Travel risk management : une norme ISO pour éduquer… et bien acheter

Travel risk management : une norme ISO pour éduquer... et bien acheter

Le Covid a eu au moins cet effet bénéfique : valoriser les enjeux sécuritaires et sanitaires dans le voyage d’affaires. Ça tombe bien :  l’ISO 31030 vient d’émerger pour donner un cadre référentiel à ces sujets. 

Est-ce que le voyageur a un schéma vaccinal complet ? Quel vaccin ? Souffre-t-il de pathologies ? Est-ce que je peux, en cas de besoin, partir de tel pays facilement ? Où se trouve l’hôpital le plus proche de ma mission ?...” Xavier Carn, vice-président des activités Sécurité au sein du Groupe International SOS, pourrait continuer longtemps la litanie des questions que se posent les entreprises quand il s’agit, depuis la pandémie, de faire voyager un collaborateur. Autant que les principaux intéressés : “Mes collègues médecins me répètent à l’envi à quel point l’impact psychologique de la crise sanitaire produit toujours ses effets, crée encore de la tension supplémentaire sur les voyageurs pros”. En attesterait le succès remporté par les webinaires consacrés au stress du business traveler, organisés par International SOS.

Tel est donc le constat spécifique que dresse l’acteur d’un domaine spécifique - le travel risk management - à propos de la “nouvelle normalité”. A focale plus large, son analyse rejoint celle du reste de l’industrie : “Il y a bel et bien reprise - de l’ordre de 75% vs. 2019, avec une augmentation de 17% mensuels ces derniers mois - mais le workflow d’approbation est plus long, le prix de l’énergie pèse sur les coûts, la généralisation de la visio rend la validation moins évidente”. Même la “grande démission” (tant déplorée par l’aérien et les TMC, notamment) est évoquée : “Nos interlocuteurs, chez nos clients, ne sont plus forcément les mêmes. D eême chez International SOS, parmi nos sept consultants “sûreté”, un certain nombre d’entre eux ont été recruté durant le Covid, ont commencé à travailler en home office. Ca pose des questions de connaissance des process mais aussi de la culture de leur entreprise”.

ISO 31030

C’est dans ce contexte que la norme ISO 31030, titrée “Gestion des risques liés aux voyages – Recommandations pour les organismes”, débarque. Un calendrier particulièrement bienvenu, alors même que lorsque l’aréopage de spécialistes ayant planché sur le sujet s’est constitué une année avant la pandémie. Tout part d’un document du British standard Institute (BSI) consacré au travel risk management, inspirant mais trop centré sur des problématiques “Royaume-Uni”. Ce fut cependant la base de travail de ce comité ISO ad hoc, réunissant, notamment, des membres du BSI, de la GBTA, de l’association internationale des professionnels de la sécurité et de la sûreté ASIS, et, donc, International SOS à qui le lead des travaux fut confié. 

Quelque 70 auditions d’interlocuteurs d’une trentaine de nationalités - travel managers, risk managers, directeurs de la sécurité, directeurs médicaux… - et un millier d’amendements apportés au document plus tard, un texte concis d’une trentaine de pages fixe le cadre de la norme ISO 31030.

L’objectif, explique Xavier Carn, est que les entreprises adoptent une politique de gestion des risques en amont. Que ce ne soit pas mû par la peur du gendarme, les coups de baguette des juges : jurisprudences Jolo (2006), Sanofi (2012)... Que ce soit la volonté de bien faire les choses, d’une façon juste et raisonnable, dans un élan positif qui permet, outre la réduction des risques, de retenir et d'attirer les talents, par exemple”.

Pour l’heure, la norme ISO 31030 n’est ni contraignante, ni certifiante : il s’agit d’une liste de bonnes pratiques. Ce choix du  “should” au détriment du “must” est à mettre en relation avec la volonté de s'adresser à tout type d’organisations (ONG, gouvernements, entreprises de toutes activités et de toutes tailles, universités ou écoles…). Dès lors, le scope du texte est si large que les standards ne peuvent être les mêmes selon la typologie de la structure qui s’en empare. Cependant, en cas d’incident ou d’accident, le juge regarde la littérature concernant le cas d’espèce. Et dans ce corpus de textes, l’ISO 31030 a l’ambition de devenir un élément incontournable : un cadre de référence.

