PR NF ISO 310002017_(F)

© ISO 2017 – Tous droits réservés

ISO/TC 262/SC Date: 2017-02-17

ISO/DIS 31000:2017(F) ISO/TC 262/SC /GT 2 Secrétariat: BSI

Management du risque — Lignes directrices Risk management — Guidelines

Avertissement Ce document n'est pas une Norme internation internationale ale de l'ISO. Il est distribué pour examen et observations. Il est susceptible de modification sans préavis et ne peut être cité comme Norme internationale. Les destinataires du présent projet sont invités à présenter, avec leurs observations, notification des droits de propriété dont ils auraient éventuellement connaissance et à fournir une documentat documentation ion explicative.

Type du document: Norme internationale internationale Sous-type du document: Stade du document: (40) Enquête Langue du document: F STD Version 2.8f

ISO/DIS 31000:2017(F)

DOCUMENT PROTÉGÉ PAR COPYRIGHT

1 2 3 4 5 6

Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.

7 8 9 10 11 12 13

ISO copyright office Ch. de Blandonnet 8 CP 401 CH-1214 Vernier, Geneva, Switzerland Tel. + 41 22 749 01 11 Fax + 41 22 749 09 47 [email protected] www.iso.org 

14

ii


ISO/DIS 31000:2017(F)

15

Sommaire

16

Avant-propos ............................................................. ................................................................. ..........................iv

17

Introduction ............................................................... ................................................................. ........................... v

18

1

Domaine d'application.............................................................. ........................................................... 1

19

2

Références normatives ............................................................. ........................................................... 1

20

3

Termes et définitions ................................................................ ........................................................... 1

21

4

Principes ....................................................... ................................................................. ........................... 3

22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37

5 5.1 5.2 5.2.1 5.2.2 5.3 5.3.1 5.3.2 5.3.3 5.3.4 5.3.5 5.4 5.5 5.6 5.6.1 5.6.2

Cadre organisationnel............................................................... ........................................................... 5 Généralités .............................................................. ................................................................. ................ 5 Leadership et engagement ................................................................ ................................................. 7 Généralités .............................................................. ................................................................. ................ 7 Intégration du management du risque ............................................................... ........................... 7 Conception .............................................................. ................................................................. ................ 8 Compréhension de l'organisme et de son contexte.............................................................. .....8 Définir clairement l'engagement en matière de management du risque ......................... 9 Attribution des rôles, responsabilités et autorités au sein de l’organisme ...................... 9 Affectation des ressources ................................................................ ................................................. 9 Établissement d'une communication et d'une concertation .............................................. 10 Mise en œuvre........................................................ ................................................................. ............. 10 Évaluation.............................................................................................................................................. 10 Amélioration .......................................................... ................................................................. ............. 10 Adaptation............................................................... ................................................................. ............. 10 Amélioration continue .............................................................. ........................................................ 11

38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56

6 6.1 6.2 6.3 6.3.1 6.3.2 6.3.3 6.3.4 6.4 6.4.1 6.4.2 6.4.3 6.4.4 6.5 6.5.1 6.5.2 6.5.3 6.6 6.7

Processus ...................................................... ................................................................. ........................ 11 Généralités .............................................................. ................................................................. ............. 11 Communication et concertation ................................................................. ................................... 12 Établissement du contexte ................................................................ .............................................. 13 Généralités .............................................................. ................................................................. ............. 13 Définition de la finalité et du domaine d'application du processus ................................. 13 Contexte interne et externe ............................................................... ............................................. 13 Définition des critères de risque................................................................ ................................... 13 Appréciation du risque ............................................................. ........................................................ 14 Généralités .............................................................. ................................................................. ............. 14 Identification du risque ............................................................ ........................................................ 14 Analyse du risque ............................................................ ................................................................. .. 15 Évaluation du risque................................................................. ......................................................... 16 Traitement du risque ................................................................ ........................................................ 16 Généralités .............................................................. ................................................................. ............. 16 Sélection des options de traitement du risque ........................................................... ............. 17 Élaboration et mise en œuvre des plans de traitement du risque .................................... 18 Suivi et revue .......................................................... ................................................................. ............. 18 Enregistrement et élaboration de rapports ................................................................ .............. 18

57

Bibliographie ............................................................. ................................................................. ........................ 20

Page

58


iii

ISO/DIS 31000:2017(F)

59

Avant-propos

60 61 62 63 64 65 66

L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui concerne la normalisation électrotechnique.

67 68 69 70 71

Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents critères d'approbation requis pour les différents types de documents ISO. Le présent document a été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.iso.org/directives).

72 73 74 75 76 77

L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de brevets reçues par l’ISO (voir www.iso.org/brevets).

78 79 80

Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour information, par souci de commodité à l'intention des utilisateurs et ne sauraient constituer un engagement.

81 82 83 84

Pour une explication de la signification des termes et expressions spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de l'ISO aux principes de l'Organisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce (OTC) voir le lien suivant: www.iso.org/iso/fr/foreword.html.

85

Le comité chargé de l'élaboration du présent document est l'ISO/262

86

Cette deuxième annule et remplace la première édition qui a fait l'objet d'une révision technique.

iv


ISO/DIS 31000:2017(F)

87

Introduction

88 89

Les organismes de tous types et de toutes tailles confrontés à des facteurs et des influences internes et externes ignorent si et quand ils vont atteindre leurs objectifs.

