagir entre le salarié et l organisme. En effet, dans l évaluation des risques qui doit être effectuée dans le cadre de cette norme, il faut prendre en compte tous les 5

7 contextes : économique, technique, technologique, financier, Cette norme part du principe que tout changement est potentiellement un risque qu il soit bénéfique ou non. On peut illustrer cette vision par la métaphore de l agent pathogène. Il existe des risques au sein même de l organisme. Or, celui-ci se situe également dans un environnement socio-économique qui va avoir une influence positive et/ou négative suivant les relations qu il entretient avec cet environnement. Ainsi, lorsqu un évènement modifiant l organisme et/ou l environnement va avoir lieu, cela va forcément avoir un impact sur l organisme que ce soit positif ou négatif. De plus, en prenant en compte l activité économique mondiale, l environnement est extrêmement instable. L entreprise doit Figure 2: Schématisation de l'entreprise dans son environnement alors prendre conscience de ces changements brutaux et imprévisibles. Cette norme va donc permettre de rendre l organisme plus apte à s adapter à cet environnement en constant changement. Planification Le projet tuteuré a été décomposé en différentes tâches permettant leur hiérarchisation. Notre première planification était composée de différentes parties : Lancement o La fiche projet o La mise en place de la planification ISO o Lecture de la norme o Analyse de la norme o Création de la grille d exigences o Création de la grille d audit OHSAS o Lecture du référentiel o Analyse du référentiel o Lien avec la norme ISO Prise de contact avec les entreprises o Livret projet o Prise de contact avec une entreprise 6

8 o Effectuer un audit en entreprise Livrable o Rapport o Miniconférence o Rapport d audit Durant le mois de novembre, les objectifs ont été revus à la baisse due à une avancée de la date de la soutenance. Le Gantt final sur lequel nous nous sommes appuyés est joint en annexe 4. On peut voir y six grands axes. Un des axes majeurs supprimés a été la prise de contact avec des entreprises. Dans le temps imparti, nous n avons pas eu la chance de trouver d entreprise mettant en œuvre cette norme. De plus, celle-ci n étant pas certifiable, les entreprises qui commencent les démarches pour l adopter ne communiquent pas encore sur le sujet. Par contre, suite à des recherches, nous sommes allés plus loin que le lien avec le référentiel OHSAS puisque nous avons aussi à effectuer un comparatif avec la norme australienne AS/NZS 4360 qui aborde le management du risque. Mais avant de parler de ces comparaisons, qu est-ce que la norme ISO 31000? La norme ISO : 2009 Historique Juin 2005 : lancement de la procédure ISO Septembre 2005 : la norme ISO ne sera pas certifiable 2006/2007 : réunions Avril 2008 : rédaction de la norme Début 2009 : vote des membres Novembre 2009 : publication Présentation générale Il existe de nombreuses normes ou documents de travail concernant le management des risques et sa déclinaison dans des domaines tels que la sécurité. 7

9 Cependant, ces normes sont sectorielles (avionique, ferroviaire, nucléaire, pharmaceutique...). De plus, elles concernent souvent des points de vue limités comme des étapes particulières du développement de projets (par exemple la conception). Or, la gestion des risques de systèmes sociotechniques complexes comme une installation industrielle ou un développement de projet industriel nécessite d aborder la question des risques d un point de vue global. C est ainsi que la norme ISO a vu le jour. En effet, elle a été rédigée dans le but de favoriser la prise en compte des risques par l ensemble de l organisme et de fournir aux parties prenantes l assurance d une meilleure maîtrise de ces risques. On peut dire aujourd hui que l ISO est une «norme chapeau» permettant d établir un dialogue entre les secteurs d activité en leur proposant un vocabulaire et un cadre commun concernant le management du risque. Contexte La norme ISO : 2009 fournit des principes génériques et des lignes directrices pour la mise en œuvre efficace du management du risque dans les entreprises. Elle est applicable à n importe quel organisme, indépendamment de sa taille et de son secteur d activité. Elle cherche également à harmoniser le processus de management du risque et les définitions qui lui sont rattachées dans les normes existantes et futures. Comme nous l avions vu dans l historique, cette norme n est pas destinée à être utilisée pour des besoins de certification. Or, la certification n est pas une fin en soi et adhérer à la norme ISO peut apporter de nombreux avantages aux entreprises. Remarque : L ISO propose une approche générique du management des risques, mais ne préconise pas de moyens opérationnels de mise en œuvre. En d autres termes, cette norme suggère de bonnes questions pour aborder le sujet complexe de la gestion des risques et non de bonnes pratiques pour y répondre. Objectifs et avantages Pour résumer en quelques points, nous pouvons donc dire que la norme ISO a pour objectifs de : Redéfinir la notion de risque Fournir un guide générique pour le management du risque Donner des conseils sur la mise en œuvre et la maintenance du processus de management du risque dans un organisme Sensibiliser les organismes (agir sur leur culture) à la nécessité de manager les risques 8

10 Une fois cette mise en œuvre et le maintien du management du risque effectué au sein d un organisme, celui-ci pourra bénéficier des avantages suivants : Accroître la vraisemblance d atteindre ses objectifs Améliorer l identification des opportunités et des menaces Être conforme aux obligations légales et réglementaires ainsi qu aux normes internationales Accroître l assurance et la confiance de ses parties prenantes Etablir une base fiable pour sa prise de décision et sa planification Améliorer ses moyens de maîtrise Allouer et utiliser efficacement ses ressources pour le traitement du risque Améliorer la prévention de ses pertes et le management de ses incidents Améliorer l apprentissage organisationnel L ISO 31000, une nouvelle définition du risque Avant de parler de la structure de cette norme, il est essentiel de revenir sur le fait que celle-ci a introduit une nouvelle définition du risque. Posons-nous tout d abord la question, qu est-ce que le risque? La définition du risque selon le dictionnaire Larousse : «Possibilité, probabilité d un fait, d un évènement considérée comme un mal ou un dommage», «Danger, inconvénient plus ou moins probable auquel on est exposé». Suivant les domaines, le risque peut désigner plusieurs choses : une non-conformité en qualité une pollution en environnement une intoxication ou un dommage corporel en sécurité Selon l ISO 31000, le risque est définit comme «l effet de l incertitude sur l atteinte des objectifs» (définition établie dans le guide ISO 73 : 2009 comprenant le vocabulaire concernant le management du risque). Mais pourquoi avoir redéfini cette notion de risque? En fait, cela va permettre de ne plus se cantonner à la définition désignant le risque comme «la combinaison de probabilité d évènement et de sa conséquence» pour relier celui-ci aux objectifs de l organisme. Il s agit en quelque sorte d impliquer le risque et son management au sein même des objectifs de l organisme et donc d inciter à un engagement et à une participation forte de celle-ci dans ce domaine. 9

