PME Cert S.A.

Organisme de certification ISO, VCA/LSC, OHSAS, EN,... en Belgique et pays limitrophes



306-QMS

Ce manuel, publié en 2015, est conçu pour être utilisé de pair avec ISO 31000 et fournit un guide pratique aux PME qui cherchent à améliorer leurs pratiques en matière de management du risque.

Avant-propos

Le risque est un facteur inhérent à la pratique des affaires. Les données empiriques sur le sujet indiquent que 50 % des petites et moyennes entreprises (PME) sont amenées à déposer leur bilan avant même de franchir le cap de la cinquième année. Il est donc clair que l’exploitation d’une entreprise comporte des risques. Ceux-ci peuvent avoir des conséquences en termes de performance économique et de réputation professionnelle, sans oublier les  considérations environnementales, sociales ou relatives à la sécurité. Ces risques sont de tous ordres, internes ou externes, directs ou indirects.

Contrairement aux grandes entreprises, les PME, plus limitées à divers titres, sont davantage exposées aux aspects négatifs des risques. Les études révèlent que si la plupart des PME adoptent certaines mesures de prévention et de réduction des pertes, elles n’engagent cependant pas de processus formel de management du risque et une grande majorité d’entre elles ignorent totalement la notion de traitement du risque.

Néanmoins, des lors qu’elles disposent de bons outils, comme la norme ISO 31000:2009, Management du risque — Principes et lignes directrices, les PME peuvent, grâce à leur adaptabilité, tirer parti de certaines possibilités d’augmenter leur part de marche, de se développer et de gérer leurs risques plus efficacement.

Introduction

1 Objet

Le présent guide a pour objet de fournir un bref aperçu des dispositions à prendre pour la mise en oeuvre du management du risque conformément aux exigences de la norme ISO 31000:2009 dans les petites et moyennes entreprises
(PME), au travers d’une série de questions, suivies de conseils.

La norme compte 23 pages et présente 11 principes, un cadre organisationnel et un processus qui sont adaptables aux besoins des organismes de tous types et de toutes dimensions.

2 L’intérêt de mettre en oeuvre le management du risque

Les entreprises de toutes tailles sont amenées à gérer des risques, et cela vaut depuis leur création jusqu’à la fin de leur vie. Les individus ou les groupes conscients de l’existence d’un risque susceptible d’avoir un effet positif sur les objectifs de l’organisme, par exemple la demande d’un produit ou d’un service, peuvent traiter ce risque en procédant à l’ouverture d’un nouveau magasin ou d’un nouveau bureau. Avant d’engager la moindre opération, les entrepreneurs doivent gérer d’autres risques lies a l’acquisition d’un emplacement, l’identification des compétences utiles à l’entreprise ainsi qu’au recrutement et à la fidélisation d’employés qualifiés, l’obtention d’un financement, de matières premières, d’équipements, etc. Ce ne sont là que quelques exemples d’une longue liste de risques auxquels une PME peut être confrontée.

Le management du risque est une activité stratégique essentielle pour les entreprises de toutes tailles.

3 Structure du présent guide

La structure de ce guide est fondée sur le cycle PDCA : ≪Plan-Do-Check-Act≫ (roue de Deming) que l’on retrouve dans bon nombre de systèmes de management.

Ces quatre étapes consistent à :

Planifier — déterminer ce que vous ferez (chapitre 3 Concevoir le cadre opérationnel de management du risque),
Réaliser — exécuter ce plan (chapitre 4 Mettre en oeuvre le management du risque),
Vérifier — s’assurer que le plan vous aura permis d’atteindre vos objectifs (chapitre 5 Surveillance et revue du cadre opérationnel),
Agir — identifier les domaines d’amélioration pour le prochain cycle d’activité (chapitre 6 Amélioration du cadre opérationnel).

La norme s’aligne sur cette séquence d’étapes pour soutenir l’amélioration continue, la réalisation des objectifs, tout en étant adaptable aux changements pour conserver son efficacité.

Ce guide recommande que vous mettiez en oeuvre le management du risque en :

Élaborant un plan clair,
Appliquant le plan tel qu’il a été conçu,
Vérifiant que le plan permet d’atteindre les objectifs qui ont été déterminés
(en l’occurrence, les objectifs relatifs à la mise en oeuvre du management du risque), puis en :
Agissant pour modifier le plan en fonction des informations établies lors des étapes de surveillance et de revue, concernant les aspects concluants et ceux qu’il convient d’ajuster pour améliorer les résultats.

Le cadre organisationnel de management du risque débute par les « chapitre 1 Objectifs et gouvernance » et « chapitre 2 Mandat et engagement »de la société.