90 91

Le management du risque est un processus dynamique qui aide les organismes à prendre des décisions éclairées concernant le développement d'une stratégie et l'atteinte d'objectifs.

92 93

Le management du risque fait partie intégrante de la gouvernance et du leadership et de la façon dont l'organisme est géré.

94 95

Le management du risque inclut l'interaction avec les parties prenantes en tant que composante présente dans toutes les activités de l'organisme.

96 97

Le management du risque prend en considération le contexte interne et externe de l'organisme, y compris le comportement humain et les facteurs culturels.

98 99 100 101

Le management du risque est fondé sur les principes, le cadre organisationnel et le processus décrits dans le présent document. Ces éléments peuvent déjà exister, en totalité ou en partie, au sein de l'organisme ; toutefois, ils peuvent nécessiter une adaptation ou une amélioration afin que le management du risque soit cohérent, efficient et efficace. Voir Figure 1.

102 103 104

Le présent document s'adresse aux personnes qui, au sein des organismes, créent de la valeur et la préserve par le management du risque, la prise de décisions, l'établissement et l'atteinte d'objectifs et l'amélioration de la performance.


v

ISO/DIS 31000:2017(F)

105

106 Figure 1 — Relations entre les principes, le cadre organisationnel et le processus

107

vi


PROJET DE NORME INTERNATIONALE

ISO/DIS 31000:2017(F)

108

Management du risque — Lignes directrices

109

1 Domaine d'application

110 111

Le présent document fournit des lignes directrices adaptables concernant le management du risque auquel sont confrontés les organismes.

112 113

Il peut être utilisé par tout organisme, fournit une approche commune permettant de gérer toute forme de risque et n'est pas spécifique à une industrie ou un secteur.

114 115

Le présent document peut être utilisé tout au long de la vie de l'organisme et appliqué à toute activité, y compris la prise de décisions à tous les niveaux.

116

2 Références normatives

117

Le présent document ne contient aucune référence normative.

118

3 Termes et définitions

119 120

Pour les besoins du présent document, les termes et définitions donnés dans l’ISO Guide 73 ainsi que les suivants s'appliquent.

121 122

L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation, consultables aux adresses suivantes :

123



IEC Electropedia : disponible à l'adresse http://www.electropedia.org/

124



ISO Online browsing platform : disponible à l'adresse http://www.iso.org/obp

125 126 127

3.1 risque

128 129

Note 1 à l'article : Un effet est un écart par rapport à une attente. Il peut être positif (parfois exprimé en termes d'opportunités), négatif (parfois exprimé en termes de menaces) ou les deux à la fois.

130 131

Note 2 à l'article : Les objectifs peuvent avoir différents aspects et catégories, et peuvent concerner différents niveaux.

132 133

Note 3 à l'article : Un risque est souvent caractérisé en référence à des événements potentiels, leurs conséquences et leur vraisemblance.

134 135

[SOURCE : ISO Guide 73:2009, 1.1, modifiée — Les Notes 1, 2 et 3 initiales à l'article ont été modifiées ; les Notes 4 et 5 initiales à l'article ont été supprimées.]

effets de l’incertitude sur les objectifs


1

ISO/DIS 31000:2017(F)

136 137 138

3.2 management du risque activités coordonnées dans le but de diriger et piloter un organisme vis-à-vis du risque (3.1)

139

[SOURCE : ISO Guide 73:2009, 3.1]

140 141 142 143

3.3 partie prenante personne ou organisme susceptible d'affecter, d'être affecté ou de se sentir lui-même affecté par une décision ou une activité

144

Note 1 à l'article : Un décideur peut être une partie prenante.

145

[SOURCE : ISO Guide 73:2009, 3.2.1.1]

146 147 148 149

3.4 source de risque tout élément qui, seul ou combiné à d'autres, présente un potentiel intrinsèque d'engendrer un risque (3.1)

150

[SOURCE : ISO Guide 73:2009, 3.5.1.2, modifiée – La Note à l'article initiale a été supprimée.]

151 152 153

3.5 événement

154

Note 1 à l'article : Un événement peut être unique ou se reproduire et peut avoir plusieurs causes.

155

Note 2 à l'article : Un événement peut être quelque chose qui est attendu, mais qui ne se produit pas.

156 157

[SOURCE : ISO Guide 73:2009, 3.5.1.3, modifiée — La Note 2 initiale à l'article a été modifiée ; les Notes 3 et 4 initiales à l'article ont été supprimées.]

158 159 160

3.6 conséquence effet d'un événement (3.10) affectant les objectifs

161 162

Note 1 à l'article : Une conséquence peut être certaine ou incertaine et peut avoir des effets positifs ou négatifs sur l'atteinte des objectifs.

163

Note 2 à l'article : Les conséquences peuvent être exprimées de façon qualitative ou quantitative.

164

Note 3 à l'article : Des conséquences initiales peuvent déclencher des effets en cascade et cumulatifs.

165

[SOURCE : ISO Guide 73:2009, 3.6.1.3, modifiée — La Note 1 à l'article initiale a été supprimée.]

