IDS073 - Faciliter le management du risque selon l’ISO 31000 v 2018
DOI mémoire
https://doi.org/10.34746/dzx4-qs96Catégories
Les projets ou stages publiés auxquels vous accédez sont des rapports d'étudiants et doivent être pris comme tels. Il peuvent donc comporter des imperfections ou des imprécisions que tout lecteur doit admettre et donc supporter. Il ont été réalisés pendant les périodes de formation et constituent avant-tout des travaux de compilation bibliographique, d'initiation et d'analyse sur des thématiques associées aux concepts, méthodes, outils et expériences sur les démarches qualité dans les organisations ou sur les technologies en santé.
Si, malgré nos précautions, vous avez des raisons de contester ce droit de diffusion libre, , nous nous efforcerons d'y apporter une réponse rapide. L'objectif de la présentation des travaux sur le web est de permettre l'accès à l'information et d'augmenter ainsi la qualité des échanges professionnels.
Nous ne faisons aucun usage commercial des travaux de projet ou de stage publiés, par conséquent les citations des informations et l'emploi des outils mis à disposition sont totalement libres. Dans ce cas, nous vous demandons de respecter les règles d'éthique en citant explicitement et complètement vos sources bibliographiques.
Bonne lecture...
Auteures
Melinda BENKHALED 
Oumaima SADIQUI 
EL OUAGHMARI Nour
Contacts
Citation
A rappeler pour tout usage : M.BENKHALED, O.SADIQUI et N. EL OUAGHMARI, « Faciliter le management du risque selon l’ISO 31000 v 2018 », Université de Technologie de Compiègne (France), Master Ingénierie de la Santé, Parcours Technologies Biomédicales et Territoires de Santé (TBTS) et Dispositifs Médicaux et Affaires Réglementaires (DMAR), Mémoire de Projet, réf n° IDS073, décembre 2020, https://travaux.master.utc.fr/formations-master/ingenierie-de-la-sante/ids073/ ; https://doi.org/10.34746/dzx4-qs96
Article publié
Suite à ces travaux, un article a été publié : ID interne : 2021_04_idsap
Résumé
Le risque est une notion capitale présente dans tous les organismes. Il est défini comme étant l’effet de l’incertitude sur l’atteinte des objectifs. Ainsi, il est important d'identifier, d'évaluer et de contrôler ces risques afin de se protéger de l'incertitude, de réduire les coûts et d’augmenter la pérennité et le succès de ses activités. En effet, l’impact d’un risque peut être irréversible surtout dans le domaine de la santé, d’où la nécessité de mettre en place des actions pour y pallier.
L’un des moyens les plus efficaces pour arriver à cette fin est la mise en place d’un système de management du risque suivant la norme ISO 31000:2018 qui en offre un cadre général. Pour ce faire, il est nécessaire de comprendre la norme dans sa globalité, d’étudier son contexte et de s’imprégner de ses recommandations.
Au sein de ce mémoire d’intelligence méthodologique, plusieurs outils ont été réalisés dans le but de faciliter la mise en place d’un management du risque pour tout public, entreprise, collectivité, association, groupe ou individu.
Le premier est un outil informatif nommé cartographie interactive. Cette cartographie offre un contenu simplifié, ludique et clair de la norme 31000:2018 afin de l’assimiler rapidement.
Le second est un outil d’autodiagnostic qui permet d’évaluer sa maîtrise du management du risque sur la base des recommandations de la norme. Ce dernier est composé des éléments suivants : un questionnaire excel préformaté et automatisé pour s’évaluer, un graphe radar pour identifier ses forces et faiblesses et enfin une cartographie des processus retraçant le chemin à suivre pour réussir avec succès son management du risque.
Plus particulièrement, la norme 31000:2018 est un moyen très utile pour les fabricants de dispositifs médicaux afin de contribuer à la sécurité des patients.
Mots clés : ISO 31000:2018, management du risque, dispositifs médicaux, patient, cartographie interactive, outil d'autodiagnostic.
Abstract
Risk is a capital notion present within every existing institution. It is defined as the “ effect of uncertainty on objectives“. It is important to identify, evaluate, and manage these risks to prevent uncertainties from occurring, reduce costs, and enhance the business’s success. The damage induced by risk can be permanent especially in the Health sector, hence the necessity of taking the required measures to counter it, and prevent it from happening.
One of the most effective ways to achieve this goal is to instill a risk management system per the ISO 31000 v 2018 standard. The abovementioned norm provides institutions with an overview and general guidelines on how to apply risk management.
However, to apply the norm’s guidelines, it is mandatory to understand it, study its context, and comprehend its recommendations.
Within this document, two software tools were elaborated to simplify the implementation of risk management for interested companies, associations, groups, collectivities, and individuals.
The first tool is an informative one under the form of interactive mapping. This cartography offers a simplified, ludic, and clear version of the ISO 31000 v 2018 ‘s content, in order to quickly comprehend and master its recommendations.
The second tool is an auto diagnosis tool that allows the user to evaluate his risk management’s mastering according to the standard’s recommendations. The latter contains the following elements : a pre-formatted automated excel spreadsheet containing a survey for self-evaluation, a radar plot to identify the strengths and weaknesses of the system, and finally a process mapping showcasing the steps to follow so as to successfully implement risk management.
Lastly, the ISO 31000 v 2018 standard is a very useful way for medical device manufacturers to contribute to ensuring the patient’s safety.
Keywords : ISO 31000, risk management, medical devices, patients, interactive mapping, self-diagnosis tool.
Téléchargements
Poster : Le management du risque selon l'ISO 31000 v 2018 (format pdf)
Mémoire d’Intelligence Méthodologique : Faciliter le management du risque selon la norme ISO 31000 v 2018 (format pdf)
Cartographie d’aide à la compréhension de la norme ISO 31000 v 2018 (format pdf)
Outil d'autodiagnostic selon l’ISO 31000 v 2018 (fichier excel)
Mémoire complet :
"Faciliter le management du risque selon l’ISO 31000 v 2018"
Remerciements
Avant toute chose, il nous semble opportun de commencer ce mémoire par des remerciements, à ceux qui nous ont beaucoup appris et aidés au cours de ce projet.
Nous tenons tout d’abord à remercier Monsieur Gilbert FARGES, notre tuteur et enseignant, de nous avoir accompagné et guidé tout au long de ce projet. Nous sommes très reconnaissantes de l’aide qu’il nous a offerte ainsi que des connaissances et expertise qu’il nous a transmises.