11 Structure de la norme La norme ISO : 2009 est divisée en cinq chapitres : Domaine d application Termes et définitions Principes Cadre organisationnel Processus Elle comporte également une introduction et une annexe (à titre informatif) relatant des attributs d un management du risque élevé. On relèvera trois grandes parties structurant la norme respectivement les chapitres 3, 4 et 5 : Les principes qui répondent à la question «Pourquoi fait-on du management des risques?» Le cadre organisationnel qui se traduit par le développement et l intégration du processus de management du risque dans l organisme Le processus qui précise comment intégrer le management du risque au niveau opérationnel de l organisme Nous allons donc analyser chacun de ces trois chapitres afin de comprendre la norme et de pouvoir se l approprier. Chapitre 1 : Domaine d application Comme nous l avions dit précédemment, la présente norme peut être appliquée par tout public, toute entreprise publique ou privée, toute collectivité, toute association, tout groupe ou individu. Elle n est pas spécifique à un secteur donné. Le chapitre 1 précise qu elle peut s appliquer à tout type de risque, quelle que soit sa nature, que ses conséquences soient positives ou négatives. Il rappelle également que la norme ISO n a pas vocation à servir de base à une certification. Chapitre 2 : Termes et définitions Le chapitre 2 reprend les termes que l on sera amené à trouver à la lecture de la norme. On y retrouve notamment tout le vocabulaire concernant le risque tels que la définition du risque luimême, son management, son identification, son analyse, son évaluation ou encore le traitement du risque 10

12 Pour plus de vocabulaire associé au management du risque, il existe l ISO guide 73 qui a été publié, tout comme la norme, en Chapitre 3 : Principes Avant d aborder les lignes directrices pour la mise en œuvre efficace du management du risque au sein d un organisme, la norme aborde les principes généraux de celle-ci. Le chapitre 3 énonce donc les 11 principes de la norme ISO Citons-les et tentons de les expliquer : «Le management du risque crée de la valeur et la préserve» ; Le management du risque contribue de façon tangible à l'atteinte des objectifs et à l'amélioration des performances de l organisation, à travers la révision de son système de management et de ses processus. «Le management du risque est intégré aux processus organisationnels» ; Le management du risque doit être intégré dans le système de management existant tant au niveau stratégique qu au niveau opérationnel. «Le management du risque est intégré au processus de prise de décision» ; Le management du risque est une aide à la décision pour faire des choix argumentés, pour définir des priorités et pour sélectionner les plans actions les plus appropriées à mener. «Le management du risque traite explicitement de l incertitude» ; En identifiant les risques potentiels, l organisme peut mettre en place des outils de réduction et de financement des risques dans le but de maximaliser les chances de succès et minimiser les possibilités de perte. «Le management du risque est systématique, structuré et utilisé en temps utile» ; Le processus de management du risque doit être cohérent au sein de l organisation afin d assurer son efficacité, sa cohérence et la fiabilité de ses résultats. «Le management du risque s appuie sur la meilleure information disponible» ; Pour un management du risque efficace, il est important de considérer et de comprendre toutes les informations disponibles et pertinentes pour une activité, tout en reconnaissant leurs limites, leurs données et leurs modèles utilisés. «Le management du risque est adapté» ; Le management du risque d un organisme doit être adapté en fonction des ressources disponibles ainsi qu en fonction de son contexte interne et externe. «Le management du risque intègre les facteurs humains et culturels» ; Le management du risque identifie la contribution des personnes qu elle soit interne ou externe à l organisme et qu elle soit positive ou négative quant à l atteinte des objectifs. «Le management du risque est transparent et participatif» ; En impliquant les parties prenantes, internes et externes, lors des processus de management du risque, l organisme 11

13 reconnaît l importance de la communication de par la prise en compte de leur opinion et de leur implication à tous les niveaux. «Le management du risque est dynamique, itératif et réactif au changement» ; Le management du risque doit être flexible. L environnement concurrentiel oblige l organisme à s adapter au contexte interne et externe, notamment lorsque de nouveaux risques apparaissent ou que certains sont modifiés ou encore que d autres disparaissent. «Le management du risque facilite l amélioration continue de l organisme» ; L organisme qui possède une maturité en matière de management du risque est celui qui investit à long terme et qui démontre l atteinte régulière de ses objectifs. Chapitre 4 : Cadre organisationnel Afin de visualiser au mieux ce chapitre, en voici un synoptique : Figure 3: Synoptique du chapitre 4: Le cadre organisationnel En regardant celui-ci ainsi conçu, on peut associer ce chapitre à une démarche PDCA de la roue de Deming : 12

14 To plan : Conception du cadre organisationnel To do : Mise en œuvre du management du risque To check : Surveillance et revue du cadre organisationnel To act : Amélioration continue du cadre organisationnel Management du risque Figure 4: Roue Deming : l amélioration continue To plan (P) avec la conception du cadre organisationnel qui comprend : La compréhension de l organisme et de son contexte (4.3.1) L établissement de la politique de management du risque (4.3.2) Les responsabilités (4.3.3) L intégration aux processus organisationnels (4.3.4) Les ressources (4.3.5) L établissement de mécanismes de communication et de rapports internes (4.3.6) L établissement de mécanismes de communication et de rapports externes (4.3.7) To Do (D) avec la mise en œuvre du management du risque qui comprend : La mise en œuvre du cadre organisationnel de management du risque (4.4.1) La mise en œuvre du processus de management du risque (4.4.2) To Check (C) avec la surveillance et la revue du cadre organisationnel (4.5). Et to Act (A) avec l amélioration continue du cadre organisationnel (4.6). Ceci contribuant au maintien du management du risque. Avant d énoncer les principales exigences de ce chapitre, posons-nous la question «Qu est qu un cadre organisationnel? Selon la norme le cadre organisationnel de management du risque est «l ensemble d éléments établissant les fondements et dispositions organisationnelles présidant à la conception, la mise en 13

