ISO 31 000 V 2018 : Management du risque – Lignes directrices

Par Eric EDIMO ESSONGBA ; Expert en Sécurité Routière : Ingénieur HSEQ certifié
ISO 31000 ; Transition 9001/14001/45001 ; Auditeur Interne ISO 19011
 ISSERR NIVEAU II - 2023/2024

Ce travail est une interprétation simplifiée du contenu de

la norme ISO 31000 version 2018

La norme 31000 v 2018 regroupe un ensemble de

recommandations et non pas d’exigences ; elle n’est donc
pas utilisée à des fins de certification !

2
 ISSERR NIVEAU II - 2023/2024

Vous
Mais…Vous n’avez aucune idée de ce qu’estce Si c’est le cas ; n’ayez crainte !
n’arrêtez pas
Et les fameux management du risque…. Ni de ce
d’entendre
avantages qu’est l’ISO 31000 …
parler du
management de sa mise
du risque en place
sont
vantées de
toute Et vous
part… voudriez
bien
l’appliquer
tout de
même ?

Microsoft Powerpoint
Microsoft Powerpoint Microsoft Powerpoint

3
 ISSERR NIVEAU II - 2023/2024

Avant de commencer

Le risque selon Comment est

ISO 31000 v 2018 défini le
désigne l’effet de risque dans
l’incertitude sur les ce contexte ?
objectifs.
Qu’est ce
que le
Le management du Management
risque désigne un du risque
ensemble d’activités
Coordonnées dans le
butde diriger et piloter
un organisme vis-à-vis
du risque.

4
 ISSERR NIVEAU II - 2023/2024

Vue Globale

6.1 : Généralités 5.1 : Généralités

r 5.2 : Leadership et
6.2 : engagement
Communication et
consultation
5.3 : Intégration

6.3 : Paramètre
d’application
Processus risque Cadre
5.4 : Conception
(Article 6)
6.4 : Appréciation du organisationnel
(Article 5)
risque
5.5
5.2: Mise en œuvre
: Evaluation
6.5 : Traitement du
risque
Principes 5.7 :
5.6 : Evaluation
(Article 4) Amélioration
6.6 : Suivi et revue Principes
Article 4 5.7 : Amélioration
6.7 : Enregistrement
et élaboration de

6 Cartographie interactive de la Norme ISO 31000 V 2018

 ISSERR NIVEAU II - 2023/2024

Article 4 : Principes

Microsoft Powerpoint

7
 ISSERR NIVEAU II - 2023/2024
Article 5 : Cadre organisationnel
5.4.1 : Compréhension de l’organisme
5.1 : Généralités et de son contexte

5.2 : Leadership et 5.4.2 : Définir clairement l’engagement

engagement en matière de management du risque

5.3 : Intégration 5.4.3 : Attribution des rôles, pouvoirs

et responsabilités au sein de
l’organisme
Cadre organisationnel 5.4 : Conception
5.4.4 :Affectation des ressources

5.5 : Mise en
œuvre 5.4.5 : Établissement d’une
Communication et d’une concertation
5.6 : Evaluation
5.7.1 : Adaptation

5.7 : Amélioration
5.7.2 : Amélioration continue
Microsoft Powerpoint

8 Cartographie interactive de la Norme ISO 31000 V 2018

 Article 5.1 : Généralités
ISSERR NIVEAU II - 2023/2024

Le cadre organisationnel Le cadre organisationnel Les composantes du

aide l’organisme à intégrer contient : l’intégration, la cadre organisationnel
le management du risque conception, la mise en œuvre, sont adaptées aux
dans les activités et les l’évaluation et l’amélioration du besoins de l’organisme.
fonctions significatives. management du risque.

Il convient d’évaluer les

L’efficacité du management
pratiques et les processus
du risque dépend de son
existants de l’organisme
intégration dans la
concernant le management du
gouvernance de l’organisme,
risque et d’identifier les lacunes
y compris dans la prise de
avec le cadre organisationnel.
décision.