Nous remercions également Madame Béatrice KONIG pour l’assistance qu’elle nous a apporté au cours de ce projet et pour les conseils qu’elle nous a prodigué.
Finalement, nous tenons à remercier l’ensemble de l’équipe pédagogique du Master Ingénierie de la Santé pour nous avoir permis de mener ce projet dans les meilleures conditions possibles.
Glossaire et Abréviations
- AFNOR : Association Française de normalisation
- AMRAE : Association pour le Management des Risques et des Assurances de l’Entreprise
- ANSM : Agence Nationale de Sécurité du Médicament
- CERTIFICATION : Certificat délivré par une tierce personne, afin d'attester la conformité d’un produit, service ou système à des exigences spécifiques.
- COP21 : 21e Conférence des parties à la Convention cadre des Nations Unies sur les changements climatiques
- CSP : Code de Santé Publique
- DGOS : Direction Générale de l'Offre de Soins
- EN : Norme Européenne
- FERMA : Fédération des associations européennes de gestion des risques
- HAS : Haute Autorité de la Santé
- ICIJ : Consortium international des journalistes d'investigation
- IEC : International Electrotechnical Commission
- IFIRMA : Fédération internationale des associations de gestion des risques et des assurances
- ISO : International Standard Organisation
- NF : Norme Française
- VW : Volkswagen
Contexte du projet
Dans le cadre de l’unité d'enseignement "Ingénierie de projet", nous sommes amenées à réaliser un mémoire d’intelligence méthodologique parmi une liste de sujets proposés. Le sujet choisi traite du Management du risque selon la norme NF ISO 31000:2018. Ce projet s’étend sur une période de 4 mois et est initié par deux étudiantes du parcours DMAR “Dispositifs Médicaux et Affaires Réglementaires” et une étudiante du parcours TBTS “Technologies biomédicales et Territoires de Santé”. Cette fusion des deux parcours du master Ingénierie de la Santé est un atout car il permet d’allier les savoir, les savoir-faire et les savoir-être nécessaires pour mener à bien ce projet. Ainsi, les compétences techniques sont indispensables dans la mise en œuvre d’une démarche qualité cohérente et vraisemblable.
L’ingénierie de projets rassemble toutes les connaissances techniques, outils et méthodes nécessaires à la création et à la mise en œuvre d’un projet. L’objectif était non seulement d’acquérir une connaissance globale en management de projet mais également d’être capable de planifier, définir, organiser et contrôler tous les types de projet que nous serions amenés à réaliser dans le cadre de notre vie professionnelle.
De nombreux outils et connaissances sont nécessaires à l’atteinte de nos objectifs, dont des cours en recherche documentaire, en exploitation des systèmes d'information et en management de projet (ISO 21500). De plus, ce projet a été partagé en trois jalons afin d’établir de manière efficace un suivi périodique pour accompagner chaque étape de notre travail.
Introduction
La gestion de risque et l’instauration d’un système de management des risques sont des notions relativement récentes au sein du milieu normatif. En effet, la société présente une évolution croissante de la technologie. Il est important de souligner que cette croissance est associée à de nombreux risques. Par conséquent, la maîtrise des risques est capitale pour atteindre ces objectifs de croissance et pour rester compétitif. De nombreux documents permettent de répondre à cette exigence. La norme ISO 13485 : 2016 Dispositifs médicaux — Systèmes de management de la qualité — Exigences à des fins réglementaires, considérée d’application quasi-obligatoire pour les fabricants de dispositifs médicaux, a particulièrement insisté sur l’obligation de la gestion des risques [1].
De plus, le marquage CE, essentiel pour toute mise sur le marché de dispositifs médicaux, l’exige aussi. Les autorités responsables notamment la Haute Autorité de Santé (HAS) réclame également une déclaration complète des risques relatifs à un équipement. Nonobstant, la nouveauté de ce domaine et la réticence des organisations face à un investissement qui leur paraît de grande envergure freinent grandement le développement d’un système de management des risques au sein des entreprises. La norme ISO 31000 : 2018 fournit un contexte général au management du risque en incluant la sécurité et la dimension humaine. Elle favorise l’intégration du management du risque au sein des organisations et transmet les différents principes qui pilotent les choix des activités du management du risque. Ainsi, elle permet d’établir de manière cohérente et explicite un management du risque [2].
Par souci d’immunité judiciaire et d’amélioration des performances, les entreprises actives dans l’industrie des dispositifs médicaux se doivent d’instaurer un système de management des risques conforme aux normes concernées dont principalement : l’ISO 31000 v 2018 sur le Management du risque, l’ISO 14971 v 2019 concernant les Dispositifs médicaux — Application de la gestion des risques aux dispositifs médicaux et l’ISO 9001 v 2015 qui fournit l'ensemble des exigences pour un système de management de la qualité.
Néanmoins, les entreprises ne disposant pas d’expertise et de connaissance dans ce domaine sont souvent désemparées et découragées par l’étude des aspects normatifs. Ainsi, le but de ce mémoire est de répondre à la question suivante : Comment développer ses compétences en management du risque grâce à l’ISO NF 31000 v 2018 ?
Ce rapport fournit des outils visant à la mise en place d’un système de management du risque performant notamment un outil d’autodiagnostic. Ces éléments ont pour ambition de permettre à n’importe quelle entreprise d’instaurer ce système en toute indépendance et en ayant la possibilité de suivre son évolution vers l’atteinte de ses objectifs.
I. Les bienfaits de la maitrise en management du risque
1.1) Vision globale du management du risque
Les accidents industriels, les crises financières et les faillites d’entreprise ont conduit les individus à s’intéresser à la notion de risque pour en faire un outil de pilotage. La notion de gestion des risques serait ensuite apparue et devenue un outil indispensable à l’entreprise.
C’est en 1956 que Russel B. Gallacher, père fondateur de la gestion des risques, introduit le terme « gestion des risques ». Cette discipline a vu le jour aux Etats-Unis entre les années 50 et 60, puis est apparue en Europe qui à cette époque était préoccupée par la reconstruction des dommages causés par la guerre. Sa première utilisation en France date de 1975 [3].
La gestion des risques était à l’origine limitée aux assurances. Cependant, elle est aujourd’hui considérée comme un outil de protection, de concurrence et elle est complémentaire à d’autres outils de gestion des risques. Cette notion a rapidement évolué pour proposer des référentiels, méthodes, techniques et outils utiles pour toute entreprise, quelle que soit sa taille ou son domaine d’activité. Les menaces et opportunités croissantes qui caractérisent l’environnement des affaires ont poussé les entreprises à se doter d’un système de gestion des risques [4].
