Abonnez-vous à DeepL Pro pour traduire des fichiers plus volumineux.

Visitez [Link]/pro pour en savoir plus.

ISO 2018
31000:2018(E)
référence ISO
Numéro de
Matériel protégé sous licence à l'Université de Toronto par Clarivate Analytics (US) LLC, [Link], téléchargé le 2018-03-11 [Link] -0500 par l'utilisateur de l'Université de Toronto. Aucune autre reproduction ou distribution n'est autorisée.

©
2018-02
édition
Deuxième
ISO
INTERNATIONALE31000

Gestion des risques - Lignes

Management du risque - Lignes directrices

NORME

directrices
 Matériel protégé sous licence à l'Université de Toronto par Clarivate Analytics (US) LLC, [Link], téléchargé le 2018-03-11 [Link] -0500 par l'utilisateur de l'Université de Toronto. Aucune autre reproduction ou distribution n'est autorisée.
ISO 31000:2018(E)

DOCUMENT PROTÉGÉ PAR LE DROIT D'AUTEUR

© ISO 2018
Tous droits réservés. Sauf indication contraire, ou si le contexte de sa mise en œuvre l'exige, aucune partie de cette publication ne peut
être reproduite ou utilisée autrement, sous quelque forme ou par quelque moyen que ce soit, électronique ou mécanique, y compris la
photocopie, ou l'affichage sur l'internet ou un intranet, sans autorisation écrite préalable. L'autorisation peut être demandée soit à l'ISO à
l'adresse ci-dessous, soit à l'organisme membre de l'ISO dans le pays du demandeur.
ISO bureau des droits d'auteur
CP 401 - Ch. de Blandonnet 8
CH-1214 Vernier, Genève Tél
: +41 22 749 01 11
Fax : +41 22 749 09 47
Courriel : copyright@[Link]
Site Internet : [Link]
Publié en Suisse

ii © ISO 2018 - Tous droits réservés

 Matériel protégé sous licence à l'Université de Toronto par Clarivate Analytics (US) LLC, [Link], téléchargé le 2018-03-11 [Link] -0500 par l'Université de Toronto. utilisateur de l'Aucune autre reproduction ou distribution n'est autorisée.
ISO 31000:2018(E)

Table des matières Page

Avant-propos......................................................................................................................................................................iv
Introduction ...........................................................................................................................................................................v
1 Champ d'application ............................................................................................................................................1
2 Références normatives..........................................................................................................................................1
3 Termes et définitions..............................................................................................................................................1
4 Principes..................................................................................................................................................................2
5 Cadre de travail.....................................................................................................................................................4
5.1 Généralités....................................................................................................................................................4
5.2 Leadership et engagement..........................................................................................................................5
5.3 Intégration ..................................................................................................................................................5
5.4 Conception ...................................................................................................................................................6
5.4.1 Comprendre l'organisation et son contexte...............................................................................6
5.4.2 Articuler l'engagement en matière de gestion des risques .......................................................6
5.4.3 Attribution des rôles, des pouvoirs, des responsabilités et des obligations de rendre compte
au sein de l'organisation 7
5.4.4 Attribution des ressources ..........................................................................................................7
5.4.5 Établir la communication et la consultation .............................................................................7
5.5 Mise en œuvre............................................................................................................................................7
5.6 Évaluation...................................................................................................................................................8
5.7 Amélioration ..............................................................................................................................................8
5.7.1 Adaptation ..................................................................................................................................8
5.7.2 Amélioration continue ..................................................................................................................8
6 Processus ................................................................................................................................................................8
6.1 Général .........................................................................................................................................................8
6.2 Communication et consultation .................................................................................................................9
6.3 Champ d'application, contexte et critères...............................................................................................10
6.3.1 Général .......................................................................................................................................10
6.3.2 Définir le champ d'application....................................................................................................10
6.3.3 Contexte externe et interne ......................................................................................................10
6.3.4 Définir les critères de risque ......................................................................................................10
6.4 Évaluation des risques .............................................................................................................................11
6.4.1 Général .......................................................................................................................................11
6.4.2 Identification des risques ............................................................................................................11
6.4.3 Analyse des risques ....................................................................................................................12
6.4.4 Évaluation des risques ................................................................................................................12
6.5 Traitement des risques .............................................................................................................................13
6.5.1 Général .......................................................................................................................................13
6.5.2 Sélection des options de traitement des risques .........................................................................13
6.5.3 Préparation et mise en œuvre des plans de traitement des risques .......................................14
6.6 Suivi et révision..........................................................................................................................................14
6.7 Enregistrement et rapports .........................................................................................................................14
Bibliographie .....................................................................................................................................................................16

© ISO 2018 - Tous droits réservés iii

 Matériel protégé sous licence à l'Université de Toronto par Clarivate Analytics (US) LLC, [Link], téléchargé le 2018-03-11 [Link] -0500 par l'utilisateur de l'Université de Toronto. Aucune autre reproduction ou distribution n'est autorisée.
ISO 31000:2018(E)

Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (organismes membres de l'ISO). Les travaux d'élaboration des normes internationales sont
normalement menés par les comités techniques de l'ISO. Chaque organisme membre intéressé par un sujet pour
lequel un comité technique a été créé a le droit d'être représenté au sein de ce comité. Des organisations
internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO, participent également aux
travaux. L'ISO collabore étroitement avec la Commission électrotechnique internationale (CEI) sur toutes les
questions de normalisation électrotechnique.
Les procédures utilisées pour l'élaboration de ce document et celles destinées à sa mise à jour ultérieure sont
décrites dans les Directives ISO/CEI, Partie 1. Il convient en particulier de noter les différents critères
d'approbation nécessaires pour les différents types de documents ISO. Ce document a été rédigé
conformément aux règles éditoriales des Directives ISO/CEI, Partie 2 (voir [Link]/directives).