15 œuvre, la surveillance, la revue d amélioration continue du management du risque dans tout l organisme». En d autres termes, le cadre organisationnel a pour but d intégrer les activités de management du risque dans celles de l organisation et de mettre en place une démarche proactive du management du risque. Afin d extraire les principales exigences de ce chapitre, nous avons procéder à la réalisation d une grille qui nous a permis de déterminer pour chaque sous partie les exigences associées. Voici donc celles que nous avons retenues : La direction doit être engagée dans la démarche de management du risque en définissant une politique comprenant les motivations, les objectifs, les indicateurs et les ressources allouées aux différents plans d action. L organisme doit, avant toute mise en œuvre du cadre organisationnel, évaluer son contexte interne et externe car ils pourront l influencer. La politique de management du risque comprend les motivations de l organisme et doit définir les responsabilités de chacun. La direction s engage à revoir cette politique périodiquement et/ou à la suite d un changement majeur. Le personnel de l organisme peut recevoir des responsabilités en fonction de ses compétences concernant le management du risque et des niveaux de reconnaissance sont établis en fonction de ces responsabilités. Le management du risque doit être intégré à tous les processus et à l ensemble de l organisme. Il convient d élaborer un plan de management du risque. Les ressources doivent être allouées au management du risque autant au niveau du personnel qu au niveau des processus et programmes de formation. Des mécanismes de communication interne doivent être mis en place afin d informer de l avancement du management du risque à l ensemble de l organisme notamment de par l existence de rapports internes et de processus de concertation. La communication externe doit permettre une connaissance du management du risque aux parties prenantes ainsi que leur participation notamment par des retours d informations et de par l existence de rapports externes. Le cadre organisationnel de management du risque doit prendre en compte la réglementation légale et définir un calendrier approprié à la politique. Des indicateurs pertinents et revus périodiquement doivent permettre de mesurer la performance du management du risque et la création de rapports concernant les risques. Le plan de management du risque, le cadre organisationnel et la politique doivent être revus afin de les améliorer de façon permanente et d en assurer ainsi leur adéquation avec la culture de l organisme. 14

16 Chapitre 5 : Processus Afin de mieux visualiser ce chapitre, voici un synoptique : Figure 5: Synoptique du chapitre 5: Processus Comme pour le chapitre 4, nous avons procéder à l isolement des principales exigences de la norme au moyen d un grille : Les concertations des parties prenantes interne et externe doivent être prises en compte à toutes les étapes du processus du management du risque. Les plans de communication doivent contenir les questions relatives aux risques, leurs causes, leurs conséquences et les mesures prises pour les traiter. Le contexte externe doit prendre en compte les préoccupations des parties prenantes externes ainsi que les textes réglementaires. Le management du risque doit être en adéquation avec le contexte interne : culture de l entreprise, objectifs, stratégies et décisions. Le processus de management du risque est en adéquation et s adapte aux objectifs, stratégies, domaines d application et activités déjà mis en place dans l entreprise. Les critères de risque doivent être définis, tenir compte des obligations réglementaires et légales et doivent être cohérents avec la politique de management du risque. Une liste des risques basée sur des évènements susceptibles de provoquer, stimuler, empêcher, gêner, accélérer ou retarder l atteinte des objectifs doit être établie. Il est nécessaire d étudier les réactions en chaîne et conséquences des risques listés. L analyse des risques se fait en fonction de leur vraisemblance et de leurs conséquences. Si un moyen de maîtrise est existant, il convient de le prendre en compte dans l analyse. Les 15

17 risques doivent correspondre à des niveaux afin de les hiérarchiser. L interdépendance des risques doit être prise en compte ainsi que les facteurs pouvant avoir une influence sur ceuxci. L évaluation du risque doit tenir compte des obligations légales et réglementaires. Les plans de traitement des risques existent. Tous les risques sans exception sont pris en compte. Les plans de traitement des risques doivent comprendre les ordres de priorité de mise en œuvre ainsi que les personnes responsables de cette mise en œuvre. Les plans de traitement des risques doivent comporter les raisons ayant motivé le choix de des options de traitement, les personnes responsables de ceux-ci, les actions proposées, les ressources nécessaires, les indicateurs associés et leur planification. La surveillance et la revue doivent être planifiées dans le processus de management du risque. Les résultats de la surveillance sont enregistrés. Toutes les activités relatives au management du risque doivent être tracées au moyen d enregistrements. Procédures Cette norme ne propose que des lignes directrices et n est pas certifiable. Les procédures que nous vous proposons ne sont donc pas obligatoires mais bénéfiques pour l instauration d un management du risque efficace. Chapitre Procédures 5.2 Procédure de concertation des parties prenantes 5.2 Procédure de communication en cas de crise Procédure d évaluation du risque Procédure d analyse de risque 5.6 Procédure de revue du management du risque Procédure d élaboration des plans de traitement du risque L autopsie de la norme ISO : 2009 ainsi réalisée, nous proposons le schéma suivant pour un résumé visuel et complet : 16

18 Figure 6: Schématisation de na norme ISO Nous avons donc pu constater que la norme ISO traite du management du risque. Mais avant 2009, y a avait-il d autres normes le concernant? Comparaison avec la norme AS/NZS 4360 : 2004 A la suite de nos recherches, nous avons pu trouver d autres normes traitant du management du risque. On retiendra notamment la norme AS/NZS 4360 : Celle-ci a servi de base à la conception de la norme ISO actuelle. En effet, le comité Australie/Nouvelle Zélande, qui avait examiné et mis à jour la version antérieure de AS/NZS 4360 : 1999, a décidé qu au lieu de procéder à une révision similaire de la norme AS/NZS 4360 : 2004, il devait plutôt passer à une version internationale relative au management du risque. Il en a résulté le projet ISO : Ne pouvant pas avoir accès à la lecture de cette norme, nous avons cependant pu trouver un tableau comparatif entre AS/NZS 4360 et ISO élaboré par l AMRAE (Association pour le 17

19 Management des Risques et des Assurances de l Entreprise). Nous avons jugé intéressant de le joindre à notre projet d étude : Introduction Reconnaît la diversité de nature, de niveau et de complexité des risques et veut fournir des lignes directrices sur les principes et la mise en œuvre du management des risques. Suggère que certaines directions pourraient revoir leurs pratiques de management à la lumière de cette norme. Rappelle que l intérêt et l objectif du management des risques réside dans la globalité de son application sur tous les domaines de l organisation. Risques et définitions Parle des domaines d application en précisant que la norme est générique. Ne vise pas à uniformiser le management des risques de tous les organismes, mais à harmoniser le processus de management des risques pour les normes à venir. N a pas vocation à servir de base de certification. Processus de management du risque ISO : 2009 AS/NZS 4360 : 2004 Propose 11 principes qui permettront d optimiser l efficacité du management des risques. (cf. chapitre 3) Met l accent sur : - L importance de l intégration de la culture du risque dans l organisme. - Le risque est la résultante de conséquences et d une probable déviation de ce qui était prévu au départ. - La gestion des risques peut être la gestion des menaces, mais également la gestion d opportunités. Rappelle les objectifs du référentiel. Définit les 27 mots clés du référentiel. Met l accent sur le management des risques qui doit être : - Intégré à la mise en œuvre de la stratégie - Un processus continu et itératif d amélioration - Partie prenante à la culture de l entreprise - Approprié par tous les acteurs de l entreprise Décrit des facteurs d origine des risques externes/internes. Catégorise les risques en risques financiers, stratégiques, opérationnels ou périls. Précise que le contexte comprend l environnement interne et externe à l entreprise. 18