9 ISSERR NIVEAU II - 2023/2024

 Article 5.2 : Leadership et engagement

Diffusant une déclaration ou une Adaptant et mettant en

politique qui énonce une approche, place toutes les
un plan ou une ligne de conduite en composantes du cadre
matière de management du risque organisationnel

Les organes de surveillance

La direction est responsable La direction et les organes de s’assurent que les risques
du management du risque surveillance s’assurent que le sont adaptés au contexte des
alors que les organes de management du risque est objectifs de l’organisme et
surveillance sont intégré dans toutes les activités que les informations relatives
responsables de la de l’organisme et démontrent à ces risques et à leur
supervision du management leur leadership et leur management sont
du risque. engagement en: communiquées de façon
appropriée.

S’assurant que les ressources Attribuant l’autorité et la

nécessaires sont allouées au responsabilité aux niveaux
management du risque appropriés de l’organisme
10 ISSERR NIVEAU II - 2023/2024
 Article 5.3 : Intégration
L’intégration du
management du risque La gouvernance guide l’évolution La gouvernance de l’organisme
s’appuie sur la de l’organisme, ses relations détermine la responsabilité du
compréhension des externes et internes, ainsi que les management du risque et son
structures et du contexte de règles, processus et pratiques suivi dans chaque service de
L’organisme. nécessaires pour atteindre sa finalité. l’organisme.

La structure de management
transforme l'orientation de la Le management du risque fait
gouvernance en stratégies et partie de : la finalité, la
Microsoft Powerpoint
objectifs connexes L’intégration du management du gouvernance, le leadership,
nécessaires pour atteindre le risque dans un organisme est un l’engagement, la stratégie, les
niveau attendu de processus dynamique et itératif objectifs et les opérations de
performance durable et de l’organisme.
viabilité à long terme.

11 ISSERR NIVEAU II - 2023/2024

 Article 5.4.1 : Compréhension de l’organisme et de son
contexte
La conception du cadre organisationnel de management du risque comprend l’analyse
et la compréhension du contexte externe et interne de l’organisme.
L’analyse du contexte interne comprend : L’analyse du contexte externe comprend :

1. Les facteurs sociaux, culturels, politiques,

1. La vision, la mission et les valeurs. légaux,réglementaires, financiers, technologiques,
2. La gouvernance, l’organisation, les rôles économiques et environnementaux, à tous les
et les responsabilités. niveaux.
3. La stratégie, les objectifs et les politiques. 2. Les moteurs et tendances clés ayant une incidence
Sur les objectifs de l’organisme.
4. La culture de l’organisme.
3. Les relations avec les parties prenantes externes
5. Les interdépendances et les Microsoft Powerpoint
(attentes, besoins).
Interconnexions.
4. Les relations contractuelles et les engagements et la
complexité des réseaux et des dépendances.
ISSERR NIVEAU II - 2023/2024
 Article 5.4.2 : Définir clairement l’engagement en matière
de management du risque
La direction et les organes de
L’engagement en matière surveillance démontrent et
de management du définissent clairement leur
risque est communiqué engagement permanent en
au sein de l’organisme et matière de management du
aux parties prenantes. risque par le biais d’une politique
et d’une déclaration.

Que dois-je
retenir ?

13 ISSERR NIVEAU II - 2023/2024

 Article 5.4.3 : Attribution des rôles, pouvoirs et
responsabilités au sein de l’organisme
La direction et les organes de
surveillance s’assurent que les
pouvoirs et responsabilités pour les
rôles pertinents en matière de
management du risque sont
attribués et communiqués à tous les
niveaux de l’organisme.

Microsoft Powerpoint

14 ISSERR NIVEAU II - 2023/2024

 Article 5.4.4: Affectation des ressources
La direction et les organes de surveillance assurent l’affectation des ressources nécessaires au
Management du risque et prennent en compte les capacités et les contraintes des ressources existantes.