Leur objectif principal étant de créer de la valeur et de maintenir les risques à un niveau acceptable.
- Le risque :
Dans la langue française, le mot « risque » serait apparu au début du 16ème siècle. Ce dernier est utilisé en permanence et la plupart des personnes prennent des risques sans forcément en avoir conscience. Pour chaque décision à prendre, lors de l'analyse des avantages et des inconvénients, il est essentiel de faire une évaluation des risques. Chaque entreprise et organisation sont confrontées au risque d'événements imprévus et préjudiciables qui peuvent leur coûter de l’argent, voire même entraîner leur fermeture définitive. Il est capital de faire de l’évaluation des risques, un processus plus conscient pour une organisation.
La norme ISO/IEC Guide 73 définit le risque comme « la combinaison de la probabilité d’un événement et des conséquences de celui-ci » [5]. Cette vision du risque a été mise de côté pour laisser place à la nouvelle définition de la norme 31000 qui considère le risque comme “l’effet de l’incertitude sur l’atteinte des objectifs”. Il est à noter que cet effet peut être un écart négatif, mais également positif vis-à-vis des objectifs fixés.
- Le management du risque :
Le COSO 2 est un référentiel de contrôle interne défini par le Committee of Sponsoring Organizations of the Treadway Commission. Malgré que ce dernier soit considéré comme le cadre de référence de la gestion des risques, il demeure néanmoins difficilement exploitable. L’ISO 31000, norme plus facile à mettre en œuvre, est apparue plus tardivement. Ceci expliquerait la raison pour laquelle le référentiel COSO est davantage adopté par les entreprises.
Selon ce dernier, le management du risque est un « processus mis en œuvre par le Conseil d’Administration, la Direction Générale, le management et l’ensemble des collaborateurs de l’organisation » [6]. Ce processus permet d'identifier, d'évaluer et de contrôler les risques qui menacent l’organisation. Le management des risques se dédie dans un premier temps à la stratégie de l’entreprise puis aux différentes fonctions de cette dernière. Il doit être intégré à tous les niveaux de l’organisation et utilisé par tous ses acteurs.
Ce dernier permet de préparer l’entreprise en considérant les divers risques ou événements potentiels avant qu'ils ne surviennent. Son objectif principal est d’accroître la confiance et de contribuer à créer de la valeur pour les actionnaires.
Les effets néfastes du risque peuvent être quantifiables tels que les primes d'assurance et les coûts des sinistres, ou subjectifs et difficilement quantifiables comme par exemple l'atteinte à la réputation ou la baisse de productivité. En focalisant son attention sur les risques et en engageant les ressources nécessaires pour contrôler et atténuer ces derniers, une entreprise peut se protéger de l'incertitude, réduire ses coûts et augmenter les chances de continuité et de succès de ses activités.
Afin de gérer les risques, il est important dans un premier temps, de les identifier et de les analyser qualitativement. La seconde étape consiste à évaluer leurs degrés de criticité : élément important qui va permettre d’estimer l’importance du risque et ainsi permettre à l’organisme de prioriser ses actions. L’étape suivante consiste donc à traiter les risques en élaborant et en mettant en œuvre un plan d’action. Enfin, un suivi des actions engagées est nécessaire pour veiller à la continuité de cette démarche de gestion des risques. Il est important pendant toute la durée du processus de gestion des risques de veiller à la communication et à l’échange d’informations. La surveillance et le contrôle permanent de ses risques sont également indispensables (Figure 1) [7].
Figure 1 : L’appréciation des risques dans le processus global de gestion des risques [8]
La pérennité de ce système est garantie grâce à une démarche d’amélioration continue, pilotée par la direction. En effet, l’engagement de la direction est le seul moyen d’intégrer le management du risque dans l’essence de l’entreprise et obtenir la motivation du personnel.
Cette capacité à identifier et contrôler les risques permet aux organisations d'être plus confiantes dans leurs prises de décision. De plus, un management des risques bien intégré à tous les niveaux de l’organisation peut aider l’entreprise à atteindre ses objectifs.
En 2020, il existe dans de nombreux pays d’Europe et au-delà, des associations dédiées au management et à la gestion des risques. Ces associations sont composées de professionnels du risque et de l'assurance. Ces derniers sont responsables de la gestion des risques dans leur organisation, que ce soit dans le secteur public ou privé.
La Fédération internationale des associations de gestion des risques et des assurances (IFRIMA) est une organisation regroupant l’ensemble des associations de gestion des risques à l’international.
Elle représente 20 organisations dans plus de 30 pays à travers le monde. Créé dans les années 1930, IFRIMA se positionne en tant que leader de la gestion des risques. Son objectif premier étant de fournir un forum d’interaction entre les associations de gestion des risques et leurs membres [9].
La Fédération des associations européennes de gestion des risques (FERMA) est une association membre de l’organisation internationale IFRIMA.
Elle regroupe 22 associations de gestion des risques dans 21 pays européens. Ils représentent près de 5000 gestionnaires de risques professionnels actifs dans un large éventail de secteurs d'activité. FERMA agit au nom de ses adhérents au niveau européen et permet de coordonner leurs travaux en management du risque [10].
FERMA détient une association en France nommée AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise). Cette dernière promeut les travaux en matière de gestion de risques en France et à l’international. Elle rassemble environ 1600 membres appartenant à plus de 750 organisations privées ou publiques. L’AMRAE cherche principalement à faire évoluer les méthodologies de gestion des risques, à fournir à ses membres une expertise métier répondant à des standards nationaux et internationaux et à former les professionnels sur la gestion des risques [11].
1.2) Etudes de cas généraux sur le management du risque
- Cas de Volkswagen :
Le groupe allemand Volkswagen connu pour être le plus grand fabricant de voitures dans le monde a connu un scandale avant la COP21. En effet, ce dernier se vante dans ses publicités de concevoir des voitures fiables et non polluantes. Or, lors du passage de tests anti-pollution, une association américaine de protection de l’environnement a révélé que VW a triché sur le niveau de pollution de ses moteurs Diesel. Ainsi, ce dernier cachait un boîtier informatique dans ses voitures qui stipulait que ses moteurs polluaient moins. En réalité, ils rejetaient 10 à 40 fois plus de polluants que la limite autorisée (Figure 2). Les moteurs Diesel sont connus pour être particulièrement polluants : ils rejettent des gaz d’échappement très nocifs pour l’environnement et pour la santé humaine (asthme, cancer du poumon), d’où les règles et tests stricts imposés par les états.