20 Objectifs Sont intégrés dans la partie «Etablissement du contexte interne» qui demande également de prendre en compte la culture de l organisme et d élaborer des critères de risque. Identification des risques Décrit l appréciation du risque comme l indentification, l analyse et l évaluation du risque. Cherche à dresser une liste exhaustive des risques susceptibles d atteindre les objectifs de l organisation. Recherche également la nonsaisie d opportunités. Doc. Du risque Recherche pour chaque évènement possible : les sources (significatives) et les domaines d impact/les scenarii à retranscrire dans une documentation. Estimation du risque Parle d analyse du risque pour décrire l estimation quantitative, qualitative. Prend en compte les moyens de maîtrise ainsi que leur efficacité. Rappelle l interdépendance qu il peut y avoir entre certains risques. Evaluation du risque Vise à déterminer quels risques nécessitent un traitement et un ordre de priorité dans la mise en œuvre du traitement. Rappelle la notion de risque acceptable. Communication Traitement du risque Propose une communication et consultation permanente sur toute la mise en œuvre du management du risque. Recommande une documentation permanente de l ensemble des activités du management du risque. Implique un processus itératif d appréciation du traitement du risque, qui vise à décider si les niveaux résiduels de risques sont tolérables ou non. Propose un panel de plusieurs options de traitement pas nécessairement mutuellement exclusif. Enumère les informations nécessaires à la mise en œuvre Précise que la description des objectifs est incluse dans la partie «contexte». Décrit l importance de constituer une liste des risques (avec leurs sources et leurs conséquences potentielles) qui pourraient avoir un impact sur l atteinte des objectifs. Propose des exemples de risques. Propose des estimations qualitatives ou quantitatives des impacts et de la probabilité ainsi que la nécessité de prendre en compte les contrôles en place. Rappelle que l estimation des risques ne peut suffire et qu il faut évaluer le risque avec les critères de l entreprise (coûts et bénéfices associés, contraintes, facteurs socio-économiques et environnementaux). Propose une communication et un reporting constant tout au long du projet. Liste les différentes formes de traitement en distinguant le résultat attendu selon qu il est positif ou négatif. Rappelle la notion de coût/bénéfice. Propose une check-list (succincte) à penser pour élaborer un plan de traitement. 19

21 d un traitement de risque. Pilotage et revue Préconise une revue régulière notamment l avancement des plans de traitement. Recommande la documentation des revues internes et externes. Indique que le contrôle permanent du processus est essentiel et se réalise en analysant les évènements, leurs plans d actions et les résultats finaux. Résumons celui-ci. Le risque est désormais défini en termes de l effet de l incertitude sur les objectifs alors que AS/NZS 4360 le définissait comme la possibilité qu une chose ait des répercutions sur les objectifs. ISO met en évidence un ensemble de principes que l organisme doit suivre pour parvenir à un management efficace des risques (cf. les 11 principes du chapitre 3). De par l amélioration continue et la création d un cadre organisationnel, la norme ISO met l accent sur la façon dont le management des risques doit être appliqué et intégré au sein de l organisme. En ce qui concerne le processus de management du risque, il reste le même que dans l ancienne norme. Cependant, la norme ISO insiste davantage sur quelques points concernant le management du risque : L amélioration continue Les responsabilités La communication à tous les niveaux L intégration avec tous les autres processus déjà existants dans l organisme Ces deux normes comparées, on note qu aucune d entre elles n est certifiable. Existerait-il une norme ou un référentiel certifiable incluant cette notion de «management du risque»? 20

22 Le lien entre la norme ISO : 2009 et le référentiel OHSAS : 2007 Généralités concernant OHSAS : 2007 Le référentiel OHSAS (Occupational Health And Safety Assessment Series) a été publié par le BSI (British Standard Institute), organisme de normalisation britannique. Son rôle est d aider à gérer les activités de l organisme pour maîtriser les risques associés pour la sécurité du personnel dans le but d améliorer de façon permanente la performance de l entreprise. Ce référentiel a plusieurs objectifs : Assurer la pérennité de l entreprise Répondre aux exigences légales (concernant le management de la santé et de la sécurité au travail) Favoriser le déroulement des activités Assurer la satisfaction et le bien-être du personnel Mieux gérer les risques liés à la sécurité du personnel Améliorer sa performance financière Obtenir une reconnaissance officielle pour son système de management de la sécurité (dans le cas où l organisme décide de se certifier) Principales exigences et organisation du référentiel Les exigences de ce référentiel sont génériques et ne donnent aucun critère de performance spécifique en matière de santé et sécurité au travail, ni aucune spécification détaillée sur la conception d un système de management. Les exigences de l OHSAS sont réparties dans 5 chapitres principaux qui s enchaînent selon la logique du PDCA : Politique de la santé et de la sécurité au travail (chapitre 4.2) Planification (4.3) Mise en œuvre et fonctionnement (4.4) Vérification et action corrective (4.5) Revue de direction (4.6) 21

23 Mep : Mise en place EvRP : Evaluation des risques professionnels DU : Document unique SMS : Système de management de la sécurité Flèche symbolisant l amélioration continue Au niveau de la partie 4.3 de la norme, on note l apparition de la planification des évaluations des risques professionnels. Y aurait-il un lien avec la norme ISO : 2009? Le lien entre le référentiel OHSAS et la norme ISO Intéressons-nous donc au chapitre 4.3. Le référentiel précise que «l organisme doit établir, mettre en œuvre et tenir à jour des procédures pour identifier les dangers, évaluer les risques et mettre en œuvre les mesures de contrôle nécessaires». ISO OHSAS Chapitre : Chapitre : Evaluation du risque L organisme doit établir, mettre en œuvre et tenir à jours des procédures [ ] pour évaluer les risques Chapitre : Il convient que l'organisme identifie les sources de risque [ ] ainsi que leurs causes et conséquences potentielles. Chapitre : La procédure d identification des dangers [ ] doit prendre en compte les dangers identifiés. 22