4 Risque, définition et interprétation

Le risque est un terme qui a été défini à maintes reprises et de différentes manières.
Dans ISO 31000:2009

Le risque est défini comme l’«effet de l’incertitude sur l’atteinte des objectifs»

NOTE 1 Un effet est un écart, positif et/ou négatif, par rapport à une attente.
NOTE 2 Les objectifs peuvent avoir différents aspects (par exemple buts financiers, de santé et de sécurité, ou environnementaux) et peuvent concerner différents niveaux (niveau stratégique, niveau d’un projet, d’un produit, d’un processus ou d’un organisme tout entier).
NOTE 3 Un risque est souvent caractérisé en référence à des évènements et des conséquences potentiels ou à une combinaison des deux.
NOTE 4 Un risque est souvent exprime en termes de combinaison des conséquences d’un évènement (incluant des changements de circonstances) et de sa vraisemblance.
NOTE 5 L’incertitude est l’état, même partiel, de défaut d’information concernant la compréhension ou la connaissance d’un évènement, de ses conséquences ou de sa vraisemblance.
[ISO 31000:2009, Article 2.1]

L’incertitude, élément clé de cette définition, peut être le produit de la variabilité de processus naturels, et peut également survenir à cause:

• d’informations manquantes,
• d’informations disponibles mais inaccessibles,
• d’informations imprécises,
• d’informations sujettes à des interprétations divergentes, ou
• d’informations impliquant un large éventail de possibilités, y compris des changements au fil du temps.

Dans bien des organismes, les risques ayant des conséquences positives sont gérés séparément des risques ayant des conséquences négatives.

Exemple

Les conséquences positives ou négatives dépendent du contexte

Un risque de tempête est susceptible d’endommager des infrastructures ou de provoquer des retards de livraison de marchandises ou de prestation de services. Pour bon nombre de résidents et d’entreprises, la tempête peut avoir des impacts négatifs en termes d’accès des employés à leur lieu de travail, de prestations de services ou d’infrastructures majeures (par exemple, site de production, voies d’accès, ponts). Cependant, si un organisme est en mesure de fournir des services d’urgence ou de remise en état, la tempête peut alors avoir des impacts positifs pour celui-ci.

Dans les régions souvent frappées par les ouragans, les entreprises conservent d’importants stocks de panneaux de contreplaqué destinés à protéger les fenêtres, de sable et de sacs de sable, de bâches et d’aliments en conserve, de manière à pouvoir en vendre une grande partie en cas de tempête.

Pour qu’une entreprise soit en mesure de réaliser ces impacts positifs, elle doit constituer d’importants stocks à l’avance. L’incertitude de la tempête est identique pour toutes les personnes susceptibles d’être affectées. La nature de l’incertitude et son impact potentiel sur les objectifs dépendent fortement du contexte de l’entreprise. L’aptitude des fournisseurs à tirer parti de l’incertitude d’une violente tempête dépendra de la façon dont ils auront envisagé le traitement du risque d’une forte augmentation subite de la demande, en maintenant d’importants stocks de produits de première nécessite à disposition.

5 ISO 31000:2009 et les normes d’appui

ISO 31000:2009, Management du risque – Principes et lignes directrices, fournit des principes, un cadre et des lignes directrices pour gérer toute forme de risque. Cette norme peut être utilisée par tout type d'organisme sans distinction de taille, d'activité ou de secteur. Les organisations qui ont recours à ISO 31000 augmentent leurs chances d'atteindre leurs objectifs, sont mieux à même de cerner les opportunités et les menaces et d'allouer et d'utiliser efficacement les ressources pour le management des risques.

ISO 31000 ne se prête pas à des fins de certification. Elle donne des orientations pour les programmes d'audit internes ou externes. Les organisations qui l'utilisent peuvent évaluer leurs pratiques en matière de management du risque au regard d'un référentiel reconnu au niveau international, qui offre des principes rigoureux pour un management et une gouvernance efficaces.

• Le Guide ISO 73:2009, Management du risque – Vocabulaire, qui complète ISO 31000 en fournissant un ensemble de termes et définitions relatifs au management du risque.
• ISO/IEC 31010:2009, Gestion des risques – Techniques d'évaluation des risques, une norme axée sur l'évaluation des risques, qui donne aux décideurs un meilleur éclairage sur des risques pouvant gêner la réalisation des objectifs et leur permet d'évaluer l'adéquation et l'efficacité des contrôles déjà mis en place. Cette norme traite des concepts de l'évaluation des risques, des processus et de la sélection des techniques d'évaluation des risques.
• ISO/TR 31004:2013, Management du risque — Lignes directrices pour l’implémentation de l’ISO 31000

Source : iso.org / Richard Cox / PME Cert SA

Liens

BELAC

Belac, l'Organisme belge d'Accréditation.

Au service des entreprises et des consommateurs.

AIHE Association des industries

L'AIHE est une association belge multi disciplinaire regroupant exclusivement des entreprises. Née en 1928 de la volonté de quelques patrons d'ateliers mécaniques à Herstal, elle a prospéré non seulement par le nombre de ses membres, mais aussi par leurs diversités.