Cependant, le groupe soulignait son attrait envers la gestion des risques notamment en matière de gouvernance d'entreprise.
Dans la section « Risk Management » de leur rapport annuel de 2014 était mentionnée :
« Gérer scrupuleusement les risques potentiels de l'entreprise est un élément clé de notre travail quotidien. Le système de gestion des risques (Risk management system) du groupe Volkswagen est axé sur une identification, évaluation, communication et gestion des risques à un stade précoce. Le système est revu de façon permanente et ajusté selon les nouvelles circonstances quand nécessaire. »
Malgré ce qu’ils prônent, le management des risques n’a certainement pas été mis en œuvre de la bonne manière au sein de l'entreprise. Volkswagen n’aurait jamais pris la décision de frauder si le risque avait été évalué et classifié en amont [12].
Figure 2 : Scandale Volkswagen [13]
- Cas du Titanic :
En 1912, le célèbre paquebot géant Titanic (Figure 3), est entré en collision avec un iceberg et a coulé, tuant 1500 personnes sur 1es 1800 passagers. Une succession d’erreurs est à l’origine de ce naufrage, parmi lesquelles nous pouvons citer :
- Le manque de considération du capitaine qui naviguait trop vite sans prendre en compte les alertes envoyées par les autres bateaux concernant les icebergs.
- Mauvaise manœuvre lorsque l’iceberg est apparu.
- Les navires aux alentours qui avaient éteint leur radio la nuit du naufrage.
- La mauvaise qualité des rivets qui n’ont pas résisté au frottement avec l’iceberg et au froid.
- La taille trop petite du gouvernail qui ne respectait pas la réglementation.
- Trop peu de compartiments étanches.
- Pas suffisamment de canots.
Figure 3 : Le Titanic [14]
Cet événement terrible rappelle l’importance de se conformer aux normes de sécurité. Cet accident aurait pu être évité si certaines mesures de bon sens avaient été prises en compte.
La concurrence a poussé les décideurs à favoriser l’économie, le confort des passagers, la rapidité et l’esthétique du navire à la sécurité des passagers. Si le management des risques avait été mis en place, toutes les erreurs citées précédemment auraient été évitées en commençant par prendre en considération les alertes envoyées la veille à propos des icebergs.
Ce naufrage a été le précurseur de la gestion des risques pour les navires. En effet, depuis cet événement, de nombreuses mesures de sécurité ont vu le jour. Parmi ses mesures, il y a notamment, l’obligation de réaliser des entraînements d’évacuation par canots de sauvetage sur tous les bateaux de croisière et l’obligation de maintenir les radios allumées en permanence [15].
1.3) Etudes de cas concernant le domaine des technologies de santé
En France, l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) est responsable du contrôle du marché, de l'inspection des sites de fabrication et du contrôle en laboratoire de la qualité des dispositifs médicaux. En 2017, l'ANSM a relevé 18208 « incidents » liés à des dispositifs médicaux, soit plus de deux fois plus qu'en 2008.
En 2014, la Direction Générale de l'Offre de Soins (DGOS) a mené une enquête nationale sur l’organisation de la traçabilité sanitaire des dispositifs médicaux implantables dans les établissements de santé. L’enquête a révélé que les documents justifiant la traçabilité n'existent que chez 64 % des établissements. De plus, le document type de traçabilité requis par le Code de Santé Publique (CSP) à fournir au patient, n’est disponible que dans 45 % des établissements de santé [16].
L'enquête internationale « Implant Files » initiée par le Consortium international des journalistes d'investigation (ICIJ) a été publiée en 2018 et menée sur plus de 36 pays via 59 médias. Le rapport met l’accent sur les problèmes relatifs au contrôle et à la surveillance des dispositifs médicaux au sein de l’Union Européenne. Nonobstant, ces lacunes sont plus efficacement palliées par le règlement UE 2017/745 concernant les dispositifs médicaux et le règlement UE 2017/746 traitant des dispositifs médicaux in vitro [17]. En effet, ces nouveaux règlements européens, valables en mai 2021, mettent davantage l'accent sur la surveillance et le contrôle des dispositifs médicaux que les directives 93/42/CEE et 90/385/CEE précédentes.
Plusieurs scandales ont animé le monde des dispositifs médicaux dans les années précédentes, dont : l’affaire Depuy concernant les prothèses de hanche (2008), l’affaire Epinal concernant la sur-irradiation des patients et l’affaire PIP des prothèses mammaires datant de 2010 (Figure 4) et finalement l’implant contraceptif Essure en 2016 [18].
Figure 4 : Chiffres clés de l'affaire PIP [19]
Les fabricants sont responsables d’assurer la qualité et la sécurité de leurs dispositifs et sont donc souvent pointés du doigt en cas de non-conformité. L’entreprise américaine MedTronic est très présente dans le marché international des dispositifs médicaux. Cependant, cette dernière est accusée d’avoir engendré 9300 décès et 292 000 blessures entre 2008 et 2017 aux Etats-Unis [20].
Le management des risques est le moyen le plus efficace pour l’entreprise de se protéger face à des allégations. Il s'agit d'un moyen de prouver qu’elle a fait le nécessaire pour assurer la qualité de ses produits. L’absence d’un système de management des risques, incluant une gestion des risques des dispositifs médicaux pénaliserait donc toute institution et pourrait conduire à sa perte.
1.4) Historique de la norme NF ISO 31000:2018 et son environnement
La norme ISO 31000:2018 est une norme internationale, fournissant un cadre général au management du risque. Plus concrètement, elle fournit des lignes directrices pour contrer les risques auxquels sont confrontés les organismes. L'application de ces directives peut être personnalisée en fonction de l’organisme et de son contexte.
En effet, la norme ISO 31000 fournit une approche commune pour faire face à tout type de risque et pour tout public, toute entreprise publique ou privée, toute collectivité, toute association, tout groupe ou individu. Elle les aide à atteindre leurs objectifs, à mieux identifier les menaces et opportunités ainsi qu’à allouer et utiliser efficacement les ressources pour le management des risques [2].
La version d’origine de l’ISO 31000 datait de 2009 [21]. Cette norme a été mise à jour en 2018, pour plusieurs raisons dont :
- la volonté d’insister davantage sur certains concepts tels que l’importance du leadership ou encore le rôle de la gouvernance.
- la volonté de faire évoluer certains aspects méthodologiques pour mieux intégrer dans les analyses de risques les facteurs de complexité et d’interconnexions entre les risques ainsi que les facteurs humains et culturels.