24 Chapitre : Il convient que l'identification inclue les risques, que leur source soit ou non sous le contrôle de l organisme [ ]. Chapitre : Il convient que l'organisme identifie les sources de risque, les domaines d'impact, les événements (y compris les changements de circonstances), ainsi que leurs causes et conséquences potentielles. Chapitre : Le contexte externe est basé sur le contexte à l'échelle de l'organisme, avec toutefois des détails spécifiques découlant des obligations légales et réglementaires [ ] Chapitre Sur la base des résultats de l'analyse du risque, le but de l'évaluation du risque est d'aider les décideurs à déterminer les risques nécessitant un traitement et la priorité dans la mise en œuvre des traitements. L'évaluation du risque consiste à comparer le niveau de risque déterminé au cours du processus d'analyse aux critères de risque établis lors de l'établissement du contexte. Chapitre 5.5 Traitement du risque Chapitre : La procédure d identification des dangers et d évaluation des risques doit prendre en compte les dangers identifiés ayant une origine extérieure au lieu de travail, les dangers créés dans le voisinage. Chapitre : La procédure d identification des dangers et d évaluation des risques doit prendre en compte le comportement, les compétences et autres facteurs humains. Chapitre : La procédure d identification des dangers et d évaluation des risques doit prendre en compte toute obligation légale applicable se rapportant à l évaluation des risques et à la mise en œuvre des contrôles nécessaires Chapitre Les procédures d identification des dangers et d évaluation des risques doivent permettent l identification, la hiérarchisation et la documentation des risques Chapitre Les procédures d identification des dangers et d évaluation des risques doivent permettent [ ] l application des mesures de contrôle L ISO se rapporte au chapitre 4.3 du référentiel OHSAS De nombreuses similitudes sont notables concernant la façon d identifier les sources de risques ainsi que la veille réglementaire. L OHSAS se concentre sur l organisme alors que l ISO demande l identification des risques interne à l entreprises mais aussi les risques externes. Cependant ce référentiel ne donne pas les moyens d identifier et d évaluer les risques. C est à ce niveau là qu intervient la norme ISO Cette norme donne les principes directifs pour assurer une évaluation complète des risques qu ils soient d ordre économiques, sociaux, humains, techniques, financiers, La norme ISO qui n est pas certifiable à elle seule mais peut finalement être validée de par la certification d un organisme à l OHSAS :

25 Mise en place de l ISO Organigramme Créer un groupe de travail S accorder sur les critères de l évaluation pour l analyse de l existant Effectuer une analyse de l existant Définir la politique de management du risque Définir les thèmes prioritaires Définir les objectifs Définir les critères d évaluation Définir les indicateurs Mettre en place des responsabilités Evaluer les indicateurs Effectuer les revues de direction Oui Les objectifs sont-ils atteints? Non Figure 7: Logigramme de mise en place du management du risque 24

26 Explication Créer un groupe de travail Le groupe de travail doit contenir tous les niveaux hiérarchiques de l entreprise ainsi que tous les secteurs de l entreprise. Pour une entreprise de plus de 50 personnes, un membre du CHSCT doit être présent dans le groupe. Avant tout, ce groupe doit être formé au management du risque afin que tout le monde puisse s exprimer sur les mêmes bases et comprendre la norme. S accorder sur les critères de l évaluation pour l analyse de l existant Afin de représenter le contexte de l organisme, il est nécessaire de faire une évaluation. Pour cela, il est nécessaire de créer l audit qui va permettre d évaluer la politique de management du risque établie au sein l entreprise. Cette évaluation doit être exhaustive permettant de visualiser tous les risques et facilitant le travail d analyse au groupe de travail. Définir la politique de management du risque Si la direction décide de s engager dans une démarche de management du risque, la politique qu elle devra signer devra être en accord avec la politique et la culture de l entreprise. Définir les thèmes prioritaires Ces thèmes ont pour but de définir la stratégie pour l année à venir voire plus. Ces thèmes prioritaires seront inscrits dans la politique de management du risque. Définir les objectifs Les objectifs de l entreprise doivent découler des thèmes prioritaires définis précédemment. Ces objectifs doivent être atteignables et cohérents avec la politique de management du risque et avec la culture de l entreprise. Définir les critères d évaluation Des critères doivent définis afin de savoir ce que l on va mesurer. Ces critères doivent être précis permettant de mettre en place des indicateurs associés. Définir les indicateurs Les indicateurs, placés dans des tableaux de bords, sont importants car ils vont permettre une évaluation constante de l organisme. Ils doivent permettre une analyse rapide et pertinente du niveau de l objectif qu ils mesurent. Dans le cadre de la communication du management du risque, ces indicateurs doivent être facilement imprimables, affichables et interprétables par l ensemble de l organisme et des parties prenantes souhaitant leur lecture. 25

27 Mettre en place des responsabilités Une personne ne peut pas porter à elle seule toutes les responsabilités du management du risque. Le groupe de travail doit déterminer les actions et les responsabilités de chacun dans la mise en place du plan d action choisi. Evaluer les indicateurs Les indicateurs doivent être évalués pour vérifier leur pertinence dans l évaluation de l objectif. Effectuer les revues de direction La revue de direction va permettre à l organisme de vérifier la tenue de ses actions. Elle va ainsi vérifier toutes les actions grâce aux indicateurs et grâce aux écarts relevés pour l occasion. Elle va faire aussi état de l avancement des plans d action et éventuellement en proposer de nouveaux objectifs dans le cadre de l amélioration continue concernant cette norme au sein de l entreprise. Méthode d amélioration continue Cette méthode peut être utilisée selon la roue de Deming, le PDCA. Le PDCA a pour but de promouvoir l amélioration continue de l entreprise grâce à quatre étapes : To Plan Planifier To Do Faire To Check Vérifier To Act agir, ajuster Cette méthode a été lancée par les qualiticiens Juran et Shewhart à la société Bell Telephone en Figure 8: Roue Deming: l'amélioration continue Elle est utilisée dans de nombreuses entreprises aidant à la mise en place d outils de la qualité et de l amélioration continue. Cette méthode va permettre, dans le cas de la norme ISO 31000, l élaboration d un management du risque dans une entreprise. Travail en amont : Tout d abord, la direction doit s engager dans une démarche de management du risque. Un groupe de travail doit être mis en place et une analyse des risques effectuée à l ensemble de 26

