Une approche par les Risques et Opportunités
La notion de risque existait déjà dans la version 2008, via les actions préventives notamment, mais est maintenant bien plus explicite. Il s'agit clairement de déterminer les risques et les opportunités, les prendre en compte au sein des processus, et planifier et mener les actions nécessaires.
La norme exige-t-elle une méthode d'analyse de risque ?
La norme n'impose aucune méthode pour l'identification et l'analyse des risques. Par contre, je vous conseille d'en adopter une. Selon vos habitudes, votre culture, votre sensibilité, vous pourrez appliquer une méthode qualitative, par exemple le SWOT, jusqu'à des méthodes plus analytiques, de type AMDEC. Vous pouvez aussi vous reporter à des référentiels existants, tel que l'ISO 31000.
Faut-il ensuite éliminer les risques ?
Le principe de cette approche risque n'est pas de vous obliger à éliminer tous les risques. Selon leur importance et vos possibilités, vous pourrez décider de les éviter, les maîtriser, les réduire ou même les maintenir. L'important sera d'être pertinent, décisionnaire. Et de porter vos efforts sur les risques majeurs.
Enfin, ne pas oublier que la notion de risque est systématiquement associée à la notion d'opportunité. Il ne faudra donc pas se limiter aux événements indésirables potentiels, mais considérer également les situations positives dont vous pourriez tirer bénéfice.