L'attention est attirée sur le fait que certains éléments de ce document peuvent faire l'objet de droits de brevet.
L'ISO ne peut être tenue responsable de l'identification de tout ou partie de ces droits de brevet. Les détails de
tout droit de brevet identifié au cours de l'élaboration du document figureront dans l'introduction et/ou sur la
liste ISO des déclarations de brevet reçues (voir ).[Link]/patents

Tout nom commercial utilisé dans ce document est une information donnée pour la commodité des utilisateurs
et ne constitue pas une approbation.

Pour une explication sur la nature volontaire des normes, la signification des termes et expressions spécifiques
à l'ISO relatifs à l'évaluation de la conformité, ainsi que des informations sur l'adhésion de l'ISO aux principes
de l'Organisation mondiale du commerce (OMC) dans le domaine des Obstacles techniques au commerce (OTC), voir
l'URL suivante : [Link]/iso/[Link].

Ce document a été préparé par le comité technique ISO/TC 262, Management du risque.

Cette deuxième édition annule et remplace la première édition (ISO 31000:2009) qui a fait l'objet d'une révision
technique.

Les principaux changements par rapport à l'édition précédente sont les suivants :

— l'examen des principes de la gestion des risques, qui sont les critères clés de sa réussite ;
— la mise en évidence du leadership de l'encadrement supérieur et l'intégration de la gestion des risques, en
commençant par la gouvernance de l'organisation ;

— mettre davantage l'accent sur la nature itérative de la gestion des risques, en notant que de nouvelles
expériences, connaissances et analyses peuvent conduire à une révision des éléments du processus, des actions
et des contrôles à chaque étape du processus ;

— la rationalisation du contenu en mettant davantage l'accent sur le maintien d'un modèle de systèmes
ouverts pour répondre à des besoins et des contextes multiples.

iv © ISO 2018 - Tous droits réservés

 Matériel protégé sous licence à l'Université de Toronto par Clarivate Analytics (US) LLC, [Link], téléchargé le 2018-03-11 [Link] -0500 par l'utilisateur de l'Université de Toronto. Aucune autre reproduction ou distribution n'est autorisée.
ISO 31000:2018(E)

Introduction
Ce document est destiné aux personnes qui créent et protègent la valeur des organisations en gérant les risques, en
prenant des décisions, en fixant et en atteignant des objectifs et en améliorant les performances.

Les organisations de tous types et de toutes tailles sont confrontées à des facteurs et à des influences externes et
internes qui rendent incertaine la réalisation de leurs objectifs.

La gestion du risque est itérative et aide les organisations à définir leur stratégie, à atteindre leurs objectifs et à
prendre des décisions éclairées.

La gestion des risques fait partie de la gouvernance et du leadership et est fondamentale pour la gestion de
l'organisation à tous les niveaux. Elle contribue à l'amélioration des systèmes de gestion.

La gestion des risques fait partie de toutes les activités associées à une organisation et comprend l'interaction
avec les parties prenantes.

La gestion des risques prend en compte le contexte externe et interne de l'organisation, y compris le comportement
humain et les facteurs culturels.

La gestion des risques repose sur les principes, le cadre et le processus décrits dans le présent document, comme
l'illustre la figure 1. Ces éléments peuvent déjà exister en tout ou en partie au sein de l'organisation, mais il peut être
nécessaire de les adapter ou de les améliorer pour que la gestion des risques soit efficiente, efficace et cohérente.

Figure 1 - Principes, fr amework et processus

© ISO 2018 - Tous droits réservés v

Matériel protégé sous licence à l'Université de Toronto par Clarivate Analytics (US) LLC, [Link], téléchargé le 2018-03-11 [Link] -0500 par l'utilisateur de l'Université de Toronto. Aucune autre reproduction ou distribution n'est autorisée.
 Matériel protégé sous licence à l'Université de Toronto par Clarivate Analytics (US) LLC, [Link], téléchargé le 2018-03-11 [Link] -0500 par l'utilisateur de l'Université de Toronto. Aucune autre reproduction ou distribution n'est autorisée.
NORME INTERNATIONALE ISO 31000:2018(E)

Gestion des risques - Lignes directrices

1 Champ d'application
Ce document fournit des lignes directrices sur la gestion des risques auxquels sont confrontées les organisations.
L'application de ces lignes directrices peut être adaptée à chaque organisation et à son contexte.

Ce document propose une approche commune pour gérer tout type de risque et n'est pas spécifique à une industrie ou à
un secteur.

Ce document peut être utilisé tout au long de la vie de l'organisation et s'appliquer à toute activité, y compris la
prise de décision à tous les niveaux.

2 Références normatives
Le présent document ne contient aucune référence normative.

3 Termes et définitions
Aux fins du présent document, les termes et définitions suivants s'appliquent.

L'ISO et la CEI tiennent à jour des bases de données terminologiques destinées à la normalisation aux adresses
suivantes :

— ISO Plate-forme de navigation en ligne : disponible à l'adresse [Link]

— IEC Electropedia : disponible à l'adresse [Link]
3.1
risque
effet de l'incertitude sur les objectifs

Note 1 à l'entrée : Un effet est un écart par rapport à ce qui était prévu. Il peut être positif, négatif ou les deux, et
peut concerner, créer ou entraîner des opportunités et des menaces.

Note 2 à l'entrée : Les objectifs peuvent avoir différents aspects et catégories, et peuvent être appliqués à différents
niveaux.

Note 3 à l'entrée : Le risque est généralement exprimé en termes de sources de risque (3.4), d'événements potentiels (3.5)
et de leurs conséquences.
(3.6) et leur vraisemblance (3.7.)