166 167 168

3.6 vraisemblance possibilité que quelque chose se produise

169 170 171 172

Note 1 à l'article : Dans la terminologie du management du risque, le mot « vraisemblance » est utilisé pour indiquer la possibilité que quelque chose se produise, que cette possibilité soit définie, mesurée ou déterminée de façon objective ou subjective, qualitative ou quantitative, et qu'elle soit décrite au moyen de termes généraux ou mathématiques (telles une probabilité ou une fréquence sur une période donnée).

occurrence ou changement d’un ensemble particulier de circonstances

2


ISO/DIS 31000:2017(F)

173 174 175 176 177 178

Note 2 à l'article : Le terme anglais « likelihood » (vraisemblance) n'a pas d'équivalent direct dans certaines langues et c'est souvent l'équivalent du terme « probability » (probabilité) qui est utilisé à la place. En anglais, cependant, le terme « probability » (probabilité) est souvent limité à son interprétation mathématique. Par conséquent, dans la terminologie du management du risque, le terme « vraisemblance » est utilisé avec l’intention qu’il fasse l’objet d’une interprétation aussi large que celle dont bénéficie l e terme « probability » (probabilité) dans de nombreuses langues autres que l’ang lais.

179

[SOURCE : ISO Guide 73:2009, 3.6.1.1]

180 181 182

3.7 moyen de maîtrise mesure qui maintient ou modifie un risque

183 184

Note 1 à l'article : Un moyen de maîtrise du risque inclut n'importe quels processus, politique, dispositif, pratique ou autres conditions et/ou actions qui maintiennent et modifient un risque.

185 186

Note 2 à l'article : Un moyen de maîtrise du risque n'aboutit pas toujours nécessairement à la modification voulue ou supposée.

187 188

[SOURCE : ISO Guide 73:2009, 3.8.1.1, modifiée — La définition et la Note 1 à l'article initiales ont été modifiées ; la Note 3 à l'article a été ajoutée.]

189

4 Principes

190 191 192 193

Ces principes fournissent des lignes directrices concernant les caractéristiques d'un management du risque efficace et efficient, en communiquant sa valeur et en expliquant son intention et sa finalité. Il convient que ces principes permettent à un organisme de gérer les effets de l'incertitude sur l'atteinte de ses objectifs. Voir Figure 2.

194

a) Création et préservation de la valeur

195 196 197 198 199 200 201 202 203 204 205 206 207

Le management du risque crée de la valeur et la préserve. Il contribue à l'atteinte des objectifs, encourage l'innovation et améliore la performance. b) Intégré Le management du risque est intégré à toutes les activités de l'organisme, y compris la prise de décisions. Il ne s'agit pas d'une activité indépendante séparée des activités et processus de l'organisme. Chacun au sein d'un organisme a une responsabilité en matière de management du risque. Le management du risque améliore la prise de décisions à tous les niveaux. c) Structuré Une approche systématique et structurée du management du risque contribue à l'efficacité de la démarche et à la cohérence de résultats comparables et fiables. d) Adapté Il convient que le cadre organisationnel et le processus de management du risque soient adaptés au contexte externe et interne de l'organisme et liés à ses objectifs.


3

ISO/DIS 31000:2017(F)

208

e) Participatif

209 210 211 212

L'implication appropriée et en temps voulu des parties prenantes permet de prendre en compte leurs connaissances, leurs opinions et leur perception. Il en découle une amélioration de la sensibilisation et un management du risque et une prise de décisions éclairés. f) Dynamique et réactif

213 214 215 216

Des risques peuvent surgir, être modifiés ou disparaître à la suite de changements ou d'événements dans le contexte interne et externe d'un organisme. Le management du risque anticipe, détecte, reconnaît et réagit à ces changements et événements en temps voulu. g) Meilleure information disponible

217 218 219 220

Les données d'entrée du management du risque sont fondées sur des informations historiques et actuelles ainsi que sur les attentes futures, en tenant compte de toutes limites et incertitudes associées aux informations. h) Facteurs humains et culturels

221 222 223

Le comportement humain et la culture influent de manière significative sur tous les aspects du management du risque à chaque niveau et à chaque étape. i) Amélioration continue

224 225 226

Le management du risque améliore la performance de l'organisme par un accroissement de la sensibilisation et des capacités de développement fondé sur un apprentissage continu et sur l'expérience. Ces activités soutiennent l'apprentissage et la résilience organisationnels.

4


ISO/DIS 31000:2017(F)

227

228 Figure 2 — Principes

229 230

5 Cadre organisationnel

231

5.1 Généralités

232 233 234

Le succès du management du risque va dépendre de l'intégration du management du risque dans la gouvernance et toutes les activités de l'organisme ; cela nécessite un soutien des parties prenantes, en particulier de la direction.

235 236 237

Le cadre organisationnel englobe les dispositions organisationnelles présidant à la conception, à la mise en œuvre, à l'évaluation et à l'amélioration de l'utilisation du management du risque. La Figure 3 illustre la relation entre les composantes du cadre organisationnel.


5

ISO/DIS 31000:2017(F)

238

239 240

Figure 3 — Cadre organisationnel

241 242 243 244

Ce cadre organisationnel est destiné à aider l'organisme à intégrer le management du risque dans toutes ses activités en off rant une structure permettant de mettre en œuvre le processus de management du risque comme base à la prise de décisions et à la responsabilisation à tous les niveaux au sein de l'organisme.

245 246 247

Les paragraphes suivants décrivent les composantes du cadre organisationnel et la manière dont elles fonctionnent ensemble. Il convient que les composantes soient adaptées aux besoins spécifiques de l'organisme.

