© ISO 2017 – Tous droits réservés
ISO/TC 262/SC Date: 2017-02-17
ISO/DIS 31000:2017(F) ISO/TC 262/SC /GT 2 Secrétariat: BSI
Management du risque — Lignes directrices Risk management — Guidelines
Avertissement Ce document n'est pas une Norme internation internationale ale de l'ISO. Il est distribué pour examen et observations. Il est susceptible de modification sans préavis et ne peut être cité comme Norme internationale. Les destinataires du présent projet sont invités à présenter, avec leurs observations, notification des droits de propriété dont ils auraient éventuellement connaissance et à fournir une documentat documentation ion explicative.
Type du document: Norme internationale internationale Sous-type du document: Stade du document: (40) Enquête Langue du document: F STD Version 2.8f
ISO/DIS 31000:2017(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
1 2 3 4 5 6
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
7 8 9 10 11 12 13
ISO copyright office Ch. de Blandonnet 8 CP 401 CH-1214 Vernier, Geneva, Switzerland Tel. + 41 22 749 01 11 Fax + 41 22 749 09 47
[email protected] www.iso.org
14
ii
© ISO 2017 – Tous droits réservés
ISO/DIS 31000:2017(F)
15
Sommaire
16
Avant-propos ............................................................. ................................................................. ..........................iv
17
Introduction ............................................................... ................................................................. ........................... v
18
1
Domaine d'application.............................................................. ........................................................... 1
19
2
Références normatives ............................................................. ........................................................... 1
20
3
Termes et définitions ................................................................ ........................................................... 1
21
4
Principes ....................................................... ................................................................. ........................... 3
22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37
5 5.1 5.2 5.2.1 5.2.2 5.3 5.3.1 5.3.2 5.3.3 5.3.4 5.3.5 5.4 5.5 5.6 5.6.1 5.6.2
Cadre organisationnel............................................................... ........................................................... 5 Généralités .............................................................. ................................................................. ................ 5 Leadership et engagement ................................................................ ................................................. 7 Généralités .............................................................. ................................................................. ................ 7 Intégration du management du risque ............................................................... ........................... 7 Conception .............................................................. ................................................................. ................ 8 Compréhension de l'organisme et de son contexte.............................................................. .....8 Définir clairement l'engagement en matière de management du risque ......................... 9 Attribution des rôles, responsabilités et autorités au sein de l’organisme ...................... 9 Affectation des ressources ................................................................ ................................................. 9 Établissement d'une communication et d'une concertation .............................................. 10 Mise en œuvre........................................................ ................................................................. ............. 10 Évaluation.............................................................................................................................................. 10 Amélioration .......................................................... ................................................................. ............. 10 Adaptation............................................................... ................................................................. ............. 10 Amélioration continue .............................................................. ........................................................ 11
38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56
6 6.1 6.2 6.3 6.3.1 6.3.2 6.3.3 6.3.4 6.4 6.4.1 6.4.2 6.4.3 6.4.4 6.5 6.5.1 6.5.2 6.5.3 6.6 6.7
Processus ...................................................... ................................................................. ........................ 11 Généralités .............................................................. ................................................................. ............. 11 Communication et concertation ................................................................. ................................... 12 Établissement du contexte ................................................................ .............................................. 13 Généralités .............................................................. ................................................................. ............. 13 Définition de la finalité et du domaine d'application du processus ................................. 13 Contexte interne et externe ............................................................... ............................................. 13 Définition des critères de risque................................................................ ................................... 13 Appréciation du risque ............................................................. ........................................................ 14 Généralités .............................................................. ................................................................. ............. 14 Identification du risque ............................................................ ........................................................ 14 Analyse du risque ............................................................ ................................................................. .. 15 Évaluation du risque................................................................. ......................................................... 16 Traitement du risque ................................................................ ........................................................ 16 Généralités .............................................................. ................................................................. ............. 16 Sélection des options de traitement du risque ........................................................... ............. 17 Élaboration et mise en œuvre des plans de traitement du risque .................................... 18 Suivi et revue .......................................................... ................................................................. ............. 18 Enregistrement et élaboration de rapports ................................................................ .............. 18
57
Bibliographie ............................................................. ................................................................. ........................ 20
Page
58
© ISO 2017 – Tous droits réservés
iii
ISO/DIS 31000:2017(F)
59
Avant-propos
60 61 62 63 64 65 66
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui concerne la normalisation électrotechnique.
67 68 69 70 71
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents critères d'approbation requis pour les différents types de documents ISO. Le présent document a été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.iso.org/directives).
72 73 74 75 76 77
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de brevets reçues par l’ISO (voir www.iso.org/brevets).
78 79 80
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour information, par souci de commodité à l'intention des utilisateurs et ne sauraient constituer un engagement.
81 82 83 84
Pour une explication de la signification des termes et expressions spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de l'ISO aux principes de l'Organisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce (OTC) voir le lien suivant: www.iso.org/iso/fr/foreword.html.
85
Le comité chargé de l'élaboration du présent document est l'ISO/262
86
Cette deuxième annule et remplace la première édition qui a fait l'objet d'une révision technique.
iv
© ISO 2017 – Tous droits réservés
ISO/DIS 31000:2017(F)
87
Introduction
88 89
Les organismes de tous types et de toutes tailles confrontés à des facteurs et des influences internes et externes ignorent si et quand ils vont atteindre leurs objectifs.