- la volonté de pousser les organisations à réfléchir aux facteurs clés de succès d’un dispositif.
Plus concrètement, seules les définitions nécessaires pour décrire la notion de risque sont présentes. Les gestionnaires sont d’ailleurs invités à utiliser ces termes pour garantir une communication fluide entre les acteurs. De plus, le chapitre sur le cadre organisationnel comporte un paragraphe dédié à l’intégration du management du risque dans l’organisation.
Ce dernier est présenté comme un processus cyclique, avec une grande marge de personnalisation et d'amélioration. En effet, plutôt que de prescrire une approche universelle, la norme conseille à la gouvernance de personnaliser les recommandations en fonction des caractéristiques propres à l'organisation. Les dirigeants doivent donc veiller à ce que le processus de management des risques soit étroitement aligné sur les objectifs, la stratégie et la culture de l’entreprise.
La version 2018 communique clairement sur les éléments à prendre en compte dans le processus et sur la nécessité de bien comprendre le contexte. La détermination des critères pour évaluer les risques est également mieux encadrée. Par ailleurs, une attention particulière est accordée à la communication des résultats des processus de management du risque. Sans oublier que la norme a été assouplie et utilise un langage clair pour s’adapter à une large variété de besoins et de contextes.
Ainsi, la norme ISO 31000 forme un guide concis de 16 pages pour aider les organisations à améliorer leur management du risque.
Ce document est constitué de quatre sections principales :
1. Définitions de termes clés dont le mot « risque » qui correspond à l’effet de l’incertitude sur les objectifs ; et bien d’autres définitions telles que le management du risque, partie prenante, source de risque, événement, conséquence, vraisemblance et moyen de maîtrise [2].
2. Les principes à prendre en considération pour qu’un management de risque soit, efficace et efficient (Figure 5) :
Figure 5 : Les principes et les acteurs de la santé du management du risque dans le secteur de la santé (source : auteures d'après [2])
Ainsi, le management de risque est intégré et exécuté selon une approche structurée, complète, personnalisée, inclusive et dynamique basée sur les meilleures informations disponibles concernant les facteurs humains et culturels. Le management de risque est constamment amélioré par l’apprentissage et l’expérience [2].
3. Un cadre organisationnel garantissant que le management du risque est correctement intégré, soigneusement conçu, mis en œuvre, régulièrement revu, adapté et amélioré en permanence (Figure 6).
Figure 6 : Cadre organisationnel de la norme [2]
4. Une section sur le processus de gestion des risques : l’ISO 31000 détaille les meilleures pratiques pour identifier les risques, ainsi que la manière de les analyser et de les évaluer. Il ne s’agit pas ici de décrire un processus de management du risque mais plutôt de proposer un ensemble de lignes directrices destinées à aider les organisations à comprendre et améliorer leur propre processus.
Il est à noter que cette norme est un ensemble de directives et non pas d’exigences. Elle guide les organisations pour les programmes d'audit interne et/ou externe, mais n’est pas utilisée à des fins de certification. Il s’agit simplement d’un ensemble de bonnes pratiques contrairement à d’autres normes comme l’ISO 9001 qui est composé d’un ensemble d’exigences strictes pouvant être certifié [22].
En conclusion, l’ISO 31000 vise à simplifier la gestion des risques en un ensemble de lignes directrices, clairement compréhensibles et exploitables. Tout ceci indépendamment de la taille et de la nature de l’organisme. Cette norme n’est rien d’autre qu’un « système ouvert » dans lequel peuvent s’imbriquer d’autres systèmes ayant également une approche par les risques. Parmi ces normes, il y a l’ISO 9001 et l’ISO 14971 qui sont détaillées par la suite.
1. 5) Apport du management du risque par rapport à la norme ISO 9001:2015
La norme ISO 9001:2015 définit les exigences de mise en place d’un système de management de la qualité au sein d’un organisme. En effet, cette norme encourage les organismes à établir les risques et les opportunités associées à leurs environnements et objectifs. La définition de risque est capitale pour la compréhension de la norme. Le risque correspond, dans ce cas, à l’incertitude de ne pas atteindre un objectif : il s’agit de l’effet de l’incertitude. Ainsi, cette norme « permet de fournir en permanence des produits et des services conformes aux exigences du client et aux exigences légales et réglementaires applicables et par conséquent de plus grandes opportunités d’amélioration de la satisfaction des clients » [22].
De plus, on constate que la norme ISO 9001:2015 propose divers outils de management dont une approche par les risques. Cette dernière permet de déterminer les facteurs susceptibles de créer un écart et ainsi mettre en place des préventives pour y pallier. En effet, l’approche par les risques est énoncée dans plusieurs articles de la norme ISO 9001:2015, notamment dans le paragraphe intitulé « 0.3.3. Approche par les risques » et le sous-article nommé « 6.1. Actions à mettre en œuvre face aux risques et opportunités » [22]. Ces articles soulignent la nécessité pour chaque organisme de prendre en compte les risques. Nonobstant, la norme ne fournit pas d’exigences documentées concernant le processus de management du risque. L’organisme peut donc mettre en place le référentiel ou la méthode qu’il juge la plus adaptée à son organisation.
En revanche, cette méthode doit être proportionnelle à l’impact potentiel sur la conformité des produits et des services. L’organisme peut également mettre en place un management de risque plus étendu que celui énoncé par la norme en se basant sur d'autres normes liées au management du risque. En effet, la norme NF ISO 31000 traitant du management du risque, est une approche méthodologique robuste qui prend en compte l’objet matériel, l’usage et la configuration de l’usage de l’objet. Ainsi, la complémentarité de ces deux normes peut être souligné.
Les directives de la norme ISO 9001:2015, concernent principalement le début et la fin d’une démarche de gestion de risque.
La norme ISO 31000:2018 quant à elle, stipule les grandes lignes directrices d’un management du risque en s’appuyant sur :
- une meilleure prise en compte du contexte (environnement, juridique, social et politique),
- une implication des parties prenantes (support de la gouvernance)
- une vision dynamique de la gestion de risques (boucle constante : conception, mise en œuvre, amélioration) [2].
Finalement, un organisme peut s’appuyer sur la norme NF ISO 31000:2018 pour assurer les exigences de l’ISO 9001 concernant l’approche par les risques. En effet, cette dernière permet à un organisme ou à une personne de définir ses objectifs et sa mission, d’établir son contexte interne et externe et d’évaluer les risques (matériel et immatériel) qui ont un impact sur l’atteinte de ses objectifs [23].