248 249 250 251

Si les pratiques et processus de management existant au sein d'un organisme comportent des composantes de management du risque ou si l'organisme a déjà adopté un processus de management du risque formalisé pour des types de situations ou de risques particuliers, il convient alors que ceux-ci soient revus de façon approfondie et évalués à la lumière du présent document.

6


ISO/DIS 31000:2017(F)

252

5.2 Leadership et engagement

253

5.2.1 Généralités

254 255

Il convient que la direction et les organismes de surveillance démontrent l'intention de l'organisme de gérer le risque et démontrent leur leadership et leur engagement en :

256



alignant le management du risque sur les objectifs et stratégies de l'organisme ;

257



s'assurant que le management du risque et la culture de l'organisme sont en phase ;

258



définissant et approuvant la politique de management du risque ;

259



s'assurant que les ressources nécessaires sont allouées au management du risque ;

260



attribuant les responsabilités et autorités aux niveaux appropriés de l'organisme ;

261 262 263 264 265 266







prenant connaissance et traitant les obligations contractuelles ainsi que les engagements volontaires ; établissant des critères de risque, l'appétence au risque et la tolérance au risque, en s'assurant qu'ils sont compris, clairement définis et communiqués aux parties prenantes ; en s'assurant que les indicateurs de performance de management du risque font partie des indicateurs de performance de l'organisme, y compris la communication de ces indicateurs ;

267



communiquant la valeur d'un management du risque pour l'organisme et ses parties prenantes ;

268



promouvant une surveillance systématique des risques ;

269



s'assurant que le cadre organisationnel et le processus de management du risque restent appropriés.

270 271 272 273

La direction peut démontrer son leadership en assurant un suivi de l'amélioration continue du management du risque au sein de l'organisme en mettant l'accent sur la détermination d'objectifs de performance organisationnelle, l’évaluation, la revue et la modification induite des processus, des systèmes, des ressources, des aptitudes et des compétences.

274 275

L'évaluation de l'évolution du management du risque au sein d'un organisme fait partie intégrante de la gouvernance de l'organisme.

276 277

NOTE La direction est responsable du management du risque alors que les organismes de surveillance, tels que les conseils d'administration, sont responsables de la supervision du management du risque.

278

5.2.2 Intégration du management du risque

279 280 281

Il convient que la direction s'assure que le management du risque est intégré dans toutes les activités de l'organisme. L'intégration du management du risque dans un organisme est un processus dynamique et itératif, et il convient qu'il soit adapté aux besoins et à la culture de l'organisme.


7

ISO/DIS 31000:2017(F)

282 283 284 285 286

Il convient que la conception du cadre organisationnel de management du risque facilite l'intégration du processus de management du risque dans la prise de décisions et le management global de l'organisme. Il convient que l'organisme évalue les lacunes dans ses approches existantes de management du risque, puis les comble dans le cadre organisationnel. Il convient que le processus de management du risque fasse partie intégrante des processus organisationnels et n’en soit pas séparé.

287

5.3 Conception

288

5.3.1 Compréhension de l'organisme et de son contexte

289 290

Lors de la conception du cadre organisationnel de management du risque, il convient que l'organisme analyse et comprenne son contexte externe et interne.

291

L'analyse du contexte externe d'un organisme peut comprendre, entre autres :

292 293



l'environnement social, culturel, politique, légal, réglementaire, financier, technologique, économique, naturel et concurrentiel, au niveau international, national, régional ou local ;

294



les moteurs clés et les tendances ayant une incidence sur les objectifs de l'organisme ;

295



les relations avec les parties prenantes externes, leurs perceptions, leurs valeurs et leurs attentes ;

296



les relations contractuelles et les engagements ; et

297



la complexité des réseaux et des dépendances.

298

L'analyse du contexte interne d'un organisme peut comprendre, entre autres :

299



la vision, la mission et les valeurs ;

300



la gouvernance, l'organisation, les rôles et les responsabilités ;

301



les stratégies, les objectifs et les politiques ;

302



les normes, les lignes directrices et les modèles adoptés par l'organisme ;

303 304 305 306 307







les capacités, en termes de ressources et de connaissances (par exemple capital, temps, personnel, processus, systèmes et technologies) ; les systèmes d'information, la circulation de l'information ; les relations avec les parties prenantes internes en tenant compte de leurs perceptions et de leurs valeurs ;

308



la culture de l'organisme ;

309



les relations contractuelles et les engagements ; et

310



les interdépendances.

8


ISO/DIS 31000:2017(F)

311

5.3.2 Définir clairement l'engagement en matière de management du risque

312 313 314 315

Il convient que la direction définisse clairement son engagement en matière de management du risque, ce qu'elle peut faire par le biais d'une politique, d'une déclaration ou d'autres formes permettant de communiquer clairement les objectifs et l'engagement de l'organisme en matière de management du risque. Il convient que l'engagement comprenne :

316 317



le but de l'organisme en matière de management du risque et les liens avec les objectifs et les autres politiques de l'organisme ;

318



les responsabilités ;

319



la mise à disposition des ressources nécessaires ;

320



la manière de traiter des objectifs contradictoires ;

321



l’évaluation et le compte rendu dans le cadre des indicateurs de performance de l'organisme ; et

322



la revue et l'amélioration.