90 91
Le management du risque est un processus dynamique qui aide les organismes à prendre des décisions éclairées concernant le développement d'une stratégie et l'atteinte d'objectifs.
92 93
Le management du risque fait partie intégrante de la gouvernance et du leadership et de la façon dont l'organisme est géré.
94 95
Le management du risque inclut l'interaction avec les parties prenantes en tant que composante présente dans toutes les activités de l'organisme.
96 97
Le management du risque prend en considération le contexte interne et externe de l'organisme, y compris le comportement humain et les facteurs culturels.
98 99 100 101
Le management du risque est fondé sur les principes, le cadre organisationnel et le processus décrits dans le présent document. Ces éléments peuvent déjà exister, en totalité ou en partie, au sein de l'organisme ; toutefois, ils peuvent nécessiter une adaptation ou une amélioration afin que le management du risque soit cohérent, efficient et efficace. Voir Figure 1.
102 103 104
Le présent document s'adresse aux personnes qui, au sein des organismes, créent de la valeur et la préserve par le management du risque, la prise de décisions, l'établissement et l'atteinte d'objectifs et l'amélioration de la performance.
© ISO 2017 – Tous droits réservés
v
ISO/DIS 31000:2017(F)
105
106 Figure 1 — Relations entre les principes, le cadre organisationnel et le processus
107
vi
© ISO 2017 – Tous droits réservés
PROJET DE NORME INTERNATIONALE
ISO/DIS 31000:2017(F)
108
Management du risque — Lignes directrices
109
1 Domaine d'application
110 111
Le présent document fournit des lignes directrices adaptables concernant le management du risque auquel sont confrontés les organismes.
112 113
Il peut être utilisé par tout organisme, fournit une approche commune permettant de gérer toute forme de risque et n'est pas spécifique à une industrie ou un secteur.
114 115
Le présent document peut être utilisé tout au long de la vie de l'organisme et appliqué à toute activité, y compris la prise de décisions à tous les niveaux.
116
2 Références normatives
117
Le présent document ne contient aucune référence normative.
118
3 Termes et définitions
119 120
Pour les besoins du présent document, les termes et définitions donnés dans l’ISO Guide 73 ainsi que les suivants s'appliquent.
121 122
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation, consultables aux adresses suivantes :
123
IEC Electropedia : disponible à l'adresse http://www.electropedia.org/
124
ISO Online browsing platform : disponible à l'adresse http://www.iso.org/obp
125 126 127
3.1 risque
128 129
Note 1 à l'article : Un effet est un écart par rapport à une attente. Il peut être positif (parfois exprimé en termes d'opportunités), négatif (parfois exprimé en termes de menaces) ou les deux à la fois.
130 131
Note 2 à l'article : Les objectifs peuvent avoir différents aspects et catégories, et peuvent concerner différents niveaux.
132 133
Note 3 à l'article : Un risque est souvent caractérisé en référence à des événements potentiels, leurs conséquences et leur vraisemblance.
134 135
[SOURCE : ISO Guide 73:2009, 1.1, modifiée — Les Notes 1, 2 et 3 initiales à l'article ont été modifiées ; les Notes 4 et 5 initiales à l'article ont été supprimées.]
effets de l’incertitude sur les objectifs
© ISO 2017 – Tous droits réservés
1
ISO/DIS 31000:2017(F)
136 137 138
3.2 management du risque activités coordonnées dans le but de diriger et piloter un organisme vis-à-vis du risque (3.1)
139
[SOURCE : ISO Guide 73:2009, 3.1]
140 141 142 143
3.3 partie prenante personne ou organisme susceptible d'affecter, d'être affecté ou de se sentir lui-même affecté par une décision ou une activité
144
Note 1 à l'article : Un décideur peut être une partie prenante.
145
[SOURCE : ISO Guide 73:2009, 3.2.1.1]
146 147 148 149
3.4 source de risque tout élément qui, seul ou combiné à d'autres, présente un potentiel intrinsèque d'engendrer un risque (3.1)
150
[SOURCE : ISO Guide 73:2009, 3.5.1.2, modifiée – La Note à l'article initiale a été supprimée.]
151 152 153
3.5 événement
154
Note 1 à l'article : Un événement peut être unique ou se reproduire et peut avoir plusieurs causes.
155
Note 2 à l'article : Un événement peut être quelque chose qui est attendu, mais qui ne se produit pas.
156 157
[SOURCE : ISO Guide 73:2009, 3.5.1.3, modifiée — La Note 2 initiale à l'article a été modifiée ; les Notes 3 et 4 initiales à l'article ont été supprimées.]
158 159 160
3.6 conséquence effet d'un événement (3.10) affectant les objectifs
161 162
Note 1 à l'article : Une conséquence peut être certaine ou incertaine et peut avoir des effets positifs ou négatifs sur l'atteinte des objectifs.
163
Note 2 à l'article : Les conséquences peuvent être exprimées de façon qualitative ou quantitative.
164
Note 3 à l'article : Des conséquences initiales peuvent déclencher des effets en cascade et cumulatifs.
165
[SOURCE : ISO Guide 73:2009, 3.6.1.3, modifiée — La Note 1 à l'article initiale a été supprimée.]