1. 6) Apport du management du risque par rapport à la norme ISO 14971:2019
Comme explicité précédemment, la norme ISO 31000:2018 traite du management des risques de manière globale . L’ISO 13485:2016, quant à elle, est une norme dédiée à la gestion des risques pour les fabricants de dispositifs médicaux. Il est important de souligner que gestion des risques peut faire partie intégrante d’un système de management de la qualité, mais peut également se faire indépendamment de ce dernier [24].
La gestion des risques est définie comme étant « l’application systématique des politiques de gestion, des procédures et des pratiques à des tâches d’analyse, d’évaluation, de contrôle et de maîtrise des risques ». Le management des risques, quant à lui fait référence aux « activités coordonnées dans le but de diriger et piloter un organisme vis-à-vis du risque ».
La conformité à l’ISO 13485:2016 s’effectue principalement par le respect des exigences de la norme ISO 14971:2019 [1]. Cette dernière, définit le risque comme étant « la combinaison de la probabilité de la survenue d’un dommage et de sa gravité » et le risque résiduel comme un « risque subsistant après la mise en œuvre des mesures de maîtrise des risques ». Le risque résiduel est également mentionné dans la norme ISO 31000:2018, sans être défini.
L’ISO 31000:2018 spécifie les différents niveaux de risque, contrairement à l’ISO 14971:2019, qui impose aux fabricants d’établir des critères objectifs d’acceptabilité des risques [18].
L'ISO 14971:2019 décrit un processus permettant la gestion des nombreux risques associés à un dispositif médical dont : « la biocompatibilité, la sécurité des données et des systèmes, l'électricité, les parties en mouvement, le rayonnement et l'aptitude à l'utilisation » [20].
Le but de cette norme est d’aider à l’identification, l’estimation, l’évaluation et éventuellement la maîtrise des dangers relatifs aux dispositifs médicaux. Les démarches préconisées permettent, également de surveiller l'efficacité des moyens de maîtrise mis en place [24].
1.7) Apport du management du risque par rapport à la norme NF EN IEC 31010:2019
La norme NF EN IEC 31010:2019 "Management du risque — Techniques d'appréciation du risque" concerne les techniques d'évaluation des risques, permettant aux décideurs de mieux comprendre les risques susceptibles d’entraver l'atteinte des objectifs [8]. Ainsi, cette norme permet d'évaluer la concordance et la performance des contrôles mis en œuvre au sein de leur organisation. Ces évaluations font partie intégrante de la gestion des risques. Elles permettent de fournir des informations pour produire une analyse et ainsi prendre des décisions concernant les traitements de ces risques. Cette norme permet de mettre en place au sein des organisations un management du risque basé sur l'ISO 31000. Elle permet de s’interroger sur le processus de management des risques, notamment sur : son contexte, ses conséquences, sa probabilité d’occurrence et les facteurs pouvant limiter les risques [25]. Ces deux normes sont complémentaires et permettent d’allier simplicité et efficacité de mise en oeuvre d'un management du risque (Figure 7).
Les études de cas citées en première partie, illustrent parfaitement la nécessité de mettre en place un management du risque, pour tout organisme souhaitant atteindre ses objectifs et garder une longueur d’avance sur ses concurrents.
Dans cette optique, il est d’abord nécessaire de déterminer les enjeux qui peuvent affecter son secteur activité, puis d’identifier les risques éventuels. Les facteurs clés pour appliquer cette norme sont l’anticipation et l’intégration du facteur humain. Tous deux permettent de ne pas être pris au dépourvu et d’agir dans le meilleur intérêt de l’organisation. L’ISO 31000 sert de base à la mise en place d'un management du risque efficient et adapté à l'organisme.
Ainsi, il est capital de simplifier sa compréhension, afin de faciliter son application. Les outils mis en oeuvre dans ce mémoire permettent d'atteindre cet objectif.
Figure 7 : Lien entre la norme ISO 31000 :2018 et la norme IEC 31010 (source : auteures d’après [8])
II. Développer ses compétences en management du risque
2.1) Les solutions techniques existantes :
Il existe de nombreuses solutions afin d’aider une organisation à mettre en œuvre son management du risque. Ainsi, les avantages et les inconvénients de trois d'entre elles sont analysés.
● LA FORMATION
L’AFNOR compétence propose une formation afin de maitriser les fondamentaux du management du risque. Cette formation permet d’acquérir une méthodologie pour manager et piloter le management du risque selon l’ISO 31000:2018. Nonobstant, cette formation présente un coût conséquent d’environ 1700 euros et nécessite 21 heures de formation reparties sur 3 jours. Cette formation ne nécessite aucun prérequis et délivre une attestation d’acquis de formation s'élevant à 250 euros. Cette dernière s’adresse à tout professionnel souhaitant étudier l’ISO 31000. Il s'agit d'une base de mise en oeuvre d'un management du risque selon la norme, mais elle n’effectue pas de suivi au sein de l’organisme. Le coût et l’absence de suivi constituent les freins de cette solution [26].
● L’APPRENTISSAGE DE LA NORME
La norme ISO 31000:2018 est disponible sur le site de l’ISO, ce qui donne la possibilité, à chaque acteur le souhaitant, de pouvoir l’étudier. Cependant, la compréhension de la norme ne signifie pas l’obtention des étapes pour la mettre en place. Il est essentiel d’établir un plan d’action prioritaire en se basant sur cette dernière. Cette norme est universelle et pluridisciplinaire, elle peut donc être absconse pour un lecteur néophyte. Cette solution repose sur la compréhension de la norme qui peut différer d’un acteur à un autre. Sans oublier qu’elle demeure difficilement opérationnelle [27]. Le guide ISO 73 "Management du risque – Vocabulaire", peut-être utilisé en complément de la norme ISO 31000 [5]. En effet, il définit le vocabulaire de base afin de faciliter la compréhension des concepts et des termes du management du risque.
● L’OUTIL D’AUTODIAGNOSTIC POUR LA NF ISO 31000 :2009
En 2016, un outil d’autodiagnostic a été réalisé sur la base de l'ancienne version de la norme NF ISO 31000:2009 pour toute organisation souhaitant mettre en place un management de risque performant. L’objectif de cet outil est de les aider à se positionner par rapport à leur gestion des risques et à intégrer cette dernière à tous les niveaux des processus.
Cet outil est devenu obsolète avec la nouvelle version de la norme en 2018, qui intègre des orientations plus stratégiques, basées sur l’implication de la direction et une meilleure intégration de ce management au sein de l’organisme. Ce dernier est sous un format Excel et se compose de quatre onglets principaux : un manuel d’emploi (Figure 8), une grille d’évaluation par article, un graphe radar présentant le résultat global de l'évaluation et un graphe radar spécifique à chacun des articles [23].