3.2
la gestion des risques
activités coordonnées pour diriger et contrôler une organisation en ce qui concerne les risques (3.1)

3.3
partie prenante
personne ou organisation qui peut influencer, être influencée ou se percevoir comme étant influencée par une décision ou
une activité

Note 1 à l'entrée : Le terme " partie intéressée" peut être utilisé à la place de "partie prenante".

3.4
source de risque
élément qui, seul ou en combinaison, est susceptible d'engendrer un risque (3.1)

© ISO 2018 - Tous droits réservés 1

 Matériel protégé sous licence à l'Université de Toronto par Clarivate Analytics (US) LLC, [Link], téléchargé le 2018-03-11 [Link] -0500 par l'utilisateur de l'Université de Toronto. Aucune autre reproduction ou distribution n'est autorisée.
ISO 31000:2018(E)

3.5
événement
l'apparition ou le changement d'un ensemble particulier de circonstances

Note 1 à l'entrée : Un événement peut avoir une ou plusieurs occurrences, et peut avoir plusieurs causes et plusieurs
conséquences (3.6).

Note 2 à l'entrée : Un événement peut également être quelque chose d'attendu qui ne se produit pas, ou quelque chose
d'inattendu qui se produit.

Note 3 à l'entrée : Un événement peut être une source de risque.

3.6
conséquence
résultat d'un événement (3.5) affectant les objectifs

Note 1 à l'entrée : Une conséquence peut être certaine ou incertaine et peut avoir des effets directs ou indirects,
positifs ou négatifs, sur les objectifs.

Note 2 à l'entrée : Les conséquences peuvent être exprimées qualitativement ou quantitativement.

Note 3 de l'entrée : Toute conséquence peut s'aggraver par des effets en cascade et cumulatifs.

3.7
vraisemblance
probabilité que quelque chose se produise

Note 1 à l'entrée : Dans la terminologie de la gestion des risques (3.2), le mot "probabilité" est utilisé pour désigner la
chance qu'une chose se produise, qu'elle soit définie, mesurée ou déterminée de manière objective ou subjective,
qualitative ou quantitative, et décrite en termes généraux ou mathématiques (comme une probabilité ou une fréquence sur
une période donnée).

Note 2 à l'entrée : Le terme anglais "likelihood" n'a pas d'équivalent direct dans certaines langues ; on utilise souvent
l'équivalent du terme "probability". Toutefois, en anglais, le terme "probability" est souvent interprété de manière restrictive
comme un terme mathématique. Par conséquent, dans la terminologie de la gestion des risques, le terme
"vraisemblance" est utilisé dans l'intention de lui donner la même interprétation large que le terme "probabilité"
dans de nombreuses langues autres que l'anglais.

3.8
contrôle
mesure qui maintient et/ou modifie le risque (3.1)

Note 1 à l'entrée : L e s contrôles comprennent, sans s'y limiter, tout processus, politique, dispositif, pratique ou autre condition
et/ou action qui maintient et/ou modifie le risque.

Note 2 à l'entrée : Les contrôles n'exercent pas toujours l'effet modificateur prévu ou supposé.

4 Principes
L'objectif de la gestion des risques est la création et la protection de la valeur. Elle améliore les performances,
encourage l'innovation et contribue à la réalisation des objectifs.

Les principes énoncés dans la figure 2 fournissent des orientations sur les caractéristiques d'une gestion des
risques efficace et efficiente, sur la communication de sa valeur et sur l'explication de son intention et de son objectif.
Ces principes constituent le fondement de la gestion des risques et doivent être pris en compte lors de la mise en
place du cadre et des processus de gestion des risques de l'organisation. Ces principes devraient permettre à
l'organisation de gérer les effets de l'incertitude sur ses objectifs.

2 © ISO 2018 - Tous droits réservés

 Matériel protégé sous licence à l'Université de Toronto par Clarivate Analytics (US) LLC, [Link], téléchargé le 2018-03-11 [Link] -0500 par l'utilisateur de l'Université de Toronto. Aucune autre reproduction ou distribution n'est autorisée.
ISO 31000:2018(E)

Figure 2 - Principes

Une gestion efficace des risques nécessite les éléments de la figure 2 et peut être expliquée comme suit : r.

a) Intégré

La gestion des risques fait partie intégrante de toutes les activités de l'organisation.

b) Structuré et complet
Une approche structurée et globale de la gestion des risques contribue à l'obtention de résultats cohérents
et comparables.

c) Sur mesure

Le cadre et le processus de gestion des risques sont adaptés et proportionnés au contexte externe et interne
de l'organisation par rapport à ses objectifs.

d) Inclusif
L'implication appropriée et opportune des parties prenantes permet de prendre en compte leurs connaissances,
leurs points de vue et leurs perceptions. Il en résulte une meilleure prise de conscience et une gestion éclairée
des risques.

e) Dynamique

Les risques peuvent émerger, changer ou disparaître au fur et à mesure que le contexte externe et interne d'une
organisation évolue. La gestion des risques permet d'anticiper, de détecter, de reconnaître et de répondre à
ces changements et événements de manière appropriée et opportune.

f) Meilleures informations disponibles

Les données utilisées pour la gestion des risques sont basées sur des informations historiques et actuelles, ainsi que
sur des attentes futures. La gestion des risques prend explicitement en compte les limites et les incertitudes
associées à ces informations et à ces attentes. L'information doit être opportune, claire et disponible pour
les parties prenantes concernées.

© ISO 2018 - Tous droits réservés 3

 Matériel protégé sous licence à l'Université de Toronto par Clarivate Analytics (US) LLC, [Link], téléchargé le 2018-03-11 [Link] -0500 par l'utilisateur de l'Université de Toronto. Aucune autre reproduction ou distribution n'est autorisée.
ISO 31000:2018(E)

g) Facteurs humains et culturels

Le comportement humain et la culture influencent considérablement tous les aspects de la gestion des risques à
chaque niveau et à chaque étape.

h) Amélioration continue
La gestion des risques est continuellement améliorée grâce à l'apprentissage et à l'expérience.