166 167 168
3.6 vraisemblance possibilité que quelque chose se produise
169 170 171 172
Note 1 à l'article : Dans la terminologie du management du risque, le mot « vraisemblance » est utilisé pour indiquer la possibilité que quelque chose se produise, que cette possibilité soit définie, mesurée ou déterminée de façon objective ou subjective, qualitative ou quantitative, et qu'elle soit décrite au moyen de termes généraux ou mathématiques (telles une probabilité ou une fréquence sur une période donnée).
occurrence ou changement d’un ensemble particulier de circonstances
2
© ISO 2017 – Tous droits réservés
ISO/DIS 31000:2017(F)
173 174 175 176 177 178
Note 2 à l'article : Le terme anglais « likelihood » (vraisemblance) n'a pas d'équivalent direct dans certaines langues et c'est souvent l'équivalent du terme « probability » (probabilité) qui est utilisé à la place. En anglais, cependant, le terme « probability » (probabilité) est souvent limité à son interprétation mathématique. Par conséquent, dans la terminologie du management du risque, le terme « vraisemblance » est utilisé avec l’intention qu’il fasse l’objet d’une interprétation aussi large que celle dont bénéficie l e terme « probability » (probabilité) dans de nombreuses langues autres que l’ang lais.
179
[SOURCE : ISO Guide 73:2009, 3.6.1.1]
180 181 182
3.7 moyen de maîtrise mesure qui maintient ou modifie un risque
183 184
Note 1 à l'article : Un moyen de maîtrise du risque inclut n'importe quels processus, politique, dispositif, pratique ou autres conditions et/ou actions qui maintiennent et modifient un risque.
185 186
Note 2 à l'article : Un moyen de maîtrise du risque n'aboutit pas toujours nécessairement à la modification voulue ou supposée.
187 188
[SOURCE : ISO Guide 73:2009, 3.8.1.1, modifiée — La définition et la Note 1 à l'article initiales ont été modifiées ; la Note 3 à l'article a été ajoutée.]
189
4 Principes
190 191 192 193
Ces principes fournissent des lignes directrices concernant les caractéristiques d'un management du risque efficace et efficient, en communiquant sa valeur et en expliquant son intention et sa finalité. Il convient que ces principes permettent à un organisme de gérer les effets de l'incertitude sur l'atteinte de ses objectifs. Voir Figure 2.
194
a) Création et préservation de la valeur
195 196 197 198 199 200 201 202 203 204 205 206 207
Le management du risque crée de la valeur et la préserve. Il contribue à l'atteinte des objectifs, encourage l'innovation et améliore la performance. b) Intégré Le management du risque est intégré à toutes les activités de l'organisme, y compris la prise de décisions. Il ne s'agit pas d'une activité indépendante séparée des activités et processus de l'organisme. Chacun au sein d'un organisme a une responsabilité en matière de management du risque. Le management du risque améliore la prise de décisions à tous les niveaux. c) Structuré Une approche systématique et structurée du management du risque contribue à l'efficacité de la démarche et à la cohérence de résultats comparables et fiables. d) Adapté Il convient que le cadre organisationnel et le processus de management du risque soient adaptés au contexte externe et interne de l'organisme et liés à ses objectifs.
© ISO 2017 – Tous droits réservés
3
ISO/DIS 31000:2017(F)
208
e) Participatif
209 210 211 212
L'implication appropriée et en temps voulu des parties prenantes permet de prendre en compte leurs connaissances, leurs opinions et leur perception. Il en découle une amélioration de la sensibilisation et un management du risque et une prise de décisions éclairés. f) Dynamique et réactif
213 214 215 216
Des risques peuvent surgir, être modifiés ou disparaître à la suite de changements ou d'événements dans le contexte interne et externe d'un organisme. Le management du risque anticipe, détecte, reconnaît et réagit à ces changements et événements en temps voulu. g) Meilleure information disponible
217 218 219 220
Les données d'entrée du management du risque sont fondées sur des informations historiques et actuelles ainsi que sur les attentes futures, en tenant compte de toutes limites et incertitudes associées aux informations. h) Facteurs humains et culturels
221 222 223
Le comportement humain et la culture influent de manière significative sur tous les aspects du management du risque à chaque niveau et à chaque étape. i) Amélioration continue
224 225 226
Le management du risque améliore la performance de l'organisme par un accroissement de la sensibilisation et des capacités de développement fondé sur un apprentissage continu et sur l'expérience. Ces activités soutiennent l'apprentissage et la résilience organisationnels.
4
© ISO 2017 – Tous droits réservés
ISO/DIS 31000:2017(F)
227
228 Figure 2 — Principes
229 230
5 Cadre organisationnel
231
5.1 Généralités
232 233 234
Le succès du management du risque va dépendre de l'intégration du management du risque dans la gouvernance et toutes les activités de l'organisme ; cela nécessite un soutien des parties prenantes, en particulier de la direction.
235 236 237
Le cadre organisationnel englobe les dispositions organisationnelles présidant à la conception, à la mise en œuvre, à l'évaluation et à l'amélioration de l'utilisation du management du risque. La Figure 3 illustre la relation entre les composantes du cadre organisationnel.
© ISO 2017 – Tous droits réservés
5
ISO/DIS 31000:2017(F)
238
239 240
Figure 3 — Cadre organisationnel
241 242 243 244
Ce cadre organisationnel est destiné à aider l'organisme à intégrer le management du risque dans toutes ses activités en off rant une structure permettant de mettre en œuvre le processus de management du risque comme base à la prise de décisions et à la responsabilisation à tous les niveaux au sein de l'organisme.
245 246 247
Les paragraphes suivants décrivent les composantes du cadre organisationnel et la manière dont elles fonctionnent ensemble. Il convient que les composantes soient adaptées aux besoins spécifiques de l'organisme.