Guidance

Cadre de référence et guide de bonnes pratiques, donc. Qu’est ce que je fais si j’ai un collaborateur kidnappé ? Ou s’il est insulino-dépendant ? Ou s’il subit une catastrophe naturelle ?... Mais avant : comment le localiser ? Quel type d’assistance devrais-je mettre en œuvre ?... Le document se veut très pratique. Il se veut évangélisateur aussi : les PVE ne doivent plus être fixées en fonction des seuls objectifs financiers. L’ISO se veut une aide à l’incorporation de la gestion des risques à une politique “voyages”. 

Il propose aussi des ouvertures multiples en fonction du degré de maturité des organisations concernées. Un huitaine d’étapes sont proposées mais elles peuvent s’envisager de biais pour une montée en compétence adaptée. Selon que l’entreprise aspire à une couverture des risques parfaite ou à une mise en place de mesures a minima. Selon que ses collaborateurs voyagent dans les capitales mondiales du luxe ou dans les points chauds des oil & gas destinations. Selon son “appétit au risque” (le niveau de risque maximum qu'elle est prête à prendre en vue d'atteindre ses objectifs stratégiques. et en fonction d’eux déterminer comment on analyse ces risques). Selon que son organigramme comporte des fonctions dédiées à la sûreté/sécurité, ou peu, ou pas.

Pédagogie

L’organigramme ou, plus exactement, la question de la décision est effectivement centrale dans le devoir de protection. C’est, dans son souci pédagogique, l’un des points saillants de l’ISO 31030 que d’affirmer que le duty of care dans le cadre du voyage n’est pas qu’affaire de travel risk manager. Une autorisation de bleisure, par exemple, implique la DRH. Pour tout voyage, il faut déterminer le bon sponsor, au bon niveau (board, comex, CEO). Et si le workflow d’approbation est trop long au regard de l’urgence du voyage, le système dérogatoire permettant d’atteindre le décisionnaire idoine doit être fixé. Car en cas d’accident grave, c’est jusqu’au niveau des actionnaires que l’impact peut se faire sentir.

La prise en compte du profil du voyageur, par exemple (est-il vacciné ? Est-il un traveler aguerri ?...), la nécessité, pour l’organisation, de communiquer sur sa gestion des risques, celles de recueillir les retours d’expérience sont quelques-uns des autres éléments sur lesquels le texte insiste. Il s’adresse à lui même la même recommandation : un travail de feedback est à l’œuvre, pour améliorer la norme, dans une sorte de work in progress rendu plus aisé par sa dimension non certifiante.

Guide d’achat

L’évangélisation, la dimension pédagogique du texte, si elle est évidente pour l’entreprise qui s’y soumet, l’est aussi pour l’entièreté de l’écosystème business travel. Car, bien sûr, la sécurité des collaborateurs relève de la responsabilité de leur employeur… avec le concours d’un certain nombre de prestataires à qui la norme assigne un certain nombre de recommandations implicites, sous forme de benchmarks par exemple (ce que doit/peut proposer un outil de tracking, un SBT, un HBT… en fonction des besoins de l’entreprise).

Cette éducation du marché au le travel risk management via ISO 31030 prendra prochainement des contours plus précis encore. La GBTA s’est en effet emparée de la nouvelle norme pour la retranscrire sous forme de grilles d’évaluation des prestataires en rapport avec les fonctionnalités préconisées dans le document. 

La vraie victoire pour l’ISO 31030 serait donc qu’elle se retrouve dans les appels d'offres à venir. Les équipes de la Global business travel Association planchent actuellement à ce référentiel. On peut raisonnablement attendre le résultat de leurs travaux au Q1 2023.