5 Le cadre

5.1 Général
L'objectif du cadre de gestion des risques est d'aider l'organisation à intégrer la gestion des risques dans les
activités et fonctions importantes. L'efficacité de la gestion des risques dépend de son intégration dans la gouvernance
de l'organisation, y compris dans le processus décisionnel. Cela nécessite le soutien des parties prenantes, en
particulier de la direction générale.

L'élaboration d'un cadre englobe l'intégration, la conception, la mise en œuvre, l'évaluation et l'amélioration de la
gestion des risques dans l'ensemble de l'organisation. La figure 3 illustre les composantes d'un cadre.

Figure 3 - Cadre

L'organisme doit évaluer ses pratiques et d processus de gestion des risques existants, évaluer les lacunes
éventuelles et les combler dans le cadre.

Les éléments du cadre et la manière dont ils fonctionnent ensemble doivent être adaptés aux besoins de
l'organisation.

4 © ISO 2018 - Tous droits réservés

 Matériel protégé sous licence à l'Université de Toronto par Clarivate Analytics (US) LLC, [Link], téléchargé le 2018-03-11 [Link] -0500 par l'utilisateur de l'Université de Toronto. Aucune autre reproduction ou distribution n'est autorisée.
ISO 31000:2018(E)

5.2 Leadership et engagement

L'encadrement supérieur et les organes de surveillance, le cas échéant, doivent veiller à ce que la gestion des
risques soit intégrée dans toutes les activités de l'organisation et doivent faire preuve de leadership et
d'engagement :

— la personnalisation et la mise en œuvre de tous les composants du cadre ;

— la publication d'une déclaration ou d'une politique établissant une approche, un plan ou une ligne de conduite e n
matière de gestion des risques ;

— veiller à ce que les ressources nécessaires soient affectées à la gestion des risques ;
— attribuer l'autorité, la responsabilité et l'obligation de rendre compte à des niveaux appropriés au sein de
l'organisation. Cela aidera l'organisation à :

— aligner la gestion des risques sur ses objectifs, sa stratégie et sa culture ;

— reconnaître et traiter toutes les obligations, ainsi que ses engagements volontaires ;
— établir le montant et le type de risque qui peut ou ne peut pas être pris pour guider l'élaboration des critères de
risque, en veillant à ce qu'ils soient communiqués à l'organisation et à ses parties prenantes ;

— communiquer la valeur de la gestion des risques pour l'organisation et ses parties prenantes ;
— promouvoir une surveillance systématique des risques ;
— veiller à ce que le cadre de gestion des risques reste adapté au contexte de l'organisation.
L'encadrement supérieur est responsable de la gestion des risques, tandis que les organes de contrôle sont
responsables de la supervision de la gestion des risques. Les organes de contrôle sont souvent censés ou tenus de.. :

— veiller à ce que les risques soient dûment pris en compte lors de la définition des objectifs de l'organisation ;
— comprendre les risques auxquels l'organisation est confrontée dans la poursuite de ses objectifs ;
— s'assurer que les systèmes de gestion de ces risques sont mis en œuvre et fonctionnent efficacement ;
— veiller à ce que ces risques soient appropriés dans le contexte des objectifs de l'organisation ;
— veiller à ce que les informations relatives à ces risques et à leur gestion soient correctement communiquées.

5.3 Intégration
L'intégration de la gestion des risques repose sur une compréhension des structures et du contexte de l'organisation.
Les structures diffèrent en fonction de la finalité, des objectifs et de la complexité de l'organisation. Les risques sont
gérés dans chaque partie de la structure de l'organisation. Chaque membre de l'organisation est responsable de la
gestion des risques.

La gouvernance oriente le cours de l'organisation, ses relations externes et internes, ainsi que les règles, les
processus et les pratiques nécessaires pour atteindre son objectif. Les structures de gestion traduisent l'orientation
de la gouvernance en stratégie et en objectifs associés nécessaires pour atteindre les niveaux souhaités de
performance durable et de viabilité à long terme. La détermination des responsabilités en matière de gestion des
risques et des rôles de supervision au sein d'une organisation fait partie intégrante de la gouvernance de
l'organisation.

L'intégration de la gestion des risques dans une organisation est un processus dynamique et itératif, qui doit être
adapté aux besoins et à la culture de l'organisation. La gestion des risques doit faire partie de la finalité de
l'organisation, de sa gouvernance, de son leadership et de son engagement, de sa stratégie, de ses objectifs et de ses
opérations, et ne doit pas en être séparée.

© ISO 2018 - Tous droits réservés 5

 Matériel protégé sous licence à l'Université de Toronto par Clarivate Analytics (US) LLC, [Link], téléchargé le 2018-03-11 [Link] -0500 par l'utilisateur de l'Université de Toronto. Aucune autre reproduction ou distribution n'est autorisée.
ISO 31000:2018(E)

5.4 Conception

5.4.1 Comprendre l'organisation et son contexte

Lors de l'élaboration du cadre de gestion des risques, l'organisation doit examiner et comprendre son contexte externe et
interne.