248 249 250 251
Si les pratiques et processus de management existant au sein d'un organisme comportent des composantes de management du risque ou si l'organisme a déjà adopté un processus de management du risque formalisé pour des types de situations ou de risques particuliers, il convient alors que ceux-ci soient revus de façon approfondie et évalués à la lumière du présent document.
6
© ISO 2017 – Tous droits réservés
ISO/DIS 31000:2017(F)
252
5.2 Leadership et engagement
253
5.2.1 Généralités
254 255
Il convient que la direction et les organismes de surveillance démontrent l'intention de l'organisme de gérer le risque et démontrent leur leadership et leur engagement en :
256
alignant le management du risque sur les objectifs et stratégies de l'organisme ;
257
s'assurant que le management du risque et la culture de l'organisme sont en phase ;
258
définissant et approuvant la politique de management du risque ;
259
s'assurant que les ressources nécessaires sont allouées au management du risque ;
260
attribuant les responsabilités et autorités aux niveaux appropriés de l'organisme ;
261 262 263 264 265 266
prenant connaissance et traitant les obligations contractuelles ainsi que les engagements volontaires ; établissant des critères de risque, l'appétence au risque et la tolérance au risque, en s'assurant qu'ils sont compris, clairement définis et communiqués aux parties prenantes ; en s'assurant que les indicateurs de performance de management du risque font partie des indicateurs de performance de l'organisme, y compris la communication de ces indicateurs ;
267
communiquant la valeur d'un management du risque pour l'organisme et ses parties prenantes ;
268
promouvant une surveillance systématique des risques ;
269
s'assurant que le cadre organisationnel et le processus de management du risque restent appropriés.
270 271 272 273
La direction peut démontrer son leadership en assurant un suivi de l'amélioration continue du management du risque au sein de l'organisme en mettant l'accent sur la détermination d'objectifs de performance organisationnelle, l’évaluation, la revue et la modification induite des processus, des systèmes, des ressources, des aptitudes et des compétences.
274 275
L'évaluation de l'évolution du management du risque au sein d'un organisme fait partie intégrante de la gouvernance de l'organisme.
276 277
NOTE La direction est responsable du management du risque alors que les organismes de surveillance, tels que les conseils d'administration, sont responsables de la supervision du management du risque.
278
5.2.2 Intégration du management du risque
279 280 281
Il convient que la direction s'assure que le management du risque est intégré dans toutes les activités de l'organisme. L'intégration du management du risque dans un organisme est un processus dynamique et itératif, et il convient qu'il soit adapté aux besoins et à la culture de l'organisme.
© ISO 2017 – Tous droits réservés
7
ISO/DIS 31000:2017(F)
282 283 284 285 286
Il convient que la conception du cadre organisationnel de management du risque facilite l'intégration du processus de management du risque dans la prise de décisions et le management global de l'organisme. Il convient que l'organisme évalue les lacunes dans ses approches existantes de management du risque, puis les comble dans le cadre organisationnel. Il convient que le processus de management du risque fasse partie intégrante des processus organisationnels et n’en soit pas séparé.
287
5.3 Conception
288
5.3.1 Compréhension de l'organisme et de son contexte
289 290
Lors de la conception du cadre organisationnel de management du risque, il convient que l'organisme analyse et comprenne son contexte externe et interne.
291
L'analyse du contexte externe d'un organisme peut comprendre, entre autres :
292 293
l'environnement social, culturel, politique, légal, réglementaire, financier, technologique, économique, naturel et concurrentiel, au niveau international, national, régional ou local ;
294
les moteurs clés et les tendances ayant une incidence sur les objectifs de l'organisme ;
295
les relations avec les parties prenantes externes, leurs perceptions, leurs valeurs et leurs attentes ;
296
les relations contractuelles et les engagements ; et
297
la complexité des réseaux et des dépendances.
298
L'analyse du contexte interne d'un organisme peut comprendre, entre autres :
299
la vision, la mission et les valeurs ;
300
la gouvernance, l'organisation, les rôles et les responsabilités ;
301
les stratégies, les objectifs et les politiques ;
302
les normes, les lignes directrices et les modèles adoptés par l'organisme ;
303 304 305 306 307
les capacités, en termes de ressources et de connaissances (par exemple capital, temps, personnel, processus, systèmes et technologies) ; les systèmes d'information, la circulation de l'information ; les relations avec les parties prenantes internes en tenant compte de leurs perceptions et de leurs valeurs ;
308
la culture de l'organisme ;
309
les relations contractuelles et les engagements ; et
310
les interdépendances.
8
© ISO 2017 – Tous droits réservés
ISO/DIS 31000:2017(F)
311
5.3.2 Définir clairement l'engagement en matière de management du risque
312 313 314 315
Il convient que la direction définisse clairement son engagement en matière de management du risque, ce qu'elle peut faire par le biais d'une politique, d'une déclaration ou d'autres formes permettant de communiquer clairement les objectifs et l'engagement de l'organisme en matière de management du risque. Il convient que l'engagement comprenne :
316 317
le but de l'organisme en matière de management du risque et les liens avec les objectifs et les autres politiques de l'organisme ;
318
les responsabilités ;
319
la mise à disposition des ressources nécessaires ;
320
la manière de traiter des objectifs contradictoires ;
321
l’évaluation et le compte rendu dans le cadre des indicateurs de performance de l'organisme ; et
322
la revue et l'amélioration.
323 324
Il convient que l'engagement en matière de management du risque soit communiqué de manière appropriée au sein de l'organisme et aux parties prenantes.
