D’après la norme, l’efficacité du management du risque repose sur l’application de onze principes. Ces principes doivent être appliqués à tous les niveaux de l’entreprise et se présentent comme suit.
Créer de la valeur et la préserver
Il s’agit bien là aussi de créer de la valeur au sens financier du terme, mais également dans les performances de l’entreprise. Le management du risque permet donc l’atteinte des objectifs tout en améliorant la sécurité et la santé des biens et des personnes, le respect des exigences réglementaires et contractuelles, la protection de l’environnement, la conformité des produits et services.
Être intégré aux processus organisationnels
Pour que le management du risque soit efficace, il faut qu’il soit intégré à tous les principaux processus organisationnels de l’entreprise. Cela concerne en outre obligatoirement les processus de planification stratégique, de management de projet et de la conduite du changement.
Être intégré aux processus de prise de décision
Les techniques de management du risque permettent d’élaborer des outils d’aide à la décision en définissant des priorités d’actions motivées.
Traiter explicitement de l’incertitude
Il est fondamental de définir et d’évaluer les incertitudes sur l’atteinte des objectifs afin de pouvoir les maîtriser.
Être systématique, structuré et utilisé en temps utile
Toute démarche se doit d’être organisée avec méthode et rigueur pour pouvoir être efficace. L’application de ce principe permettra une approche claire et généralisée du management du risque pour un meilleur résultat.
S’appuyer sur la meilleure information disponible
Les sources d’informations sont multiples, elles peuvent être internes à l’organisme (retour d’expérience, archives, etc.), mais également externes (données historiques, experts, etc.). Dans tous les cas, il est capital que l’information utilisée soit maîtrisée en tenant compte des éventuelles limites de l’information (divergences d’experts, modèles incertains, etc.).
Être adapté
Le management du risque est universel, mais cela ne signifie pas identique. C’est pourquoi il convient de tenir compte du contexte interne et externe de l’organisme, mais également de son profil de risque.
Intégrer les facteurs humains et culturels
La maîtrise des risques liés aux facteurs humains est essentielle pour tout organisme pérenne. Il ne faut pas oublier de tenir compte des facteurs humains externes qui selon leurs intentions peuvent faciliter ou nuire à l’atteinte des objectifs.
Être transparent et participatif
Pour que le management du risque soit judicieux et approprié par chacun, il convient d’impliquer et de communiquer avec toutes les parties prenantes internes ou externes lors des phases de réflexion et/ou de décision.
Être dynamique, itératif et réactif au changement
Parce que le monde est en perpétuel changement, que les données d’entrée évoluent très vite, la mise en place d’un management du risque dynamique et réactif est capitale pour percevoir les nouveaux risques et y faire face.
Faciliter l’amélioration continue de l’organisation
Le management du risque mis en place par l’organisme doit permettre à celui-ci de s’améliorer continuellement. Cela passe par la mise en place d’un management avec indicateurs et revue périodique de ceux-ci.
Ces principes permettront d’établir une cartographie des risques de l’organisme, puis de les évaluer et de les traiter à un niveau de performance élevé.