L'examen du contexte externe de l'organisation peut comprendre, sans s'y limiter, les éléments suivants :

— les facteurs sociaux, culturels, politiques, juridiques, réglementaires, financiers, technologiques, économiques et
environnementaux, qu'ils soient internationaux, nationaux, régionaux ou locaux ;

— les principaux facteurs et tendances qui influent sur les objectifs de l'organisation ;
— les relations, les perceptions, les valeurs, les besoins et les attentes des parties prenantes externes ;
— les relations contractuelles et les engagements ;
— la complexité des réseaux et des dépendances.
L'examen du contexte interne de l'organisation peut inclure, mais n'est pas limité à :

— la vision, la mission et les valeurs ;

— la gouvernance, la structure organisationnelle, les rôles et les responsabilités ;
— la stratégie, les objectifs et les politiques ;
— la culture de l'organisation ;
— les normes, les lignes directrices et les modèles adoptés par l'organisation ;
— les capacités, entendues en termes de ressources et de connaissances (par exemple, le capital, le temps, les
personnes, la propriété intellectuelle, les processus, les systèmes et les technologies) ;

— les données, les systèmes d'information et les flux d'information ;

— les relations avec les parties prenantes internes, en tenant compte de leurs perceptions et de leurs valeurs ;
— les relations contractuelles et les engagements ;
— les interdépendances et les interconnexions.

5.4.2 Articuler l'engagement en matière de gestion des risques

L'encadrement supérieur et les organes de surveillance, le cas échéant, doivent démontrer et formuler leur
engagement permanent en faveur de la gestion des risques par le biais d'une politique, d'une déclaration ou d'autres
formes qui traduisent clairement les objectifs et l'engagement de l'organisation en matière de gestion des risques.
L'engagement doit comprendre, sans s'y limiter, les éléments suivants

— la raison d'être de l'organisation pour la gestion des risques et les liens avec ses objectifs et ses autres politiques ;
— renforcer la nécessité d'intégrer la gestion des risques dans la culture générale de l'organisation ;
— diriger l'intégration de la gestion des risques dans les activités et les prises de décision fondamentales de l'entreprise ;
— les autorités, les responsabilités et les obligations de rendre compte ;
— la mise à disposition des ressources nécessaires ;
— la manière dont les objectifs contradictoires sont traités ;
— la mesure et l'établissement de rapports dans le cadre des indicateurs de performance de l'organisation ;

6 © ISO 2018 - Tous droits réservés

 Matériel protégé sous licence à l'Université de Toronto par Clarivate Analytics (US) LLC, [Link], téléchargé le 2018-03-11 [Link] -0500 par l'utilisateur de l'Université de Toronto. Aucune autre reproduction ou distribution n'est autorisée.
ISO 31000:2018(E)

-examen et amélioration.

L'engagement en matière de gestion des risques doit être communiqué au sein de l'organisation et aux parties prenantes,
le cas échéant.

5.4.3 Attribution des rôles, des pouvoirs, des responsabilités et des obligations de rendre compte au sein de
l'organisation

L'encadrement supérieur et les organes de surveillance, le cas échéant, devraient veiller à ce que les pouvoirs,
les responsabilités et l'obligation de rendre compte des rôles pertinents en matière de gestion des risques soient
attribués et communiqués à tous les niveaux de l'organisation, et devraient :

— souligner que la gestion des risques est une responsabilité essentielle ;

— identifier les personnes qui ont la responsabilité et l'autorité de gérer les risques (propriétaires des risques).

5.4.4 Attribution des ressources

L'encadrement supérieur et les organes de surveillance, le cas échéant, doivent veiller à ce que des ressources
appropriées soient allouées à la gestion des risques, ce qui peut inclure, mais sans s'y limiter :

— les personnes, les aptitudes, l'expérience et les compétences ;

— les processus, méthodes et outils de l'organisation à utiliser pour gérer les risques ;
— des processus et des procédures documentés ;
— les systèmes de gestion de l'information et de la connaissance ;
— les besoins en matière de développement professionnel et de formation.
L'organisation doit prendre en compte les capacités et les contraintes des ressources existantes.

5.4.5 Établir la communication et la consultation

L'organisme doit établir une approche approuvée de la communication et de la consultation afin de soutenir le cadre
et de faciliter l'application efficace de la gestion des risques. La communication consiste à partager des informations
avec des publics cibles. La consultation implique également que les participants fournissent un retour d'information
dans l'espoir qu'il contribuera à la prise de décisions ou à d'autres activités et qu'il les façonnera. Les méthodes et le
contenu de la communication et de la consultation doivent refléter les attentes des parties prenantes, le cas échéant.

La communication et la consultation doivent se faire en temps utile et garantir que les informations pertinentes
sont collectées, rassemblées, synthétisées et partagées, le cas échéant, et qu'un retour d'information est fourni
et que des améliorations sont apportées.

5.5 Mise en œuvre

L'organisation doit mettre en œuvre le cadre de gestion des risques en :

— l'élaboration d'un plan approprié incluant le temps et les ressources ;

— identifier où, quand et comment les différents types de décisions sont pris au sein de l'organisation, et par qui ;
— modifier, le cas échéant, les processus décisionnels applicables ;
— veiller à ce que les dispositions prises par l'organisation pour gérer les risques soient clairement comprises
et appliquées.

© ISO 2018 - Tous droits réservés 7

 Matériel protégé sous licence à l'Université de Toronto par Clarivate Analytics (US) LLC, [Link], téléchargé le 2018-03-11 [Link] -0500 par l'utilisateur de l'Université de Toronto. Aucune autre reproduction ou distribution n'est autorisée.
ISO 31000:2018(E)

La mise en œuvre réussie du cadre nécessite l'engagement et la sensibilisation des parties prenantes. Cela
permet aux organisations d'aborder explicitement l'incertitude dans la prise de décision, tout en veillant à ce
que toute incertitude nouvelle ou ultérieure puisse être prise en compte au fur et à mesure qu'elle se présente.

Correctement conçu et mis en œuvre, le cadre de gestion des risques garantira que le processus de gestion des
risques fait partie de toutes les activités de l'organisation, y compris la prise de décision, et que les changements
dans les contextes externes et internes seront pris en compte de manière adéquate.