325
5.3.3 Attribution des rôles, responsabilités et autorités au sein de l’organisme
326 327
Il convient que la direction s'assure que les responsabilités et autorités pour les rôles pertinents en matière de management du risque sont attribuées et communiquées à tous les niveaux de l'organisme :
328
329 330
en soulignant que le management du risque est une responsabilité fondamentale ; et en identifiant les personnes ayant la responsabilité du risque et l'autorité pour le gérer (parfois appelées propriétaires du risque).
331
5.3.4 Affectation des ressources
332 333
Il convient que la direction assure l'affectation des ressources nécessaires au management du risque, ces dernières pouvant comprendre :
334
les personnels, les aptitudes, l'expérience et les compétences ;
335
les ressources nécessaires à chaque étape du processus de management du risque ;
336
les processus, méthodes et outils de l'organisme servant au management du risque ;
337
les processus et procédures documentés ;
338
les systèmes de gestion des informations et des connaissances ; et
339
les besoins en perfectionnement et formation professionnels.
340
Il convient que l'organisme prenne en compte les capacités et les contraintes des ressources existantes.
© ISO 2017 – Tous droits réservés
9
ISO/DIS 31000:2017(F) 341
5.3.5 Établissement d'une communication et d'une concertation
342 343 344 345 346
Il convient que l'organisme établisse une communication et une concertation afin de faciliter l'échange d'informations et l'application efficace du management du risque. La communication nécessite la diffusion ou l'échange d'informations. La concertation est entreprise spécifiquement pour partager des opinions ou des connaissances. Il convient que la communication et la concertation reflètent les attentes des parties prenantes internes et externes identifiées.
347 348 349
Il convient que la communication et la concertation aient lieu en temps voulu et assurent la saisie, la consolidation et le partage d'informations pertinentes de manière appropriée, la mise en place d'un
350
5.4 Mise en œuvre
351
Il convient que l'organisme mette en œuvre le cadre organisationnel de management du risque en :
352
353 354 355 356 357
retour d'information et la mise en œuvre d'améliorations.
élaborant un plan approprié, y compris un calendrier ; identifiant où, quand et comment les différents types de décisions sont prises au sein de l'organisme, et par qui ; modifiant les processus décisionnels applicables si nécessaire ; et s'assurant que les dispositions de l'organisme en matière de management du risque sont clairement comprises et mises en œuvre.
358 359 360 361
Le succès de la mise en œuvre du cadre organisationnel requiert l'implication et la sensibilisation des
362 363 364
Conçu et mis en œuvre de façon appropriée, le cadre organisationnel de management du risque garantira
365
5.5 Évaluation
366
Pour évaluer l'efficacité du cadre organisationnel de management du risque, il convient que l'organisme :
367 368
parties prenantes. Cela permet aux organismes de traiter explicitement de l'incertitude dans le cadre de la prise de décisions, tout en s'assurant que toute incertitude nouvelle ou ultérieure puisse être prise en compte lorsqu'elle apparaît. que le processus de management du risque fait partie intégrante de toutes les activités, y compris la prise de décisions, à tous les niveaux de l'organisme.
mesure périodiquement les performances du cadre organisationnel de management du risque par rapport à sa finalité, aux plans de mise en œuvre et aux comportements attendus ;
369
370
5.6 Amélioration
371
5.6.1 Adaptation
372 373 374
Il convient que l'organisme surveille en continu et adapte le cadre organisationnel de management du risque en fonction des changements du contexte interne et externe de l'organisme. L'organisme peut ainsi améliorer sa résilience.
10
détermine s'il demeure pertinent pour atteindre les objectifs de l'organisme.
© ISO 2017 – Tous droits réservés
ISO/DIS 31000:2017(F)
375
5.6.2 Amélioration continue
376 377 378
Il convient que l'organisme améliore en continu la pertinence, l'adéquation et l'efficacité du cadre organisationnel de management du risque et la façon dont le processus de management du risque est intégré.
379 380 381 382
Lorsque des lacunes ou des opportunités d'amélioration sont identifiées, il convient que l'organisme élabore des plans et définisse des tâches et les attribuent aux responsables de leur mise en œuvre. Une fois mises en œuvre, il convient que ces améliorations contribuent au progrès vers la maturité du management du risque.
383
6 Processus
384
6.1 Généralités
385 386 387
Le processus de management du risque fournit une approche cohérente et structurée pour l'établissement du contexte, l'appréciation du risque, le traitement du risque, ainsi que la surveillance continue, la revue, la communication et la concertation. Voir Figure 4.
388 389 390
Il convient que le processus de management du risque fasse partie intégrante du management et de la prise de décisions et soit intégré à la structure, aux opérations et aux processus opérationnels. Il peut être appliqué aux niveaux de la stratégie, des opérations, du programme ou du projet.
391 392 393
Il peut y avoir de nombreuses applications du processus de management du risque au sein d'un organisme, adaptées pour atteindre des objectifs en fonction du contexte externe et interne dans lequel elles s'appliquent.
394 395
Il convient de prendre en compte la nature dynamique et variable du comportement humain et de la culture tout au long du processus de management du risque.
396 397
Bien que le processus de management du risque soit souvent présenté comme un processus séquentiel, dans la pratique, il est itératif.
© ISO 2017 – Tous droits réservés
11
ISO/DIS 31000:2017(F)
398
399 Figure 4 — Processus
400 401
6.2 Communication et concertation
402 403
Il convient que la communication et la concertation avec les parties prenantes internes et externes appropriées aient lieu à toutes les étapes du processus de management du risque.