Figure 8 : Onglet évaluation de l’outil d’autodiagnostic ISO 31000 :2009 [23]
Sur la base de ces techniques, sont proposés des outils rassemblant les avantages de chacune d’entre elles :
- une cartographie interactive afin d’obtenir une compréhension rapide de l’essentiel de la norme,
- un outil de positionnement pour évaluer sa maitrise du management du risque et ainsi pouvoir établir un plan d'action pour améliorer les points faibles résultants,
- une cartographie des processus retraçant les étapes à suivre pour aboutir au succès de son management du risque.
Le but est de proposer des outils faciles à mettre en œuvre, compréhensibles par tous, opérationnels, sans coût et assurant un suivi ; afin de développer ces compétences en management du risque, suivant l'ISO 31000:2018.
2.2) La cartographie interactive de la norme ISO 31000 :2018
La cartographie interactive est un outil qui a pour but de simplifier et d'éclaircir le contenu de la norme ISO 31000:2018. L'objectif est de guider les organismes le souhaitant, qu’ils soient néophytes ou non, vers la compréhension et la mise en place du management des risques, selon cette norme. Cette cartographie présente une vue globale qui permet d’obtenir une vision générale de la norme (Figure 9).
Figure 9 : Vue globale de la cartographie interactive de la norme ISO 31000 : 2018 [28]
Cette vue globale est navigable via des icônes qui permettent d’aller directement au contenu de l’article souhaité, voire des sous-articles d’intérêt.
Un mode d’emploi explicitant le sens des différentes icônes présentés, est disponible pour faciliter la prise en main de la cartographie (Figure 10).
Figure 10 : Mode d’emploi de la cartographie interactive de la norme ISO 31000 : 2018 [28]
Les articles 4, 5 et 6, sont eux-mêmes mis en forme de manière à visualiser leurs structures et ramifications, en explicitant les sous-articles et les sous –sous- articles. L’accès direct à ces éléments est évidemment prévu, notamment pour l'article 6 (Figure 11).
Figure 11 : Article 6 de la cartographie interactive de la norme ISO 31000 : 2018 [28]
Les articles et sous-articles sont expliqués via des diapositives ludiques et attractives. Le contenu résulte d’une analyse normative opérationnelle de la norme suivie d’une reformulation permettant de faire ressortir les points les plus pertinents pour le futur utilisateur (Figure 12).
Figure 12 : Article 5.4.2 de la cartographie interactive de la norme ISO 31000 : 2018 [28].
2.3) L’outil d'autodiagnostic de la norme
L’outil d'autodiagnostic est l’élément capital permettant d’évaluer la bonne application de la norme NF ISO 31000:2018 par les utilisateurs. Les outils d'autodiagnostic existent en grand nombre et les dernières générations ont l’avantage de fournir une bonne opérationnalité grâce à leurs différents onglets. Après l’analyse de divers logiciels permettant de créer un outil efficient, le format Excel © s’est révélé être le plus performant [20]. En effet, il permet de regrouper l’ensemble des lignes directrices énoncées par cette norme d’une manière, simple et visuelle et de les décomposer par la suite en critères précis.
Cet outil est proposé gratuitement, afin de permettre aux entreprises et aux individus, de manière rapide (environ 45 min), de pouvoir se situer par rapport à leur management du risque. Le but final est de construire un plan d’action pour veiller à l'amélioration continue de ce dernier.
Le niveau de connaissance concernant cette norme est très variable d’un utilisateur à un autre. Pour simplifier l’utilisation de cet outil, les critères ont été formulés sous forme d’affirmation et séparés en sous-articles.
L’outil d’autodiagnostic est composé de sept onglets différents :
- L’onglet {Mode d’emploi} permet d’expliquer et de faciliter l’utilisation des autres onglets. Il décrit la raison d’être de l’outil et la méthodologie à suivre par les différents utilisateurs. De plus, il présente les différents onglets qui composent l’outil et leurs caractéristiques. Un code couleur a été affecté, afin de déterminer les niveaux de criticité des critères (Figure 13).
Figure 13 : Onglet {Mode d’emploi} de l’outil d’autodiagnostic [28]
Finalement, cet onglet détaille la pondération des différentes échelles de véracité soit : vraie, plutôt vraie, plutôt faux, faux ou non applicable (Figure 14).
Il existe également des niveaux de conformité pour chaque article (insuffisant, informel, convainquant, conforme et non applicable) en fonction de leur taux de véracité (allant de 0% à 100%). Les seuils limites peuvent être adaptés à l’appréciation de chaque utilisateur.
Figure 14 : Echelles d’évaluations utilisées dans l’outil d’autodiagnostic [28]
- L’onglet {Évaluation} est composé de 33 critères pour l’article concernant le « Cadre organisationnel » et de 34 critères pour l’article « Processus » de la norme NF ISO 31000:2018 (Figure 15). Ces critères ont été déterminés à l’aide de l’analyse normative opérationnelle de la norme. Cela permet de transformer des exigences « complexes » en éléments-clés essentiels, afin de mener des actions opérationnelles avec des objectifs mesurables.
Figure 15 : Onglet {Évaluation} présentant les choix de véracité utilisé dans l’outil d’autodiagnostic [28]
- Les onglets {Résultats globaux} et {Résultats par articles} permettent d’obtenir une estimation globale et détaillée des résultats.
Ainsi, ils permettent de déterminer rapidement et efficacement les améliorations à apporter à travers une visualisation limpide des résultats de l’évaluation. Deux histogrammes de répartition (Figure 16) sur les niveaux de véracité et de conformité sont disponibles. Les résultats de l’évaluation sont sous forme de graphique radar, afin d’illustrer les valeurs moyennes obtenues par article et par sous-article (Figure 17).
Le but est de représenter l’information instantanément et de manière lisible pour un acteur néophyte.
Finalement, une partie de ces onglets est réservée aux commentaires des résultats obtenus, à la planification des actions prioritaires et au suivi des actions réalisées. Cette partie est libre d’écriture (Figure 18).
