Les normes ISO peuvent-elles remplacer le Risk Management?
La mise en œuvre de diverses normes IS0 au sein d’une organisation semble parfois offrir la garantie d’une totale implémentation d’un Risk Management couvrant tous les risques encourus par cette dernière. Mais qu’en est-il en réalité? Notre spécialiste en gestion des risques, Grégoire Mottier, vous propose un tour d’horizon de ce sujet récurrent.
Conséquences d’application des normes ISO en Risk Management
Dans les normes les plus souvent citées, pour affirmer l’existence d’un système de gestion de risques, nous retrouvons:
• ISO 9001 qui recouvre le management de la qualité;
• ISO 4001 qui traite de gestion environnementale;
• ISO 27001 qui aborde la sécurité des systèmes d’information.
Ces certifications apportent à l’évidence une importante plus-value au traitement de risques, communs à toute entreprise ou collectivité publique. En effet, nous remarquons que chacune de ces trois normes influe de manière positive sur l’organisation: la gestion de la qualité a des conséquences fortement bénéfiques sur sa pérennité économique, une gestion environnementale rigoureuse permet de préserver sa réputation et finalement, la maitrise de la sécurité IT est devenue un must have, au vu des potentiels risques émergents qui connaissent une fréquence exponentielle ces derniers mois.
Où commencer? Les choix à faire!
Quelle est la meilleure stratégie? Faut-il passer les différents processus de certification avant d’aborder la phase d’audit de risques globale? Ou l’inverse? En dehors du fait que certaines certifications sont parfois exigées par le marché en termes d’avantages concurrentiels, nous partons de l’idée que le déclenchement d’un processus de gestion de risque effectué au préalable fait sens pour différentes raisons:
- Démarche englobante, elle pourra parallèlement utiliser les processus de certification comme des réponses efficaces au traitement de certains risques.
- Menée de manière «bottom-up», la gestion de risques permettra d’inclure l’ensemble des parties prenantes, avec comme corollaire une culture d’entreprise orientée vers des solutions pérennes et robustes en termes de sécurité en général. De plus, elle permettra l’adoption d’une attitude tournée vers une durabilité pleinement acceptée.
- Un vrai Entreprise Risk Management (ERM) se veut holistique par définition et traitera de sujets inévitablement « hors certification ». La préservation d’un climat social positif, une gestion de projets efficiente et le maintien de ressources financières intactes découlent également d’une bonne gestion de risques.
- Une bonne politique de traitement des risques constituera un préalable appréciable en tant que préparation à l’accès à certaines certifications. Ici encore, le Risk management fait la preuve qu’à terme, il constitue un investissement rentable et avec des avantages souvent non-perçus lors du début de sa mise en œuvre.
Ne pas se réfugier derrière les normes
Il faut accorder un grand bravo aux organisations qui ont consenti à sacrifier des ressources pour acquérir des certifications significatives dans leurs activités. Cette démarche est un signe de maturité et de compétitivité qui méritent tout notre respect! Mais comme dirait Voltaire, «L’humilité est le contrepoison de l’orgueil».
L’adoption d’un ensemble de certifications ne devrait pas constituer un prétexte pour ignorer l’ensemble des thématiques liées à des aléas négatifs ainsi que leurs conséquences, éventuellement non identifiées pour la simple raison qu’elles échappent au périmètre des sujets abordés par le monde ISO. Rappelons par ailleurs le mode de classification généralement utilisé par les Risk Managers pour s’en persuader:
- Risques exogènes;
- Risques financiers;
- Risques opérationnels;
- Risques liés aux ressources humaines;
- Risques stratégiques (amont et aval).
La prise en compte de ces catégories permettra ainsi aux organisations de déterminer la granularité avec laquelle elles désireront procéder à l’implémentation d’une gestion de risques efficace et propice à l’adoption ultérieure de normes ISO spécifiques.
Votre contact
Grégoire Mottier
Head of Risk Management
gmottier@loyco.ch