404 405 406 407 408
La communication et la concertation ont pour but d'aider les parties prenantes pertinentes à comprendre les principes de prise de décisions et les raisons pour lesquelles certaines actions sont nécessaires. Il convient qu'elles facilitent des échanges d'informations factuels, opportuns, pertinents, précis et compréhensibles, en tenant compte de la confidentialité et de l'intégrité des informations ainsi que du droit à la vie privée des personnes.
409
La communication et la concertation visent à :
410
réunir différents domaines d'expertise pour chaque étape du processus de management du risque ;
411
fournir suffisamment d'informations pour faciliter la surveillance du risque ; et
412
faire naître un sentiment d'inclusion et de propriété parmi ceux affectés par le risque.
12
© ISO 2017 – Tous droits réservés
ISO/DIS 31000:2017(F)
413
6.3 Établissement du contexte
414
6.3.1 Généralités
415 416 417 418 419
Il est essentiel pour un organisme de déterminer les facteurs internes et externes susceptibles d'influencer la manière dont il gère le risque. Mener cette analyse permet de comprendre les influences internes et externes et leur effet sur les objectifs et les résultats. En établissant le contexte, un organisme peut définir le domaine d'application de ses processus de management du risque et concevoir une approche adaptée en matière de management du risque.
420
Un établissement réussi du contexte améliorera l'appréciation du risque et les processus de traitement.
421
6.3.2 Définition de la finalité et du domaine d'application du processus
422 423 424 425
Il convient que l'organisme définisse la finalité et le domaine d'application de ses activités de management du risque. Pour en déterminer l'exhaustivité et l'adéquation, il convient de réexaminer et réévaluer la finalité et le domaine d'application sur la base des informations identifiées lors de l'établissement du contexte et de l'appréciation des risques. Cela peut inclure, sans toutefois s'y limiter :
426
la prise en compte des décisions devant être prises et des objectifs associés ;
427
les résultats attendus des différentes étapes du processus ;
428
le domaine d'application en termes de temps, d'emplacement, d'inclusions et exclusions spécifiques ;
429
le choix de techniques appropriées d'appréciation du risque ; et
430
les ressources nécessaires, les responsabilités et la documentation à établir.
431
6.3.3 Contexte interne et externe
432 433
Le contexte interne et externe est l'environnement dans lequel l'organisme cherche à définir et atteindre ses objectifs. Les facteurs communs à l'environnement interne et externe sont les suivants :
434
le management du risque a lieu dans le contexte des objectifs et des activités de l'organisme ;
435
les facteurs organisationnels peuvent être une source de risque ; et
436 437
la finalité et le domaine d'application du processus de management du risque peuvent être corrélés aux objectifs de l'organisme dans son ensemble.
438
Pour les facteurs externes et environnementaux, voir 5.3.1.
439
6.3.4 Définition des critères de risque
440 441 442 443
Il convient que l'organisme identifie et définisse ses critères de risque afin d'évaluer l'importance et le niveau d'acceptabilité du risque en vue d'étayer les processus décisionnels. Il convient que les critères de risque soient alignés sur le cadre organisationnel de management du risque et adaptés à la finalité et au domaine d'application spécifique de l'activité considérée.
© ISO 2017 – Tous droits réservés
13
ISO/DIS 31000:2017(F)
444 445 446 447
Il convient que les critères de risque reflètent les valeurs, les objectifs et les ressources de l'organisme. Il convient que les critères soient définis en tenant compte des obligations légales, réglementaires et contractuelles de l'organisme, de ses engagements volontaires (par exemple droits de l'homme et responsabilité sociétale) et de l'opinion des parties prenantes.
448 449
Bien qu'il convienne d'établir les critères de risque au début du processus d'appréciation du risque, ces critères sont dynamiques et il convient qu'ils soient revus continuellement et modifiés si nécessaire.
450 451
Il convient que les critères soient cohérents avec les politiques et déclarations de l'organisme en matière de management du risque.
452
Il convient que les critères de risque prennent en compte :
453 454 455 456
la nature et le type d'incertitudes pouvant avoir une incidence sur les résultats et les objectifs (tangibles et intangibles) ; la façon dont la vraisemblance et les conséquences (positives et négatives) seront définies et mesurées ;
457
les calendriers ;
458
la cohérence dans l'utilisation des mesures ;
459
la méthode de détermination du niveau de risque ;
460
la façon dont les combinaisons et séquences de plusieurs risques seront prises en compte.
461 462
Il convient que les critères de risque spécifient les types et le niveau du risque ou groupe de risques qu'un organisme est prêt à poursuivre, conserver ou prendre en fonction de ses objectifs (appétit de risque).
463
6.4 Appréciation du risque
464
6.4.1 Généralités
465
L'appréciation du risque est le processus global d'identification, d'analyse et d'évaluation du risque.
466 467 468
Il convient que l'appréciation du risque soit menée de façon systématique, itérative et collaborative, en s'appuyant sur les connaissances et les opinions des parties prenantes. Il convient d'utiliser les meilleures informations disponibles, complétées si nécessaire par une enquête plus approfondie.
469
6.4.2 Identification du risque
470 471 472
L'identification du risque a pour but de rechercher, reconnaître et décrire les risques qui peuvent aider ou empêcher un organisme d'atteindre ses objectifs. Il est essentiel que les informations utilisées pour l'identification des risques soient pertinentes, appropriées et à jour.