Figure 16 : Tableaux de bord sur les niveaux de véracité et de conformité utilisées dans l’outil d’autodiagnostic [28]
Figure 17 : Graphe radar représentant les moyennes par article utilisées dans l’outil d’autodiagnostic [28]
Figure 18 : Graphe radar représentant les moyennes par sous-article utilisées dans l’outil d’autodiagnostic [28]
- Un onglet {Déclaration ISO 17050} permet de réaliser une auto-déclaration de la norme ISO 31000:2018. Cette déclaration sert de présomption de conformité à tous les articles lorsque le taux atteint un seuil suffisant qui a été préalablement défini. Il s’agit d’un moyen de preuve permettant d’identifier le niveau de respect des recommandations de la norme (Figure 19).
Figure 19 : Onglet {Déclaration ISO17050} de la norme ISO 31000 : 2018 [28]
- L’onglet {Cartographie des processus} est proposé pour les acteurs qui souhaitent manager leur risque, mais qui ne savent pas comment s’y prendre. Le but est d’aider chaque acteur ou organisme à mettre en place, par étapes, un management du risque selon la norme ISO 31000 (Figure 20). Cela permet de proposer une approche à tous les stades de mise en place d’un management du risque en développant les processus et les sous-processus concernés. Cette cartographie des processus permet de classer les actions pour établir un management du risque efficient.
L’entreprise obtient une vision globale (en une image) et peut ainsi, identifier les parties prenantes, les flux et les interactions. De plus, elle peut définir les règles de communication entre les différents processus. Cette cartographie est capitale pour identifier et gérer les responsabilités, les ressources et les risques pouvant influencer les objectifs. En outre, elle prend en compte la satisfaction des parties prenantes en communiquant efficacement sur sa politique de management du risque. Ainsi, l’entreprise peut clarifier les rôles et les responsabilités de chaque acteur afin d’affecter les ressources nécessaires de manière appropriée pour diminuer les coûts, les délais et accroitre la collaboration entre les services.
Le but est d’assurer à long terme, la maîtrise, la surveillance et l’amélioration continue des processus composants la cartographie.
Ainsi, la cartographie est organisée en trois processus, eux-mêmes divisés en sous-processus :
- Le processus de leadership (L) est divisé en processus de planification, veille réglementaire et amélioration.
Ce dernier participe à l’organisation globale du management du risque, notamment à l’élaboration de la politique, au déploiement des objectifs et à toutes les vérifications indispensables grâce à la veille normative. Il s’agit du fil conducteur du processus organisationnel et du processus de communication et de consultation.
- Le processus organisationnel (O) contient, les sous-processus d’intégration, d’analyse, d’évaluation, de traitement et d’enregistrement des risques.
Ce dernier est directement lié au risque, il va permettre l’appréciation du risque et sa maitrise, notamment grâce à la maitrise des non-conformités. Ainsi, il contribue directement à la satisfaction des parties prenantes.
- Le processus de communication et de consultation (C) est divisé selon trois étapes capitales, soit, l’identification et la stimulation des parties prenantes, la promotion d’un suivi systémique, itératif et dynamique du risque et la diffusion périodique de l'information.
Ce dernier est un processus support, qui permet le bon fonctionnement de tous les autres processus et est indispensable. Son rôle est de gérer la documentation, de fournir l’information, de dispenser la formation, de gérer les moyens d’inspection et d'administrer le personnel.
Figure 20 : Cartographie des processus de la norme ISO 31000:2018 [28]
Finalement, un onglet {Retroplanning} associé à la cartographie des processus, permet de regrouper et de classer l’ensemble des actions à réaliser. Au sein de ce rétroplanning, on retrouve : les processus concernés, l’action à mettre en place, la personne compétente pour cette action, les ressources à mobiliser, la date de réalisation, l’objectif à atteindre et l’état d’avancement du processus.
Ainsi, on obtient après l’outil d’autodiagnostic, une ligne conductrice pour mettre en place des actions opérationnelles. Ceci dans le but d’agir sur le processus de maitrise du management du risque et d'effectuer un suivi de ce processus.
Conclusion
Le management des risques est un enjeu capital pour tous les organismes, quel que soit son domaine d’activité. Ainsi, le secteur des dispositifs médicaux, qui réunit technologie et santé, est certainement l’un des domaines pour lequel la notion de gestion des risques est cruciale ; étant donné que le patient y est impliqué. Ce management constitue un outil de pilotage opérationnel qui permet prendre de décisions stratégiques. Nonobstant, il est nécessaire d’obtenir l’engagement de la direction et d'établir une communication périodique entre les différentes parties prenantes.
La crise du Covid-19 a permis de se rendre compte de l'omniprésence des risques et de l'importance de mettre en place des mesures pour y pallier. Pour ce faire, le risque ne doit pas être traité séparément, mais plutôt être intégré dans chacune des activités de l'organisme. Cela représente, la clé, pour faire face au monde complexe, instable et incertain qui nous entoure. La maitrise des risques permet de réduire les menaces, d’augmenter l’efficience et ainsi de satisfaire toutes les parties prenantes.
Il existe plusieurs normes qui abordent la notion de risque dont, l’ISO 14971, qui traite de l’application de la gestion des risques au dispositif médical et expose les exigences à respecter tout au long de son cycle de vie. Le but de cette norme est d’aider à l’identification, l’estimation, l’évaluation et éventuellement à la maîtrise des dangers relatifs aux dispositifs médicaux [24].
Le but de ce projet est d’aider les organismes, tels que les fabricants de dispositifs médicaux à mettre en place un management du risque opérationnel au sein de toutes leurs activités et surtout en collaboration avec la direction. La norme ISO 31000:2018, fournit des lignes directrices pour contrer les risques auxquels sont confrontés les organismes. Plus concrètement, elle les aide à atteindre leurs objectifs, à mieux identifier les menaces et opportunités et à allouer et utiliser efficacement leurs ressources. Sur la base de cette dernière, deux outils, ergonomiques, faciles et rapides sont élaborés.
Ces outils ont pour vocation d’aider toute entreprise à assimiler les recommandations de cette norme afin de les appliquer de la manière la plus adéquate possible.
Dans un premier temps, la cartographie interactive est un outil simple et rapide qui permet de comprendre la norme et ses principales recommandations.
L’outil d’autodiagnostic, quant à lui, permet grâce à un Questionnaire Excel © préformaté et automatisé d’évaluer sa maîtrise du management du risque sur la base de critères découlant des recommandations de cette norme. Ainsi, il permet à chaque organisme de se positionner par rapport à son management du risque, et d’établir des plans d’action pour progresser. Ce test peut être fait régulièrement afin de suivre son évolution. Finalement, une cartographie des processus et un retroplanning ont été réalisés dans le but de proposer aux organismes un fil conducteur pour mettre en place un management du risque efficient et opérationnel [28].