Besoins en Formations
perfectionnement professionnelles Expériences et
Aptitudes compétences

Système de
gestion des Méthodes
informations et outils Processus

Procédures
documentées Personnels

15 ISSERR NIVEAU II - 2023/2024

Article 5.4.5 : Établissement d’une communication et d’une
concertation
Il convient que la communication
L’organisme établit une et la consultation aient lieu en
méthode de communication et temps utile et permettent que les Il convient que les méthodes et
de consultation approuvée afin informations pertinentes soient le contenu de la communication
de soutenir le cadre collectées, consolidées, synthétisées et de la consultation reflètent
organisationnel et faciliter et partagées de manière les attentes des parties
l’application efficace du appropriée ; qu’un retour prenantes.
management du risque. d’information soit fait et que des
améliorations soient apportées.

Microsoft Powerpoint

16 ISSERR NIVEAU II - 2023/2024

 Article 5.5 : Mise en œuvre

La mise en œuvre du cadre

organisationnel de management du
Le succès de la mise en
œuvre du cadre risque comprend :
organisationnel requiert
l’implication et la
sensibilisation des parties Une identification des
Un plan
prenantes afin de traiter différents types de
approprié
explicitement l’incertitude décisions modifiant
.
dans la prise de décision. les processus
Les décisionnels.
dispositions
Microsoft Powerpoint de

l’organisme.

17 ISSERR NIVEAU II - 2023/2024

 Article 5.6 : Evaluation
Pour évaluer l’efficacité du cadre organisationnel de management du risque, il convient que l’organisme:

Mesure périodiquement les performances Détermine s’il demeure

du cadre organisationnel de management pertinent pour aider à atteindre
du risque par rapport à : les objectifs de
▪ Sa finalité, l’organisme.
▪ Aux plans de mise en œuvre,
▪ Aux indicateurs,
▪ Au comportement attendu.

18 ISSERR NIVEAU II - 2023/2024

 Article 5.7.1 : Adaptation

Pour améliorer sa valeur, il convient que l’organisme adapte le cadre organisationnel en fonction
des changements externes et internes.

Microsoft Powerpoint

19 ISSERR NIVEAU II - 2023/2024

 Article 5.7.2 : Amélioration continue

🞂 Il convient d’améliorer en continu le

cadre organisationnel ainsi que la
manière d’intégrer le processus de
management du risque.

🞂 L’organisme planifie des actions à

mettre en œuvre et les délègue
lorsque des lacunes ou opportunités
d’amélioration sont identifiées.

Microsoft Powerpoint

20 ISSERR NIVEAU II - 2023/2024

 6 : Processus ISSERR NIVEAU II - 2023/2024

6.1 : Généralités 6.3.1 : Généralités

6.2 : 6.3.2 : Définition du domaine d’application

Communication et
Consultation 6.3.3 : Contexte interne et externe

6.3 : Paramètre 6.3.4 : Définition des critères de risque

d’application
6.4.1 : Généralités
6.4 : Appréciation
Processus 6.4.2 : Identification du risque
du risque
6.4.3 : Analyse du risque
6.5 :Traitement du
risque 6.4.4 : Evaluation du risque
6.5.1 : Généralités
6.6 : Suivi et revue

6.5.2 : Sélection des options de traitement du

6.7 : Enregistrement risque
et élaboration de 6.5.3 : Élaboration et mise en œuvre des plans de
rapports Traitement du risque
Microsoft Powerpoint
 Article 6.1 : Généralités
Le processus de management du risque implique Le processus de
l’application systématique de politiques, procédures et management du
pratiques aux activités de : risque

communication Fait partie

et consultation Intégrante du
management et
de la prise de
Établissement
décisions
du contexte,
appréciation et
traitement
Est intégré à la
Structure, aux
Suivi et revue opérations et aux
processus de
l’organisme.

et élaboration
de rapports

22
 Article 6.2: Communication et consultation
La communication et la consultation aident les parties prenantes pertinentes à comprendre :

les raisons pour Le risque les principes de

lesquelles Prise de
certaines actions Décisions
sont nécessaires

Microsoft Powerpoint
 Article 6.3.1 : Généralités
L’établissement du périmètre d’application, du contexte et des critères a pour but d’adapter le
processus de management du risque.

La définition du périmètre d’application du

processus et la compréhension du contexte
interne et externe est indispensable.