5.6 L'évaluation
Afin d'évaluer l'efficacité du cadre de gestion des risques, l'organisation doit :

— mesurer périodiquement la performance du cadre de gestion des risques par rapport à son objectif, aux plans de
mise en œuvre, aux indicateurs et au comportement attendu ;

— déterminer s'il reste adapté à la réalisation des objectifs de l'organisation.

5.7 Amélioration

5.7.1 Adaptation

L'organisme doit surveiller et adapter en permanence le cadre de gestion des risques pour faire face aux
changements externes et internes. Ce faisant, l'organisation peut améliorer sa valeur.

5.7.2 Amélioration continue

L'organisme devrait améliorer en permanence l'adéquation, la pertinence et l'efficacité du cadre de gestion des
risques et la manière dont le processus de gestion des risques est intégré.

Au fur et à mesure que des lacunes ou des possibilités d'amélioration sont identifiées, l'organisation devrait élaborer
des plans et des tâches et les confier aux responsables de la mise en œuvre. Une fois mises en œuvre, ces
améliorations devraient contribuer au renforcement de la gestion des risques.

6 Processus

6.1 Général
Le processus de gestion des risques implique l'application systématique de politiques, de procédures et de pratiques
aux activités de communication et de consultation, d'établissement du contexte et d'évaluation, de traitement, de
suivi, d'examen, d'enregistrement et de déclaration des risques. Ce processus est illustré à la figure 4.

8 © ISO 2018 - Tous droits réservés

 Matériel protégé sous licence à l'Université de Toronto par Clarivate Analytics (US) LLC, [Link], téléchargé le 2018-03-11 [Link] -0500 par l'utilisateur de l'Université de Toronto. Aucune autre reproduction ou distribution n'est autorisée.
ISO 31000:2018(E)

Figure 4 - Processus

Le processus de gestion des risques doit faire partie intégrante de la gestion et de la prise de décision ( ) et être
intégré dans la structure, les opérations et les processus de l'organisation. Il peut être appliqué aux niveaux
stratégique, opérationnel, du programme ou du projet.

Le processus de gestion des risques peut avoir de nombreuses applications au sein d'une organisation,
personnalisées pour atteindre les objectifs et s'adapter au contexte externe et interne dans lequel elles sont
appliquées.

La nature dynamique et variable du comportement humain et de la culture doit être prise en compte tout au long du
processus de gestion des risques.

Bien que le processus de gestion des risques soit souvent présenté comme séquentiel, il est en réalité itératif.

6.2 Communication et consultation

L'objectif de la communication et de la consultation est d'aider les parties prenantes concernées à comprendre les
risques, la base sur laquelle les décisions sont prises et les raisons pour lesquelles des actions particulières sont
nécessaires. La communication vise à promouvoir la prise de conscience et la compréhension du risque, tandis que
la consultation consiste à obtenir un retour d'information et des informations pour soutenir la prise de décision. Une
coordination étroite entre les deux devrait faciliter l'échange d'informations factuelles, opportunes, pertinentes,
précises et compréhensibles, en tenant compte de la confidentialité et de l'intégrité des informations ainsi que du
droit à la vie privée des personnes.

La communication et la consultation avec les parties prenantes externes et internes appropriées doivent avoir
lieu à toutes les étapes du processus de gestion des risques.

La communication et la consultation visent à

— réunir différents domaines d'expertise à chaque étape du processus de gestion des risques ;
— veiller à ce que les différents points de vue soient dûment pris en compte lors de la définition des critères
de risque et de l'évaluation des risques ;

— fournir des informations suffisantes pour faciliter la surveillance des risques et la prise de décision ;

© ISO 2018 - Tous droits réservés 9

 Matériel protégé sous licence à l'Université de Toronto par Clarivate Analytics (US) LLC, [Link], téléchargé le 2018-03-11 [Link] -0500 par l'utilisateur de l'Université de Toronto. Aucune autre reproduction ou distribution n'est autorisée.
ISO 31000:2018(E)

— créer un sentiment d'inclusion et d'appropriation chez les personnes concernées par le risque.

6.3 Champ d'application, contexte et critères

6.3.1 Général

La définition du champ d'application, du contexte et des critères a pour but de personnaliser le processus de
gestion des risques, en permettant une évaluation efficace et un traitement approprié des risques. Le champ
d'application, le contexte et les critères impliquent de définir le champ d'application du processus et de
comprendre le contexte externe et interne.

6.3.2 Définir le champ d'application

L'organisation doit définir le champ d'application de ses activités de gestion des risques.

Le processus de gestion des risques pouvant être appliqué à différents niveaux (stratégique, opérationnel,
programme, projet ou autres activités), il est important de définir clairement le champ d'application considéré, les
objectifs pertinents à prendre en compte et leur alignement sur les objectifs de l'organisation.

Lors de la planification de l'approche, il convient de prendre en compte les éléments suivants

— les objectifs et les décisions à prendre ;

— les résultats attendus des étapes du processus ;
— la date, le lieu, les inclusions et les exclusions spécifiques ;
— les outils et techniques appropriés d'évaluation des risques ;
— les ressources nécessaires, les responsabilités et les registres à tenir ;
— les relations avec d'autres projets, processus et activités.

6.3.3 Contexte externe et interne

Le contexte externe et interne est l'environnement dans lequel l'organisation cherche à définir et à atteindre ses
objectifs.

Le contexte du processus de gestion des risques doit être établi à partir de la compréhension de
l'environnement externe et interne dans lequel l'organisation opère et doit refléter l'environnement spécifique
de l'activité à laquelle le processus de gestion des risques doit être appliqué.