323 324

Il convient que l'engagement en matière de management du risque soit communiqué de manière appropriée au sein de l'organisme et aux parties prenantes.

325

5.3.3 Attribution des rôles, responsabilités et autorités au sein de l’organisme

326 327

Il convient que la direction s'assure que les responsabilités et autorités pour les rôles pertinents en matière de management du risque sont attribuées et communiquées à tous les niveaux de l'organisme :

328



329 330



en soulignant que le management du risque est une responsabilité fondamentale ; et en identifiant les personnes ayant la responsabilité du risque et l'autorité pour le gérer (parfois appelées propriétaires du risque).

331

5.3.4 Affectation des ressources

332 333

Il convient que la direction assure l'affectation des ressources nécessaires au management du risque, ces dernières pouvant comprendre :

334



les personnels, les aptitudes, l'expérience et les compétences ;

335



les ressources nécessaires à chaque étape du processus de management du risque ;

336



les processus, méthodes et outils de l'organisme servant au management du risque ;

337



les processus et procédures documentés ;

338



les systèmes de gestion des informations et des connaissances ; et

339



les besoins en perfectionnement et formation professionnels.

340

Il convient que l'organisme prenne en compte les capacités et les contraintes des ressources existantes.


9

ISO/DIS 31000:2017(F) 341

5.3.5 Établissement d'une communication et d'une concertation

342 343 344 345 346

Il convient que l'organisme établisse une communication et une concertation afin de faciliter l'échange d'informations et l'application efficace du management du risque. La communication nécessite la diffusion ou l'échange d'informations. La concertation est entreprise spécifiquement pour partager des opinions ou des connaissances. Il convient que la communication et la concertation reflètent les attentes des parties prenantes internes et externes identifiées.

347 348 349

Il convient que la communication et la concertation aient lieu en temps voulu et assurent la saisie, la consolidation et le partage d'informations pertinentes de manière appropriée, la mise en place d'un

350

5.4 Mise en œuvre

351

Il convient que l'organisme mette en œuvre le cadre organisationnel de management du risque en :

352



353 354 355 356 357

retour d'information et la mise en œuvre d'améliorations.







élaborant un plan approprié, y compris un calendrier ; identifiant où, quand et comment les différents types de décisions sont prises au sein de l'organisme, et par qui ; modifiant les processus décisionnels applicables si nécessaire ; et s'assurant que les dispositions de l'organisme en matière de management du risque sont clairement comprises et mises en œuvre.

358 359 360 361

Le succès de la mise en œuvre du cadre organisationnel requiert l'implication et la sensibilisation des

362 363 364

Conçu et mis en œuvre de façon appropriée, le cadre organisationnel de management du risque garantira

365

5.5 Évaluation

366

Pour évaluer l'efficacité du cadre organisationnel de management du risque, il convient que l'organisme :

367 368

parties prenantes. Cela permet aux organismes de traiter explicitement de l'incertitude dans le cadre de la prise de décisions, tout en s'assurant que toute incertitude nouvelle ou ultérieure puisse être prise en compte lorsqu'elle apparaît. que le processus de management du risque fait partie intégrante de toutes les activités, y compris la prise de décisions, à tous les niveaux de l'organisme.



mesure périodiquement les performances du cadre organisationnel de management du risque par rapport à sa finalité, aux plans de mise en œuvre et aux comportements attendus ;

369



370

5.6 Amélioration

371

5.6.1 Adaptation

372 373 374

Il convient que l'organisme surveille en continu et adapte le cadre organisationnel de management du risque en fonction des changements du contexte interne et externe de l'organisme. L'organisme peut ainsi améliorer sa résilience.

10

détermine s'il demeure pertinent pour atteindre les objectifs de l'organisme.


ISO/DIS 31000:2017(F)

375

5.6.2 Amélioration continue

376 377 378

Il convient que l'organisme améliore en continu la pertinence, l'adéquation et l'efficacité du cadre organisationnel de management du risque et la façon dont le processus de management du risque est intégré.

379 380 381 382

Lorsque des lacunes ou des opportunités d'amélioration sont identifiées, il convient que l'organisme élabore des plans et définisse des tâches et les attribuent aux responsables de leur mise en œuvre. Une fois mises en œuvre, il convient que ces améliorations contribuent au progrès vers la maturité du management du risque.

383

6 Processus

384

6.1 Généralités

385 386 387

Le processus de management du risque fournit une approche cohérente et structurée pour l'établissement du contexte, l'appréciation du risque, le traitement du risque, ainsi que la surveillance continue, la revue, la communication et la concertation. Voir Figure 4.

388 389 390

Il convient que le processus de management du risque fasse partie intégrante du management et de la prise de décisions et soit intégré à la structure, aux opérations et aux processus opérationnels. Il peut être appliqué aux niveaux de la stratégie, des opérations, du programme ou du projet.

391 392 393

Il peut y avoir de nombreuses applications du processus de management du risque au sein d'un organisme, adaptées pour atteindre des objectifs en fonction du contexte externe et interne dans lequel elles s'appliquent.

394 395

Il convient de prendre en compte la nature dynamique et variable du comportement humain et de la culture tout au long du processus de management du risque.

396 397

Bien que le processus de management du risque soit souvent présenté comme un processus séquentiel, dans la pratique, il est itératif.