28 l entreprise illustrant le contexte de l entreprise à l instant donné. Ce contexte doit être le plus réaliste possible prenant en compte tous les risques, conformément à la norme, qu ils soient d ordre économiques, technologiques, sociaux To PLAN Suite à cette analyse, une revue de direction doit être effectuée afin de définir les objectifs prioritaires. Ces objectifs doivent être planifiés et des responsabilités attribuées. La direction doit communiquer à l ensemble de l entreprise, ainsi qu aux parties prenantes externe, l engagement de l entreprise dans cette démarche de management de risque. Ces informations peuvent être diffusées notamment par des rapports de communication interne et externe. L entreprise doit également définir des indicateurs permettant d évaluer le niveau des objectifs mis en œuvre. To DO A la suite de la planification, les responsables désignés mettent en place les actions associées aux objectifs définis précédemment en fonction des ressources allouées et prévues pour chaque tâche. On précise qu en s engageant dans cette démarche, la direction doit mettre à disposition les ressources nécessaires pour la mener à bien. Chaque employé doit se sentir concerné par les actions mises en place et donc en être informés. To CHECK Chacun devra faire preuve de feedback aux personnes en charge du suivi des indicateurs qui ont été mis en place. Ils devront ensuite être analysés. Des audits internes ou externes (annexe 3) peuvent être nécessaires et menés pour évaluer la mise en place de l ISO au sein de l organisme. ACT Lors de revue de direction suivante, les objectifs seront revus. S ils sont atteints, il faudra en poser de nouveaux. S ils ne sont pas atteints, il faudra comprendre pourquoi ceux-ci n ont pas été efficients. Les indicateurs devront également être revus en jugeant de leur pertinence suivant les évolutions constatées. Tous les points concernant le management du risque doivent être pris en compte lors de la revue y compris les points non prioritaires. Les représentants de tous les secteurs de l entreprise doivent être présents lors de cette réunion présidée par la direction ou son représentant. 27

29 Conclusion Ce projet nous a permis de mettre en place la totalité d une démarche projet incluant des contraintes de temps importantes permettant une organisation et une planification rigoureuses et méthodiques. Les compétences acquises pendant la formation, notamment l apprentissage de la norme ISO 9001 ou encore les travaux dirigés relatifs à l OHSAS , nous ont aidées dans l étude de cette norme. En ayant étudiée cette norme, nous retenons que l ISO est une «norme chapeau» permettant d établir un dialogue entre les secteurs d activité, en leur proposant un vocabulaire et un cadre commun concernant le management du risque. Cette norme internationale découle de la norme AS/NZS 4360 qui avait une portée australienne et néo-zélandaise. Elle a su évoluer pour correspondre aux organismes internationaux en adoptant un langage commun dans le domaine du management du risque. A l instar de la norme AS/NZS 4360, l ISO n est pas certifiable cependant, grâce à notre comparaison, certains points du référentiel OHSAS sont semblables à la norme ISO De ce fait, il est possible de faire valider ces points communs en se certifiant OHSAS On peut alors se demander dans quelle mesure les entreprises vont s intéresser à cette norme. Actuellement, M. Dali et un groupe d experts internationaux sur l ISO , ont lancé une enquête concernant la norme ISO Elle se termine le 15 décembre M. Dali nous a certifié qu environ 35 % des participants sur les 1479 participants actuels, utilisent l ISO Beaucoup d entreprises ne connaissent pas l ISO , cependant la plupart des entreprises françaises ou internationales, qui ont mis en place un programme de management des risques, ont partiellement mis en place des éléments de cette norme. 28

30 Bibliographie La norme ISO : 2009 Le référentiel OHSAS :

31 Annexes Sommaire des annexes Annexe 1 : Livret projet 31 Annexe 2 : Questionnaire ISO Annexes 3 : Grille d audit 40 Annexe 4 : Planification 45 Annexe 5 : Sommaire des images 46 30

32 Annexe 1 : Livret projet 31

33 Sommaire Sommaire Fiche projet Présentation du projet tuteuré Objectifs Présentation de la norme Présentation des participants

34 Fiche projet Nom du projet Etude d un référentiel Thème La norme ISO :2009 portant sur le management du risque Participants Laurie Payri Chinanou Kévin Rozay Tuteur universitaire Gaël Morel Motifs Cette norme n est pas étudiée dans le cadre universitaire. Cela nous permet d acquérir de nouvelles compétences et de nouvelles connaissances. Objectifs Apprendre à étudier une norme pour en dégager les objectifs et les enjeux. Comprendre la démarche de certification. Mettre en lien différentes normes. Apprendre à en synthétiser les données puis les restituer. Présenter un cas d entreprise Echéance 13 décembre

35 Présentation du projet tuteuré Objectifs Un projet tuteuré est un travail universitaire qui a pour but d engager une démarche au sein d une entreprise par des étudiants. Ces derniers, suivis par un tuteur universitaire, ont pour but de proposer un service à l entreprise. Les projets tuteurés ont pour but d amener les étudiants à utiliser leurs compétences acquises en formation. L utilisation de ces aptitudes leur permet de se créer eux même une expérience professionnelle tout en étant dans le cadre de la formation. Le tuteur universitaire assure à l entreprise la garantie d un travail rigoureux et de qualité. De plus, toutes les études et interprétations des résultats seront effectuées à l IUT n entrainant aucune perte de temps au sein de l entreprise. Par souci de confidentialité, aucune donnée ne sera communiquée sans l accord de l entreprise. Nous souhaiterions pouvoir présenter votre entreprise ainsi que votre démarche de management du risque. Cette démarche sera présentée lors d une mini conférence de 20 minutes dans le but de concrétiser ce projet. Cette présentation se fera devant un public d étudiants de notre promotion et de professeurs. 34

36 Présentation de la norme Les sociétés se trouvent face à deux objectifs qui semblent a priori contradictoires : développer l innovation (nouvelles technologies, démarches et organisations, nouveaux produits, procédés et services, etc.) qui est source intrinsèque de risques, et garantir un haut niveau de sécurité aux citoyens. Pour réconcilier ces objectifs, les risques doivent être maîtrisés et les justifications de cette maîtrise fournies. La norme ISO fournit un cadre général au Management du risque qui englobe la problématique de la sécurité et l inscrit au sein des multiples préoccupations des organismes et des autres parties prenantes. L ISO fournit tout d abord une redéfinition du terme de risque qui permet de prendre en compte explicitement de nombreuses problématiques récentes. Cette norme définit le risque comme l «effet de l incertitude sur l atteinte des objectifs» Le processus de Management des risques qu elle propose, complète ceux existants en y intégrant par exemple la prise en compte explicite du contexte dans lequel le risque est étudié. La norme introduit un second processus appelé Cadre organisationnel structurant les activités des organismes pour mettre en place et améliorer continûment le processus de Management des risques. Enfin, elle base l ensemble de ces activités sur des principes généraux qui doivent régir la structure de ces processus et leur mise en œuvre Cette norme revient à accepter l imperfection des activités du processus de management du risque, même s il met en œuvre les meilleures connaissances à un moment donné. Le fait que le processus ne soit pas parfait revient implicitement à accepter la probabilité de survenue d incidents ou d accidents qui doivent être sources de progrès. 35