14
© ISO 2017 – Tous droits réservés
ISO/DIS 31000:2017(F)
473 474 475
L'organisme peut utiliser un éventail de techniques permettant d'identifier les incertitudes pouvant avoir une incidence sur un ou plusieurs objectifs. Il convient de prendre en compte les facteurs suivants et leurs interactions :
476
sources de risque tangibles et intangibles ;
477
causes et événements ;
478
menaces et opportunités ;
479
vulnérabilités et aptitudes ;
480
changements intervenus au niveau du contexte interne et externe ;
481
nature et valeurs des actifs et des ressources de l'organisme ;
482
criticité et conséquences ;
483
limitations des connaissances et fiabilité des informations ;
484
calendriers et influences du temps ; et
485
biais, hypothèses et convictions des personnes impliquées.
486 487 488
Il convient que l'organisme identifie les risques, que leur source soit ou non sous son contrôle. Il convient de tenir compte du fait qu'il peut y avoir plusieurs types de résultat pouvant avoir diverses conséquences tangibles ou intangibles.
489
6.4.3 Analyse du risque
490
L'analyse du risque a pour but de comprendre la nature du risque et de déterminer le niveau de risque.
491 492 493 494
L'analyse du risque fournit des données pour évaluer les risques, prendre la décision de les traiter ou non et de quelle manière, et permet de choisir les stratégies et méthodes de traitement les plus appropriées. Elle peut aussi contribuer à la prise de décisions quand il faut effectuer des choix et que les options impliquent différents types et niveaux de risque.
495 496 497
L'analyse du risque implique la prise en compte détaillée des incertitudes, des sources de risque, des événements et scénarios, de la vraisemblance et des conséquences. Un événement peut avoir des conséquences multiples et affecter des objectifs multiples.
498 499 500 501
L'analyse du risque peut être menée à différents niveaux de détail et de formalisme selon la finalité de l'analyse, la disponibilité et la fiabilité des informations et les ressources disponibles. Les techniques d'analyse peuvent être qualitatives, semi-quantitatives, quantitatives, ou une combinaison des trois, selon les circonstances et l'utilisation prévue.
© ISO 2017 – Tous droits réservés
15
ISO/DIS 31000:2017(F)
502
Il convient que l'analyse du risque prenne en compte des facteurs tels que :
503
la vraisemblance des événements et des conséquences ;
504
la nature et l'importance des conséquences ;
505
les calendriers et la volatilité ;
506
l'efficacité des moyens de maîtrise existants ;
507
les niveaux de sensibilité et de confiance.
508 509 510 511
L'analyse du risque peut être influencée par toute divergence d'opinions, biais, perceptions du risque et jugements. Les influences supplémentaires sont la qualité des informations utilisées, les hypothèses et exclusions posées, toute limitation des techniques et la façon dont elles sont mises en œuvre. Il convient que ces influences soient prises en compte, documentées et communiquées aux décideurs.
512 513
Les événements extrêmement incertains peuvent être difficiles à quantifier. Cela peut poser problème lors de l'analyse d'événements ayant de graves conséquences.
514
6.4.4 Évaluation du risque
515 516 517
L'évaluation du risque a pour but d'aider à la prise de décisions en matière d'ordre de priorité et de traitement du risque. L'évaluation du risque consiste à comparer les résultats de l'analyse du risque aux critères de risque établis.
518 519 520
Il convient que les décisions prennent en compte le contexte plus large du risque et des conséquences réelles et perçues pour les parties prenantes internes et externes. Il convient que les décisions respectent les obligations légales, réglementaires et autres exigences.
521 522 523
Il convient que l'évaluation du risque débouche sur la décision d'examiner les options de traitement du risque, d'entreprendre une analyse plus approfondie, de maintenir les moyens de maîtrise du risque existants ou de réexaminer les objectifs.
524 525
Il convient que le résultat de l'évaluation du risque soit enregistré, communiqué et confirmé par la direction.
526
6.5 Traitement du risque
527
6.5.1 Généralités
528
Le traitement du risque implique le choix et la mise en œuvre d'options pour aborder le risque.
529
Le traitement du risque implique un processus itératif :
530
formuler et choisir un traitement du risque ;
531
mettre en œuvre le traitement du risque ;
532
déterminer si les niveaux de risque résiduels sont acceptables ;
533
s'ils ne sont pas acceptables, générer un traitement complémentaire du risque ; et
534
apprécier l'efficacité de ce traitement.
16
© ISO 2017 – Tous droits réservés
ISO/DIS 31000:2017(F)
535 536 537 538 539
Les options de traitement du risque ne s'excluent pas nécessairement les unes les autres, et ne sont pas appropriées à toutes les situations. Les options de traitement du risque peuvent impliquer un ou plusieurs des éléments suivants :
un refus du risque marqué par la décision de ne pas commencer ou poursuivre l'activité porteuse du risque ;
540
la prise ou l'augmentation d'un risque afin de saisir une opportunité ;
541
l'élimination de la source de risque ;
542
une modification de la vraisemblance ;
543
une modification des conséquences ;
544 545
un partage du risque (par exemple par le biais de contrats, de souscription de couvertures d’assurance) ;
546
un maintien du risque fondé sur une décision éclairée.