11

ISO/DIS 31000:2017(F)

398

399 Figure 4 — Processus

400 401

6.2 Communication et concertation

402 403

Il convient que la communication et la concertation avec les parties prenantes internes et externes appropriées aient lieu à toutes les étapes du processus de management du risque.

404 405 406 407 408

La communication et la concertation ont pour but d'aider les parties prenantes pertinentes à comprendre les principes de prise de décisions et les raisons pour lesquelles certaines actions sont nécessaires. Il convient qu'elles facilitent des échanges d'informations factuels, opportuns, pertinents, précis et compréhensibles, en tenant compte de la confidentialité et de l'intégrité des informations ainsi que du droit à la vie privée des personnes.

409

La communication et la concertation visent à :

410



réunir différents domaines d'expertise pour chaque étape du processus de management du risque ;

411



fournir suffisamment d'informations pour faciliter la surveillance du risque ; et

412



faire naître un sentiment d'inclusion et de propriété parmi ceux affectés par le risque.

12


ISO/DIS 31000:2017(F)

413

6.3 Établissement du contexte

414


415 416 417 418 419

Il est essentiel pour un organisme de déterminer les facteurs internes et externes susceptibles d'influencer la manière dont il gère le risque. Mener cette analyse permet de comprendre les influences internes et externes et leur effet sur les objectifs et les résultats. En établissant le contexte, un organisme peut définir le domaine d'application de ses processus de management du risque et concevoir une approche adaptée en matière de management du risque.

420

Un établissement réussi du contexte améliorera l'appréciation du risque et les processus de traitement.

421

6.3.2 Définition de la finalité et du domaine d'application du processus

422 423 424 425

Il convient que l'organisme définisse la finalité et le domaine d'application de ses activités de management du risque. Pour en déterminer l'exhaustivité et l'adéquation, il convient de réexaminer et réévaluer la finalité et le domaine d'application sur la base des informations identifiées lors de l'établissement du contexte et de l'appréciation des risques. Cela peut inclure, sans toutefois s'y limiter :

426



la prise en compte des décisions devant être prises et des objectifs associés ;

427



les résultats attendus des différentes étapes du processus ;

428



le domaine d'application en termes de temps, d'emplacement, d'inclusions et exclusions spécifiques ;

429



le choix de techniques appropriées d'appréciation du risque ; et

430



les ressources nécessaires, les responsabilités et la documentation à établir.

431

6.3.3 Contexte interne et externe

432 433

Le contexte interne et externe est l'environnement dans lequel l'organisme cherche à définir et atteindre ses objectifs. Les facteurs communs à l'environnement interne et externe sont les suivants :

434



le management du risque a lieu dans le contexte des objectifs et des activités de l'organisme ;

435



les facteurs organisationnels peuvent être une source de risque ; et

436 437



la finalité et le domaine d'application du processus de management du risque peuvent être corrélés aux objectifs de l'organisme dans son ensemble.

438

Pour les facteurs externes et environnementaux, voir 5.3.1.

439

6.3.4 Définition des critères de risque

440 441 442 443

Il convient que l'organisme identifie et définisse ses critères de risque afin d'évaluer l'importance et le niveau d'acceptabilité du risque en vue d'étayer les processus décisionnels. Il convient que les critères de risque soient alignés sur le cadre organisationnel de management du risque et adaptés à la finalité et au domaine d'application spécifique de l'activité considérée.


13

ISO/DIS 31000:2017(F)

444 445 446 447

Il convient que les critères de risque reflètent les valeurs, les objectifs et les ressources de l'organisme. Il convient que les critères soient définis en tenant compte des obligations légales, réglementaires et contractuelles de l'organisme, de ses engagements volontaires (par exemple droits de l'homme et responsabilité sociétale) et de l'opinion des parties prenantes.

448 449

Bien qu'il convienne d'établir les critères de risque au début du processus d'appréciation du risque, ces critères sont dynamiques et il convient qu'ils soient revus continuellement et modifiés si nécessaire.

450 451

Il convient que les critères soient cohérents avec les politiques et déclarations de l'organisme en matière de management du risque.

452

Il convient que les critères de risque prennent en compte :

453 454 455 456





la nature et le type d'incertitudes pouvant avoir une incidence sur les résultats et les objectifs (tangibles et intangibles) ; la façon dont la vraisemblance et les conséquences (positives et négatives) seront définies et mesurées ;

457



les calendriers ;

458



la cohérence dans l'utilisation des mesures ;

459



la méthode de détermination du niveau de risque ;

460



la façon dont les combinaisons et séquences de plusieurs risques seront prises en compte.

461 462

Il convient que les critères de risque spécifient les types et le niveau du risque ou groupe de risques qu'un organisme est prêt à poursuivre, conserver ou prendre en fonction de ses objectifs (appétit de risque).

463

6.4 Appréciation du risque

464


465

L'appréciation du risque est le processus global d'identification, d'analyse et d'évaluation du risque.

466 467 468

Il convient que l'appréciation du risque soit menée de façon systématique, itérative et collaborative, en s'appuyant sur les connaissances et les opinions des parties prenantes. Il convient d'utiliser les meilleures informations disponibles, complétées si nécessaire par une enquête plus approfondie.

469

6.4.2 Identification du risque

470 471 472

L'identification du risque a pour but de rechercher, reconnaître et décrire les risques qui peuvent aider ou empêcher un organisme d'atteindre ses objectifs. Il est essentiel que les informations utilisées pour l'identification des risques soient pertinentes, appropriées et à jour.