37 Présentation des participants Laurie Payri Chinanou 22 ans 48, av de la Libération Quimper Kévin Rozay 21 ans 32 rue Lazare Carnot Lorient Formation et compétences Actuellement : Coordinateur en qualité, sécurité santé et environnement BTS Qualité dans les industries alimentaires et bio industrie Maitrise des outils de la qualité (PARETO, HACCP, ISHIKAWA) Management de projet (GANTT, QQOQCP, ) Formation et compétences Actuellement : Coordinateur en qualité, sécurité santé et environnement DUT Qualité logistique industrielle et organisation option organisation et gestion des flux Maitrise informatique (Word, Excel, Access, Power point, Prélude) Management de projet (GANTT, QQOQCP, ) Projets universitaires Réalisation d une Analyse Préliminaire des Risques Création d une entreprise fictive Réalisation d un diagnostic global express Projets universitaires Réalisation d une Analyse Préliminaire des Risques Création d une entreprise fictive Réalisation d un diagnostic global express Expériences professionnelles Gestionnaire de la qualité Entreprise Maison francis Miot Révision du plan HACCP, Audit, Rédaction de procédures et d enregistrement pour la certification ISO Expériences professionnelles Logisticien SRDi Réimplantation d atelier, Audit, Procédures, mise en place d adressage, création d indicateurs de production 36

38 Annexe 2 : Questionnaire ISO Questionnaire concernant la norme ISO destiné aux entreprises dans le cadre d un projet tuteuré (licence pro. Qualité Santé-Sécurité Environnement à l IUT de Lorient) Quel est le nom de votre organisme et quel est votre secteur d activité?.. Quel est l effectif de votre entreprise?.. Quel est votre niveau de sensibilisation à la norme ISO 31000? Je ne connais pas cette norme J ai déjà entendu parler de cette norme J ai quelques connaissances concernant cette norme Je comprends tout à fait cette norme Comment se passe le management des risques au sein de votre organisme? Il est principalement orienté vers l audit Il est principalement orienté sur la santé-sécurité Il est principalement utilisé pour rapporter les données de performance interne et externe Toutes les décisions prises dans votre organisme le prennent en compte Il n est pas utilisé dans votre organisme Comment comparez-vous la norme ISO : Management du risque - Principes et lignes directrices (2009) à d'autre management du risque que l on peut trouver dans d autres normes et référentiels? Il s'agit d'une amélioration significative Il est assez semblable aux normes précédentes / directives C'est pire que les précédentes normes / directives Sans opinion 37

39 Selon vous, quelle est la définition du risque? Risque : Effet de l'incertitude sur l atteinte des objectifs Risque : Evénement qui aurait un impact négatif sur l organisme Risque : Possibilité de faire un profit ou d'augmenter les revenus Risque : Combinaison de la probabilité d'un événement et ses conséquences Risque : Danger ou risque de perte Aucune de ces réponses Quelles normes/directives concernant le risque sont utilisées dans votre organisme? L ISO est fondée sur 11 principes. Quels principes (le cas échéant) ne sont pas appropriés à votre organisme? Le management du risque crée de la valeur et la préserve Le management du risque est intégré aux processus organisationnels Le management du risque est intégré aux processus de décision Le management du risque traite explicitement de l'incertitude Le management du risque est systématique, structuré et utilisé en temps utile Le management du risque s appuie sur la meilleure information disponible Le management du risque est adapté Le management du risque intègre les facteurs humains et culturels Le management du risque est transparent et participatif Le management du risque est dynamique, itératif et réactif au changement Le management du risque facilite l'amélioration continue de l'organisme ISO stipule que «La présente Norme internationale n'est pas destiné à être utilisée à des fins de certification» Pensez-vous que: La certification externe n'est pas nécessaire parce que les audits internes sont suffisants La certification externe n'est pas nécessaire pour d'autres raisons La certification externe est souhaitable Sans opinion ISO est un guide concernant le management du risque. Croyez-vous que les organismes : devraient l'utiliser volontairement devraient être fortement encouragés à l'utiliser doivent se conformer à celle-ci (imposé par la loi et des règlements) Sans opinion 38

40 Votre organisme? a adopté la norme ISO va mettre en œuvre la norme ISO dans le futur n'a pas l'intention de mettre en œuvre la norme ISO sans opinion Votre organisme a-t-il prévu une formation au management du risque? Oui Non et n'a pas l'intention de le faire pour le moment Je ne sais pas Pouvez-vous nous décrire succinctement comment se passe le management du risque au sein de votre organisme? Qui s en charge et qui en est informé? Nous autorisez-vous à citer le nom de votre organisme dans le cadre d une soutenance finale concernant cette norme? Oui Non Merci pour vos réponses qui nous seront fort utiles pour mener à bien notre projet tuteuré 39

41 Annexe 3 : Grille d audit Audit ISO : 2009 Thèmes numéro Questions Appliqué 1 - Le management du risque Le management du risque mis en place par l'organisation est-il conforme à la 1.1 réglementation légale? L'ensemble de l'organisme est-il au courant de la mise en place du management du risque de l'organisme? Le management du risque est-il communiqué à l'ensemble des parties prenantes? La politique du management du risque comprend-elle comment les conflits d'intérêts sont traités? Non appliqué 1.5 Les prises de décision sont-elles cohérentes avec le management du risque? 1.6 Les décisions prises pour l'amélioration du plan de management du risque sont-elles en adéquation avec la culture de l'organisme? 1.7 Les objectifs des parties prenantes sont-ils pris en compte? 1.8 Les préoccupations des parties prenantes sont-elles prises en compte? 1.9 La réglementation légale est-elle prise en compte lors de la sélection des options de traitement du risque? 1.10 Les responsabilités de surveillance sont-elles clairement définies? 2 - La politique du management du risque 2.1 La politique en management du risque existe-t-elle? 2.2 Cette politique est-elle: en accord avec la culture de l'organisme? Les autres politiques présentes dans l'entreprise? Revue régulièrement? Datée et signée du directeur de l'organisme? En accord avec les relations contractuelles de l'organisme? En accord avec la réglementation légale? 2.3 La politique de management du risque est-elle affichée? 2.4 La politique de management du risque définie et comprend-t-elle: L'engagement de la direction? Les objectifs concernant le management du risque? Les indicateurs de management du risque? Les responsables du management du risque? La stratégie du management du risque? L'engagement de la direction à améliorer sa politique à la suite d'un évènement de circonstance? 40

