Déploiement d’un système de management du risque

La norme ISO 31000, consacrée au management du risque, préconise de dresser une liste exhaustive des risques auxquels l’organisme est exposé, en identifiant puis en évaluant l’ensemble des évènements redoutés, c’est-à-dire les menaces potentielles pesant sur l’atteinte des objectifs ; que ces menaces soient endogènes ou exogènes et quel que soit le niveau de maîtrise du risque que l’organisme possède ou peut espérer posséder. Respecter cette préconisation aboutit à la mise en place d’une cartographie globale des risques, livrable dont le client est la direction. Elle lui donne une vision synthétique de la vulnérabilité de l’organisme, de l’entreprise, de l’association... peu importe la forme juridique. Celle-ci change peut-être la nature de certains risques mais ne modifie pas la méthodologie d’appréciation des risques. L’établissement d’une cartographie globale des risques était l’objet de notre précédent article [G 9 010].

Mais, l’objectif de la norme 31000 (que nous avons présentée et commentée dans le tout premier article [G 9 000] de cette « série ») est surtout la mise en œuvre d’un système de management. Certes, puisque l’on sait que l’implication de la direction conditionne la réussite d’un système de management, il est habile de proposer au dirigeant un outil adapté à son niveau de préoccupation. C’est un bon début. Toutefois, le déploiement d’un véritable système de management suppose que chaque acteur de l’organisme, quel que soit son poste, participe à la démarche et dispose d’outils l’aidant à mieux maîtriser les risques présents dans son périmètre de responsabilité. Or, la cartographie globale des risques ne fournit pas au management intermédiaire les éléments d’analyse qui lui permettront d’agir sur ses risques. Par exemple, chacun des processus y est sommairement représenté, souvent par une seule cotation résumant la solidité dudit processus. C’est peu pour engager des actions de progrès basées sur une réduction des risques processus. De même, la cartographie globale traite de la maturité de l’organisme dans la conduite de projet mais ne détaille pas les risques afférents à un projet spécifique. Ce n’est donc pas le bon outil pour dynamiser le processus de décision et lier l’évolution du projet (le passage des jalons, l’affectation des ressources...) à l’évolution des risques projet.

Comment alors impliquer les managers opérationnels, les pilotes de processus ou les chefs de projets, dans le système de management ? Sans générer de l’inquiétude voire de l’animosité à l’annonce d’un nouveau système, après qu’on a déjà mis en place, de gré ou de force, un management de la qualité, un management de l’environnement, un management de la sécurité... mais aussi un management des compétences, un management de l’information... Le tout peut être perçu comme une addition de « couches » pas toujours cohérentes mais toujours mobilisatrices de ressources. Perception parfois justifiée. Peut-on proposer une approche évitant que le management du risque ne soit... un « truc » de plus !

Nouveau sujet, nouveau travail. Il serait malhonnête de prétendre le contraire. Il faut donc que ce nouveau travail soit utile, en supprime ou en bonifie d’autres. Il faut que le système déployé soit facteur d’intégration de ces multiples prédécesseurs empilés dans nos organisations depuis quelques décennies.

« Intégration » sera donc ici un mot clé. Le management intégré sonne parfois comme un vœu, souvent comme une nécessité absolue exprimée par les dirigeants eux-mêmes, sans doute pour rappeler qu’une entreprise est un ensemble... un seul système. Face à cette attente, le management du risque peut, s’il est bien mené, constituer une réelle opportunité. Tout d’abord, la norme 31000 est une norme de bonnes pratiques qui n’a pas d’objectif de certification. Tant mieux. Ceci nous évitera d’aller chercher une certification au lieu de nous préoccuper de performance. Ensuite, l’ISO 31000 énonce dans ses principes fondamentaux l’obligation d’intégrer le management du risque à l’ensemble des processus organisationnels et au processus de décision. D’accord, elle reste discrète quant au comment. De plus, elle postule que ses exigences seront progressivement adoptées par l’ensemble des autres normes et entre autres par les normes QSE. Ainsi, dans l’avenir, pour être certifié ISO 9001, il faudra démontrer que l’on manage et maîtrise les risques afférents à ses différents processus. Du coup, il n’y aura certes pas de certification ISO 31000 mais de l’ISO 31000 dans toutes les certifications. Le management du risque s’intègrera effectivement aux processus organisationnels de l’organisme.

Nous allons donc tenter de démontrer dans ce qui suit que l’on peut mettre en place une méthodologie répondant à cet objectif d’intégration. Nous allons nous attacher à décrire comment organiser le management du risque de façon à ce qu’il imprègne de façon homogène le quotidien de l’entreprise, le fonctionnement des processus, le déroulement des projets, les choix de ressources, etc.