24
 Article 6.3.2 : Définition du domaine d’application
Lors de la planification de l’approche, il est important de prendre en compte :

Les résultats
Les objectifs et les
attendus des étapes
décisions à prendre
du processus
Les ressources Le temps,
nécessaires, les l’emplacement, les
responsabilités et la inclusions et
documentation à exclusions
établir spécifiques

Les outils et Les relations avec

techniques appropriés D’autres projets,
d’appréciation du processus et
risque activités

25
 Article 6.3.3 : Contexte interne et externe
Il convient que l’organisme établisse le contexte externe et interne du processus de management du
Risque en prenant en compte les facteurs mentionnés en [Link].

Microsoft Powerpoint

26
 Article 6.3.4 : Définition des critères de risque
Il convient que l’organisme spécifie le niveau et le type de risque pouvant ou non être pris en compte par
l’organisme et définisse des critères permettant d’évaluer l’importance du risque et d’étayer les processus
décisionnels.
Il convient que les critères de risque : Pour fixer les critères de risque, il convient de prendre en compte :

• soient alignés sur le cadre organisationnel de la nature et le type d’incertitudes pouvant avoir une
management du risque et adaptés à la finalité et au incidence sur les résultats et les objectifs.
domaine d’application spécifique de l’activité La façon dont les conséquences et la vraisemblance
considérée. seront définies et mesurées.
• reflètent les valeurs, les objectifs et les ressources de Les facteurs liés au temps.
l’organisme et soient cohérents avec les politiques et
La cohérence dans l’utilisation des mesures.
déclarations en matière de management du risque.
La méthode de détermination du niveau de risque.
• soient définis en tenant compte des obligations de
l’organisme et de l’opinion des parties prenantes. La façon dont les combinaisons et séquences de
plusieursrisques seront prises en compte.
• soient revus en permanence et modifiés si nécessaire
la capacité de l’organisme.

27
 Article 6.4.1 : Généralités

L’appréciation du risque est le Il convient que l’appréciation

du risque soit menée de
H Processus global façon systématique, itérative
d’identification, d’analyse et et collaborative, en
d’évaluation du risque. s’appuyant sur les
connaissances et les opinions
des parties prenantes.

Il convient d’utiliser les

meilleures informations
disponibles, complétées si
nécessaire par une enquête plus
approfondie.

Microsoft Powerpoint

28
 Article 6.4.2 : Identification du risque
Il convient que les risques
Les informations
pouvant aider ou empêcher La technique
D’identification des risques
un organisme d’atteindre d’identification devrait
devraient être à jour,
ses objectifs soient prendre en compte :
pertinentes et appropriées.
reconnus et décrits.

✓ Les sources de risque tangibles et intangibles, les causes et événements

ainsique les menaces et opportunités
✓ La nature et la valeur des actifs et des ressources et les facteurs liés au temps
✓ Le biais ainsi que les hypothèses et convictions des personnes impliquées
✓ Les vulnérabilités, capacités et changements intervenus au niveau du contexte
externe et interne
✓ les indicateurs de risques émergents, leurs conséquences et leur impact sur les
objectifs
✓ les limitations des connaissances et de fiabilité des informations
29
 Article 6.4.3 : Analyse du risque
L’analyse du risque prend en compte
les incertitudes, sources de risque,
L’analyse du risque a pour but de conséquences, vraisemblances des
L’analyse du risque permet d’évaluer
connaître la nature, les événements et des conséquences
le risque et de prendre des décisions
caractéristiques et le niveau du d’événements, scénarios et des
par rapport au traitement du risque.
risque. moyens de maîtrise de leurs niveaux
de sensibilité, de confiance et de
leur efficacité.