Il est important de comprendre le contexte car :

— la gestion des risques s'inscrit dans le cadre des objectifs et des activités de l'organisation ;
— les facteurs organisationnels peuvent être une source de risque ;
— l'objectif et le champ d'application du processus de gestion des risques peuvent être liés aux objectifs de
l'organisation dans son ensemble.

L'organisation doit définir le contexte externe et interne du processus de management du risque en tenant
compte des facteurs mentionnés au point 5.4.1.

6.3.4 Définir les critères de risque

L'organisme doit préciser le montant et le type de risque qu'il peut ou ne peut pas prendre par rapport aux objectifs.
Elle doit également définir des critères permettant d'évaluer l'importance du risque et de soutenir les processus de
prise de décision. Les critères de risque doivent être alignés sur le cadre de gestion des risques et adaptés à l'objectif
et au champ d'application spécifiques de l'activité considérée. Les critères de risque doivent refléter les valeurs, les
objectifs et les ressources de l'organisation et être cohérents avec les politiques et les déclarations.

10 © ISO 2018 - Tous droits réservés

 Matériel protégé sous licence à l'Université de Toronto par Clarivate Analytics (US) LLC, [Link], téléchargé le 2018-03-11 [Link] -0500 par l'utilisateur de l'Université de Toronto. Aucune autre reproduction ou distribution n'est autorisée.
ISO 31000:2018(E)

sur la gestion des risques. Les critères doivent être définis en tenant compte des obligations de l'organisation et
des points de vue des parties prenantes.

Si les critères de risque doivent être établis au début du processus d'évaluation des risques, ils sont
dynamiques et doivent être continuellement réexaminés et modifiés, si nécessaire.

Pour définir les critères de risque, il convient de prendre en compte les éléments suivants :

— la nature et le type d'incertitudes qui peuvent affecter les résultats et les objectifs (tangibles et intangibles)
;

— la manière dont les conséquences (positives et négatives) et la probabilité seront définies et mesurées ;
— les facteurs liés au temps ;
— la cohérence dans l'utilisation des mesures ;
— la manière dont le niveau de risque doit être déterminé ;
— la manière dont les combinaisons et les séquences de risques multiples seront prises en compte ;
— la capacité de l'organisation.

6.4 Évaluation des risques

6.4.1 Général

L'évaluation des risques est le processus global d'identification, d'analyse et d'évaluation des risques.

L'évaluation des risques doit être menée de manière systématique, itérative et collaborative, en s'appuyant sur
les connaissances et les points de vue des parties prenantes. Elle doit utiliser les meilleures informations
disponibles, complétées par des enquêtes supplémentaires si nécessaire.

6.4.2 Identification des risques

Le but de l'identification des risques est de trouver, reconnaître et décrire les risques qui pourraient aider ou
empêcher une organisation d'atteindre ses objectifs. Des informations pertinentes, appropriées et actualisées sont
importantes pour l'identification des risques.

L'organisation peut utiliser une série de techniques pour identifier les incertitudes susceptibles d'affecter un ou plusieurs
objectifs. Les facteurs suivants, et la relation entre ces facteurs, doivent être pris en considération :

— les sources de risque tangibles et intangibles ;

— les causes et les événements ;
— les menaces et les opportunités ;
— les vulnérabilités et les capacités ;
— les changements dans le contexte externe et interne ;
— des indicateurs de risques émergents ;
— la nature et la valeur des actifs et des ressources ;
— les conséquences et leur impact sur les objectifs ;
— les limites de la connaissance et la fiabilité de l'information ;
— les facteurs liés au temps ;
— les préjugés, les hypothèses et les croyances des personnes concernées.

© ISO 2018 - Tous droits réservés 11

 Matériel protégé sous licence à l'Université de Toronto par Clarivate Analytics (US) LLC, [Link], téléchargé le 2018-03-11 [Link] -0500 par l'utilisateur de l'Université de Toronto. Aucune autre reproduction ou distribution n'est autorisée.
ISO 31000:2018(E)

L'organisation doit identifier les risques, que leurs sources soient ou non sous son contrôle. Il convient de tenir compte
du fait qu'il peut y avoir plus d'un type de résultat, ce qui peut entraîner diverses conséquences tangibles ou
intangibles.

6.4.3 Analyse des risques

L'objectif de l'analyse des risques est de comprendre la nature du risque et ses caractéristiques, y compris, le
cas échéant, le niveau de risque. L'analyse des risques implique un examen détaillé des incertitudes, des
sources de risque, des conséquences, de la probabilité, des événements, des scénarios, des contrôles et de leur efficacité.
Un événement peut avoir des causes et des conséquences multiples et peut affecter plusieurs objectifs.

L'analyse des risques peut être entreprise à des degrés divers de détail et de complexité, en fonction de
l'objectif de l'analyse, de la disponibilité et de la fiabilité des informations, et des ressources disponibles. Les
techniques d'analyse peuvent être qualitatives, quantitatives ou une combinaison de celles-ci, en fonction des
circonstances et de l'utilisation prévue.

L'analyse des risques doit prendre en compte des facteurs tels que

— la probabilité des événements et des conséquences ;

— la nature et l'ampleur des conséquences ;
— la complexité et la connectivité ;
— les facteurs liés au temps et la volatilité ;
— l'efficacité des contrôles existants ;
— les niveaux de sensibilité et de confiance.
L'analyse des risques peut être influencée par des divergences d'opinions, des préjugés, des perceptions du risque et
des jugements. La qualité des informations utilisées, les hypothèses et les exclusions formulées, les limites
éventuelles des techniques et la manière dont elles sont mises en œuvre constituent d'autres facteurs d'influence.
Ces influences doivent être prises en compte, documentées et communiquées aux décideurs.