14


ISO/DIS 31000:2017(F)

473 474 475

L'organisme peut utiliser un éventail de techniques permettant d'identifier les incertitudes pouvant avoir une incidence sur un ou plusieurs objectifs. Il convient de prendre en compte les facteurs suivants et leurs interactions :

476



sources de risque tangibles et intangibles ;

477



causes et événements ;

478



menaces et opportunités ;

479



vulnérabilités et aptitudes ;

480



changements intervenus au niveau du contexte interne et externe ;

481



nature et valeurs des actifs et des ressources de l'organisme ;

482



criticité et conséquences ;

483



limitations des connaissances et fiabilité des informations ;

484



calendriers et influences du temps ; et

485



biais, hypothèses et convictions des personnes impliquées.

486 487 488

Il convient que l'organisme identifie les risques, que leur source soit ou non sous son contrôle. Il convient de tenir compte du fait qu'il peut y avoir plusieurs types de résultat pouvant avoir diverses conséquences tangibles ou intangibles.

489

6.4.3 Analyse du risque

490

L'analyse du risque a pour but de comprendre la nature du risque et de déterminer le niveau de risque.

491 492 493 494

L'analyse du risque fournit des données pour évaluer les risques, prendre la décision de les traiter ou non et de quelle manière, et permet de choisir les stratégies et méthodes de traitement les plus appropriées. Elle peut aussi contribuer à la prise de décisions quand il faut effectuer des choix et que les options impliquent différents types et niveaux de risque.

495 496 497

L'analyse du risque implique la prise en compte détaillée des incertitudes, des sources de risque, des événements et scénarios, de la vraisemblance et des conséquences. Un événement peut avoir des conséquences multiples et affecter des objectifs multiples.

498 499 500 501

L'analyse du risque peut être menée à différents niveaux de détail et de formalisme selon la finalité de l'analyse, la disponibilité et la fiabilité des informations et les ressources disponibles. Les techniques d'analyse peuvent être qualitatives, semi-quantitatives, quantitatives, ou une combinaison des trois, selon les circonstances et l'utilisation prévue.


15

ISO/DIS 31000:2017(F)

502

Il convient que l'analyse du risque prenne en compte des facteurs tels que :

503



la vraisemblance des événements et des conséquences ;

504



la nature et l'importance des conséquences ;

505



les calendriers et la volatilité ;

506



l'efficacité des moyens de maîtrise existants ;

507



les niveaux de sensibilité et de confiance.

508 509 510 511

L'analyse du risque peut être influencée par toute divergence d'opinions, biais, perceptions du risque et jugements. Les influences supplémentaires sont la qualité des informations utilisées, les hypothèses et exclusions posées, toute limitation des techniques et la façon dont elles sont mises en œuvre. Il convient que ces influences soient prises en compte, documentées et communiquées aux décideurs.

512 513

Les événements extrêmement incertains peuvent être difficiles à quantifier. Cela peut poser problème lors de l'analyse d'événements ayant de graves conséquences.

514

6.4.4 Évaluation du risque

515 516 517

L'évaluation du risque a pour but d'aider à la prise de décisions en matière d'ordre de priorité et de traitement du risque. L'évaluation du risque consiste à comparer les résultats de l'analyse du risque aux critères de risque établis.

518 519 520

Il convient que les décisions prennent en compte le contexte plus large du risque et des conséquences réelles et perçues pour les parties prenantes internes et externes. Il convient que les décisions respectent les obligations légales, réglementaires et autres exigences.

521 522 523

Il convient que l'évaluation du risque débouche sur la décision d'examiner les options de traitement du risque, d'entreprendre une analyse plus approfondie, de maintenir les moyens de maîtrise du risque existants ou de réexaminer les objectifs.

524 525

Il convient que le résultat de l'évaluation du risque soit enregistré, communiqué et confirmé par la direction.

526

6.5 Traitement du risque

527


528

Le traitement du risque implique le choix et la mise en œuvre d'options pour aborder le risque.

529

Le traitement du risque implique un processus itératif :

530



formuler et choisir un traitement du risque ;

531



mettre en œuvre le traitement du risque ;

532



déterminer si les niveaux de risque résiduels sont acceptables ;

533



s'ils ne sont pas acceptables, générer un traitement complémentaire du risque ; et

534



apprécier l'efficacité de ce traitement.

16


ISO/DIS 31000:2017(F)

535 536 537 538 539

Les options de traitement du risque ne s'excluent pas nécessairement les unes les autres, et ne sont pas appropriées à toutes les situations. Les options de traitement du risque peuvent impliquer un ou plusieurs des éléments suivants : 

un refus du risque marqué par la décision de ne pas commencer ou poursuivre l'activité porteuse du risque ;

540



la prise ou l'augmentation d'un risque afin de saisir une opportunité ;

541



l'élimination de la source de risque ;

542



une modification de la vraisemblance ;

543



une modification des conséquences ;

544 545



un partage du risque (par exemple par le biais de contrats, de souscription de couvertures d’assurance) ;

546



un maintien du risque fondé sur une décision éclairée.