L’analyse du risque peut être menée

Les résultats fournissent des
à différents niveaux de détail et de
renseignements en vue des décisions
complexité ; selon la finalité de
lorsqu’il faut effectuer des choix et
l’analyse, la disponibilité, la fiabilité
que les options impliquent différents
des informations et les ressources
types et niveaux de risque.
disponibles.
Microsoft Powerpoint

Microsoft Powerpoint

30
 Article 6.4.4 : Evaluation du risque
Le résultat de
Il convient qu’une Le résultat de l’évaluation du risque
évaluation de risque l’évaluation conduit à est enregistré,
soit mise en place une prise de décision : communiqué, puis
validé dans l’organisme

Ne rien faire de plus

Examiner les options de
Traitement du risque
Approfondir l’analyse du
risque pour mieux le
comprendre
Garder les moyens de
maîtrise de risques existants
Revoir les objectifs définis
31
 Article 6.5.1 : Généralités
Le traitement du risque permet de sélectionner et mettre en place les meilleurs moyens
pour traiter le risque.
Il implique un processus itératif :

traitement

Microsoft Powerpoint

acceptable

Microsoft Powerpoint

32
Article 6.5.2 :Sélection des options de traitement du risque
Les options de traitement du Le choix du traitement de
risque sont choisies suite à risque devrait être justifié
Il convient que le nouveau
leur mise en concurrence en économiquement, et
risque engendré par le
fonction des objectifs de également par rapport aux
traitement de risque soit
l’organisme, des critères de obligations et engagements
géré.
risque et des ressources de l’organisme et de l’avis
disponibles. des parties prenantes.

Le risque résiduel détecté

après l’application du
Le risque non réduit devrait
traitement de risques devrait
être enregistré et mis sous
être documenté, mis sous
contrôle permanent.
surveillance, et communiqué
aux parties prenantes.

33
 Article 6.5.3 : Élaboration et mise en œuvre des plans de
traitement du risque
Les informations du plan de traitement devraient
comporter : Les plans de traitement du Les plans de traitement
risque précisent la manière de devraient être intégrés aux
•Les données de justification du choix des mise en œuvre des moyens de plans et processus de
options de traitement, y compris les avantages traitement choisis et identifient management de l’organisme, en
attendus. clairement l’ordre de mise en concertation avec les parties
•Les personnes responsables de l’approbation et œuvre du traitement du risque. prenantes appropriées.
de la mise en œuvre du plan.
•Les actions proposées ainsi que le moment où
elles sont censées être entreprises et achevées.
•Les données relatives aux ressources Les dispositions du plan
Il convient que les progrès par
nécessaires, en tenant compte des devraient être claires et
rapport au plan fassent l’objet
compréhensibles par toutes les
impondérables. personnes concernées.
d’un suivi .
•Les mesures des performances et les
contraintes.
•Les rapports et le suivi requis.

34
 Article 6.6 : Suivi et Revue
Le suivi et la revue assurent et améliorent la qualité et l’efficacité de la
conception, de la mise en œuvre et des résultats du processus.
Le suivi continu et la revue périodique du processus de management du
risque et de ses résultats sont planifiés dans le processus de management
du risque.
Les responsabilités du processus de management du risque sont
clairement définies.

Le suivi et la revue ont lieu à toutes les étapes du processus et

comprennent: la planification, le recueil et l’analyse d’informations,
l’enregistrement des résultats et le retour d’information.
Les résultats du suivi et de la revue sont intégrés aux activités de
management des performances de l’organisme, de suivi des résultats et
d’élaboration de rapports.

35
Article 6.7 : Enregistrement et élaboration de rapports
L’élaboration de rapports fait partie intégrante de la gouvernance de l’organisme et aide la
direction et les organes de surveillance à faire face à leurs responsabilités.
L’établissement de rapports prend en compte, à L’enregistrement et
Minima : l’élaboration de rapports
permet de :
• Les différentes parties prenantes et leurs besoins • Communiquer sur les activités de management
et exigences spécifiques en matière du risque et leurs résultats au sein de l’organisme
d’information, • Fournir des informations en vue de la prise de
• Le coût, la fréquence et le caractère opportun de décision
l’établissement de rapports, • Améliorer les activités de management du risque
• La méthode adoptée pour l’établissement de • Améliorer la qualité du dialogue et de
rapports, L’interaction avec les parties prenantes, y compris
• La pertinence des informations au regard des celles ayant la responsabilité des activités de
Objectifs de l’organisme et de la prise de décision management du risque.

36
 Microsoft Powerpoint

37