547
6.5.2 Sélection des options de traitement du risque
548 549 550 551 552 553 554
Le choix de la ou des options de traitement du risque les plus appropriées implique de comparer les avantages potentiels obtenus en termes d'atteinte des objectifs par rapport aux coûts, aux efforts et aux
555 556 557 558
Lors du choix des options de traitement du risque, il convient que l'organisme tienne compte des valeurs, des perceptions et de l'implication potentielle des parties prenantes et examine les moyens les plus appropriés de communiquer et de se concerter avec elles. À efficacité égale, certains traitements du risque peuvent être plus acceptables que d'autres pour certaines parties prenantes.
559 560 561 562
Même s'ils sont soigneusement conçus et mis en œuvre, les traitements du risque peuvent ne pas
563
Le traitement du risque peut également engendrer de nouveaux risques qui doivent être gérés.
564 565 566
S'il n'existe aucune option de traitement disponible ou si les options de traitement ne permettent de modifier suffisamment le niveau de risque, il convient que le risque soit enregistré et fasse l'objet d'une revue continue de la direction.
567 568 569
Il convient que les décideurs et les autres parties prenantes soient informés de la nature et de l'étendue du risque résiduel après le traitement du risque. Il convient que le risque résiduel soit documenté et soumis à surveillance et revue et, le cas échéant, fasse l'objet d'un traitement supplémentaire.
inconvénients de leur mise en œuvre. La justification d'un traitement du risque peut dépasser le cadre
des considérations économiques et prendre en compte les obligations contractuelles de l'organisme, ses engagements facultatifs (par exemple droits de l'homme et responsabilité sociétale) et l'opinion des parties prenantes. Il convient de choisir les options de traitement du risque en fonction des objectifs de l'organisme, des critères de risque et des ressources disponibles.
produire les résultats escomptés. Ils peuvent également avoir des conséquences inattendues au sein de l'organisme ou à l'extérieur de l'organisme. Pour s'assurer que les traitements restent efficaces, la surveillance doit faire partie intégrante de la mise en œuvre du traitement du risque.
© ISO 2017 – Tous droits réservés
17
ISO/DIS 31000:2017(F) 570
6.5.3 Élaboration et mise en œuvre des plans de traitement du risque
571 572 573 574
Les plans de traitement du risque ont pour but de préciser la manière dont les options de traitement
575
Il convient que les informations fournies dans le plan de traitement comportent :
576
la justification du choix des options de traitement, y compris les avantages attendus ;
577
les personnes responsables de l'approbation et de la mise en œuvre du plan ;
578
les actions proposées ;
579
les besoins en ressources, en tenant compte des impondérables ;
580
la mesure des performances et les contraintes ;
581
les exigences en matière de rapports et de surveillance ; et
582
le calendrier et le déroulement.
583 584
Il convient que les plans de traitement soient intégrés aux processus de management de l'organisme et soient discutés avec les parties prenantes appropriées.
585
6.6 Suivi et revue
586 587 588
Il convient que la surveillance continue et la revue périodique du processus de management du risque et de ses résultats soient planifiées dans le processus de management du risque, en définissant clairement les responsabilités.
589 590 591 592
Il convient que la surveillance et la revue aient lieu à toutes les étapes du processus afin de s'assurer de
593 594
Il convient d'intégrer les résultats de la surveillance et de la revue au management global des performances de l'organisme, à leur mesurage et aux activités d'élaboration de rapports.
595
6.7 Enregistrement et élaboration de rapports
596 597
Il convient que le processus de management du risque et sa mise en œuvre soient documentés et fassent
choisies seront mises en œuvre de telle sorte que les dispositions soient comprises par les personnes impliquées et que les progrès par rapport au plan puissent faire l’objet d’un suivi . Il convient que le plan de traitement identifie clairement l'ordre de mise en œuvre des traitements du risque.
la qualité et de l'efficacité de la conception, de la mise en œuvre et des résultats du processus. La
surveillance et la revue comprennent la planification, le recueil et l'analyse d'informations, l'enregistrement des résultats et le retour d'information.
l'objet de rapports. L'enregistrement et l'élaboration de rapports facilitent :
598
la communication des activités de management du risque et de leurs résultats au sein de l'organisme ;
599
la fourniture d'informations en vue de la prise de décisions ;
600
l'amélioration des activités de management du risque ;
601 602
18
l'interaction avec les parties prenantes, y compris celles ayant la responsabilité des activités de management du risque.
© ISO 2017 – Tous droits réservés
ISO/DIS 31000:2017(F)
603 604 605
Il convient que les décisions concernant la création, la conservation et le traitement des informations documentées tiennent compte, sans toutefois s'y limiter, de leur utilisation, du caractère sensible des informations et du contexte interne et externe.
606 607 608
L'élaboration de rapports fait partie intégrante de la gouvernance de l'organisme et il convient qu'elle améliore la qualité du dialogue avec les parties prenantes. Les facteurs à prendre en considération pour l'établissement de rapports comprennent, sans toutefois s'y limiter :
609
les différentes parties prenantes et leurs besoins d'information spécifiques ;
610
la fréquence et le caractère opportun de l'établissement de rapports ;
611
la méthode adoptée pour l'établissement de rapports ;
612
la pertinence des informations au regard des objectifs de l'organisme et de la prise de décisions.
© ISO 2017 – Tous droits réservés
19
ISO/DIS 31000:2017(F)
Bibliographie
613
614
[1]
ISO Guide 73:2009, Management du risque — Vocabulaire.
615
[2]
ISO/CEI 31010, Gestion des risques — Techniques d'évaluation des risques.
616
20
© ISO 2017 – Tous droits réservés