547

6.5.2 Sélection des options de traitement du risque

548 549 550 551 552 553 554

Le choix de la ou des options de traitement du risque les plus appropriées implique de comparer les avantages potentiels obtenus en termes d'atteinte des objectifs par rapport aux coûts, aux efforts et aux

555 556 557 558

Lors du choix des options de traitement du risque, il convient que l'organisme tienne compte des valeurs, des perceptions et de l'implication potentielle des parties prenantes et examine les moyens les plus appropriés de communiquer et de se concerter avec elles. À efficacité égale, certains traitements du risque peuvent être plus acceptables que d'autres pour certaines parties prenantes.

559 560 561 562

Même s'ils sont soigneusement conçus et mis en œuvre, les traitements du risque peuvent ne pas

563

Le traitement du risque peut également engendrer de nouveaux risques qui doivent être gérés.

564 565 566

S'il n'existe aucune option de traitement disponible ou si les options de traitement ne permettent de modifier suffisamment le niveau de risque, il convient que le risque soit enregistré et fasse l'objet d'une revue continue de la direction.

567 568 569

Il convient que les décideurs et les autres parties prenantes soient informés de la nature et de l'étendue du risque résiduel après le traitement du risque. Il convient que le risque résiduel soit documenté et soumis à surveillance et revue et, le cas échéant, fasse l'objet d'un traitement supplémentaire.

inconvénients de leur mise en œuvre. La justification d'un traitement du risque peut dépasser le cadre

des considérations économiques et prendre en compte les obligations contractuelles de l'organisme, ses engagements facultatifs (par exemple droits de l'homme et responsabilité sociétale) et l'opinion des parties prenantes. Il convient de choisir les options de traitement du risque en fonction des objectifs de l'organisme, des critères de risque et des ressources disponibles.

produire les résultats escomptés. Ils peuvent également avoir des conséquences inattendues au sein de l'organisme ou à l'extérieur de l'organisme. Pour s'assurer que les traitements restent efficaces, la surveillance doit faire partie intégrante de la mise en œuvre du traitement du risque.


17

ISO/DIS 31000:2017(F) 570

6.5.3 Élaboration et mise en œuvre des plans de traitement du risque

571 572 573 574

Les plans de traitement du risque ont pour but de préciser la manière dont les options de traitement

575

Il convient que les informations fournies dans le plan de traitement comportent :

576



la justification du choix des options de traitement, y compris les avantages attendus ;

577



les personnes responsables de l'approbation et de la mise en œuvre du plan ;

578



les actions proposées ;

579



les besoins en ressources, en tenant compte des impondérables ;

580



la mesure des performances et les contraintes ;

581



les exigences en matière de rapports et de surveillance ; et

582



le calendrier et le déroulement.

583 584

Il convient que les plans de traitement soient intégrés aux processus de management de l'organisme et soient discutés avec les parties prenantes appropriées.

585

6.6 Suivi et revue

586 587 588

Il convient que la surveillance continue et la revue périodique du processus de management du risque et de ses résultats soient planifiées dans le processus de management du risque, en définissant clairement les responsabilités.

589 590 591 592

Il convient que la surveillance et la revue aient lieu à toutes les étapes du processus afin de s'assurer de

593 594

Il convient d'intégrer les résultats de la surveillance et de la revue au management global des performances de l'organisme, à leur mesurage et aux activités d'élaboration de rapports.

595

6.7 Enregistrement et élaboration de rapports

596 597

Il convient que le processus de management du risque et sa mise en œuvre soient documentés et fassent

choisies seront mises en œuvre de telle sorte que les dispositions soient comprises par les personnes impliquées et que les progrès par rapport au plan puissent faire l’objet d’un suivi . Il convient que le plan de traitement identifie clairement l'ordre de mise en œuvre des traitements du risque.

la qualité et de l'efficacité de la conception, de la mise en œuvre et des résultats du processus. La

surveillance et la revue comprennent la planification, le recueil et l'analyse d'informations, l'enregistrement des résultats et le retour d'information.

l'objet de rapports. L'enregistrement et l'élaboration de rapports facilitent :

598



la communication des activités de management du risque et de leurs résultats au sein de l'organisme ;

599



la fourniture d'informations en vue de la prise de décisions ;

600



l'amélioration des activités de management du risque ;

601 602



18

l'interaction avec les parties prenantes, y compris celles ayant la responsabilité des activités de management du risque.


ISO/DIS 31000:2017(F)

603 604 605

Il convient que les décisions concernant la création, la conservation et le traitement des informations documentées tiennent compte, sans toutefois s'y limiter, de leur utilisation, du caractère sensible des informations et du contexte interne et externe.

606 607 608

L'élaboration de rapports fait partie intégrante de la gouvernance de l'organisme et il convient qu'elle améliore la qualité du dialogue avec les parties prenantes. Les facteurs à prendre en considération pour l'établissement de rapports comprennent, sans toutefois s'y limiter :

609



les différentes parties prenantes et leurs besoins d'information spécifiques ;

610



la fréquence et le caractère opportun de l'établissement de rapports ;

611



la méthode adoptée pour l'établissement de rapports ;

612



la pertinence des informations au regard des objectifs de l'organisme et de la prise de décisions.


19

ISO/DIS 31000:2017(F)

Bibliographie

613

614

[1]

ISO Guide 73:2009, Management du risque — Vocabulaire.

615

[2]

ISO/CEI 31010, Gestion des risques — Techniques d'évaluation des risques.

616

20


PR NF ISO 310002017_(F)

Recommend Documents