42 2.4.7 L'engagement de la direction à mettre à disposition les ressources nécessaires à la disposition des responsables? 3 - Conception du cadre organisationnel du management du risque 3.1 Compréhension de l'organisation et de son contexte Les rôles, la gouvernance et l'organisation sont-ils clairement définis 3.1.1? Les ressources et les connaissances sont-elles définies et quantifiables? Les systèmes de flux d'informations sont-ils fonctionnels? 4 - L'organisation du management du risque 4.1 Les personnes recevant les responsabilités du management du risque et de sa gestion sont-elles clairement identifiées? 4.2 Les responsables de l'élaboration des plans d'actions sont-ils définis? 4.3 Les responsables à tous les niveaux concernant le processus de management du risque sont-ils identifiés? 4.4 Les mesures de performances et les différents processus internes sont-ils clairement définis et transmis aux niveaux hiérarchiques supérieurs? 4.5 Des niveaux de reconnaissance sont-ils établis? 4.6 Le management du risque est-il intégré: A tous les processus de fabrication? A tous les processus organisationnels? 4.7 L'entreprise organise-t-elle des séances de formation et d'information? 5 - Ressources allouées au management du risque 5.1 Pour l'allocation des ressources, sont pris en compte: Le personnel? Les aptitudes? L'expérience? Les compétences? 5.2 Les ressources nécessaires sont-elles prises en compte à chaque étape du management du risque? 5.3 L'allocation des ressources a-t-elle prise en compte: Les méthodes? Les ressources nécessaires? Les outils? Les processus? Les procédures documentées? Les connaissances? Les programmes de formation? 6 - Communication du management du risque 6.1 Existe- il des rapports de communication interne? 41

43 6.2 Les mécanismes de communication facilitent-ils l'accès et la pertinence des informations? 6.3 Les parties prenantes externes participent-elles à l'établissement des mécanismes de communication? 6.4 Existe-il des rapports externes conformes à la réglementation en vigueur? 6.5 Existe-il un moyen d'avoir un retour d'informations des parties prenantes externe? 6.6 Une communication existe-elle en cas de crise ou d'imprévu? 6.7 Les parties prenantes extérieures sont-elles concertées afin d'assurer que le cadre organisationnel reste approprié? 6.8 L'organisme communique-t-il avec les parties prenantes internes sur les avancés du management du risque? 6.9 L'organisme tient-il compte des remarques des parties prenantes concernant le traitement des risques? 6.10 L'organisme communique-t-il avec les parties prenantes interne et/ou externe impliqué par un risque lors d'un traitement? 6.11 Le plan de traitement est-il communiqué aux parties prenantes impliquées? 7 - Plan d'action du management du risque 7.1 Le plan d'action est-il mis en place? 7.2 Le plan d'action est-il revu? 7.3 Les idées, perceptions et recommandations des parties prenantes: Sont-elles enregistrées? Respectent-t-elles l'intégrité personnelle? Respectent-t-elles la confidentialité des personnes? 7.4 Les idées, perceptions et recommandations des parties prenantes sont-elles prises en compte? 7.5 Les objectifs sont-ils en accord avec la politique de management du risque? Les critères d'évaluations sont-ils en accord avec la politique de management du risque? Identification du risque Les critères de risque sont-ils définis en fonction de la nature de la cause et des conséquences provoquées? Tous les risques identifiés sont-ils basés sur les évènements susceptibles de provoquer, stimuler, empêcher, gêner, accélérer, ou de retarder l'atteinte des objectifs de l'organisme? Les risques associés au fait de ne pas saisir une opportunité sont pris en compte ainsi que les risque dont l'organisme n'as pas le contrôle sur les sources de risques. 7.9 L'examen des réactions face à ces risques est-il effectué? (effet en cascade compris.) 7.10 Toutes les causes et conséquences sont-elles étudiées? 7.11 Les personnes ayant les connaissances appropriées participent à l'identification des risques? Analyse du risque 42

44 7.12 Le risque est-il analysé en fonction des conséquences et de leur vraisemblance? 7.13 Les moyens de maîtrise du risque soit-il compris dans cette analyse? 7.14 Un niveau de risque correspond-t-il au type de risque déterminé? 7.15 L'interdépendance des différents risques et de leurs sources est-il pris en compte? 7.16 Les facteurs pouvant avoir de l'influence sur le risque sont-ils pris en compte? 7.17 Les décisions quant à l'évaluation du risque prennent-elle en compte le contexte élargi de l'organisme? Traitement du risque 7.18 Le traitement du risque est-il évalué? 7.19 Les niveaux résiduels de risque soit-il évalués? 7.20 Les risques dont le traitement n est pas justifiable au plan économique sont-ils pris en compte dans cette sélection? 7.21 L'ordre des priorités de traitement est-il identifié dans un plan de traitement? 7.22 Les informations suivantes sont-elles présentes dans le plan de traitement? Les raisons des choix de traitement? Les responsabilités? Les mesures de performances et de contraintes? Les exigences en matière de rapport et de surveillance? Le calendrier et le séquencement? 7.23 Le plan de traitement est-il intégré à tous les processus de l'organisme? 7.24 Le risque résiduel est-il documenté? 7.25 Des indicateurs sont-ils mis en place? 8 - Surveillance du management du risque 8.1 Les indicateurs sont-ils revus périodiquement? 8.2 Le calendrier est-il revu périodiquement? 8.3 Les écarts sont-ils revus périodiquement? 8.4 L'adéquation entre le cadre organisationnel et le plan de management du risque est-il vérifié? 8.5 Le cadre organisationnel est-il revu périodiquement? 8.6 Le plan de management du risque est-il revu périodiquement? 8.7 L'organisme s'assure-t-il que les personnes responsables aient compris les différents principes? 8.8 L'organisme doit s'assure-t-elle que les parties prenantes aient comprit les différentes principes? 8.9 Une veille réglementaire est-elle mise en place? 8.10 Le management du risque s'effectue-t-il dans les objectifs de l'organisme? 43

45 8.11 Les outils et techniques sont-ils adaptés face aux risques auxquelles elle est exposée? 8.12 Le plan de traitement est-il revu périodiquement? 8.13 Le risque résiduel est-il revu? 8.14 Une veille technologique est-elle mise en place? 8.15 La surveillance fait-elle l'objet d'un rapport externe et interne? 44

46 Annexe 4 : Planification 45