Les événements très incertains peuvent être difficiles à quantifier. Ce problème peut se poser lors de l'analyse
d'événements aux conséquences graves. Dans ce cas, l'utilisation d'une combinaison de techniques permet
généralement d'obtenir une meilleure compréhension.

L'analyse des risques permet d'évaluer les risques, de décider s'ils doivent être traités et de quelle manière, et
de définir la stratégie et les méthodes de traitement des risques les plus appropriées. Les résultats permettent
d'éclairer les décisions, lorsque des choix sont faits et que les options impliquent différents types et niveaux de
risque.

6.4.4 Évaluation des risques

L'objectif de l'évaluation des risques est d'étayer les décisions. L'évaluation des risques consiste à comparer les
résultats de l'analyse des risques avec les critères de risque établis afin de déterminer si des mesures
supplémentaires sont nécessaires. Cela peut conduire à une décision visant à :

— ne rien faire de plus ;

— envisager des options de traitement du risque ;
— entreprendre une analyse plus approfondie pour mieux comprendre le risque ;
— maintenir les contrôles existants ;
— reconsidérer les objectifs.
Les décisions doivent tenir compte du contexte général et des conséquences réelles et perçues par les parties
prenantes externes et internes.

12 © ISO 2018 - Tous droits réservés

 Matériel protégé sous licence à l'Université de Toronto par Clarivate Analytics (US) LLC, [Link], téléchargé le 2018-03-11 [Link] -0500 par l'utilisateur de l'Université de Toronto. Aucune autre reproduction ou distribution n'est autorisée.
ISO 31000:2018(E)

Les résultats de l'évaluation des risques doivent être enregistrés, communiqués et validés aux niveaux appropriés de
l'organisation.

6.5 Traitement du risque

6.5.1 Général

L'objectif du traitement des risques est de sélectionner et de mettre en œuvre des options pour
faire face aux risques. Le traitement des risques implique un processus itératif de.. :

— la formulation et la sélection des options de traitement des risques ;

— la planification et la mise en œuvre du traitement des risques ;
— l'évaluation de l'efficacité de ce traitement ;
— décider si le risque restant est acceptable ;
— s'il n'est pas acceptable, prendre d'autres mesures.

6.5.2 Sélection des options de traitement du risque

La sélection de la ou des options de traitement des risques les plus appropriées implique de mettre en balance les
avantages potentiels liés à la réalisation des objectifs avec les coûts, les efforts ou les inconvénients de la mise en
œuvre.

Les options de traitement du risque ne sont pas nécessairement mutuellement exclusives ou appropriées dans toutes
les circonstances. Les options de traitement du risque peuvent comprendre un ou plusieurs des éléments suivants :

— éviter le risque en décidant de ne pas commencer ou de ne pas poursuivre l'activité qui est à l'origine du risque ;
— prendre ou augmenter le risque afin de saisir une opportunité ;
— supprimer la source de risque ;
— la modification de la probabilité ;
— modifier les conséquences ;
— le partage du risque (par exemple, par le biais de contrats, de l'achat d'une assurance) ;
— conserver le risque en prenant une décision en connaissance de cause.
La justification du traitement des risques dépasse les seules considérations économiques et doit tenir compte
de toutes les obligations de l'organisme, de ses engagements volontaires et des points de vue des parties
prenantes. La sélection des options de traitement des risques doit se faire en fonction des objectifs de
l'organisation, des critères de risque et des ressources disponibles.

Lors de la sélection des options de traitement des risques, l'organisation doit tenir compte des valeurs, des
perceptions et de l'implication potentielle des parties prenantes, ainsi que des moyens les plus appropriés pour
communiquer avec elles et les consulter. Bien que tout aussi efficaces, certains traitements des risques peuvent
être plus acceptables pour certaines parties prenantes que pour d'autres.

Les traitements des risques, même s'ils sont conçus et mis en œuvre avec soin, peuvent ne pas produire les résultats
escomptés et avoir des conséquences imprévues. Le suivi et l'examen doivent faire partie intégrante de la mise
en œuvre du traitement des risques afin de garantir que les différentes formes de traitement deviennent et
restent efficaces.

Le traitement des risques peut également introduire de nouveaux risques qui doivent être gérés.

© ISO 2018 - Tous droits réservés 13

 Matériel protégé sous licence à l'Université de Toronto par Clarivate Analytics (US) LLC, [Link], téléchargé le 2018-03-11 [Link] -0500 par l'utilisateur de l'Université de Toronto. Aucune autre reproduction ou distribution n'est autorisée.
ISO 31000:2018(E)

Si aucune option thérapeutique n'est disponible ou si les options thérapeutiques ne modifient pas suffisamment
le risque, celui-ci doit être enregistré et faire l'objet d'un examen permanent.

Les décideurs et les autres parties prenantes doivent être informés de la nature et de l'ampleur du risque restant
après le traitement du risque. Le risque restant doit être documenté et faire l'objet d'un suivi, d'un examen et, le
cas échéant, d'un traitement supplémentaire.

6.5.3 Préparer et mettre en œuvre des plans de traitement des risques

L'objectif des plans de traitement des risques est de préciser comment les options de traitement choisies seront
mises en œuvre, afin que les dispositions soient comprises par les personnes concernées et que les progrès réalisés
par rapport au plan puissent être contrôlés. Le plan de traitement doit clairement identifier l'ordre dans lequel le
traitement du risque doit être mis en œuvre.

Les plans de traitement doivent être intégrés dans les plans et processus de gestion de l'organisation, en
consultation avec les parties prenantes concernées.

Les informations fournies dans le plan de traitement doivent inclure :

— la justification du choix des options thérapeutiques, y compris les a v a n t a g e s escomptés ;

— les personnes qui sont responsables de l'approbation et de la mise en œuvre du plan ;
— les actions proposées ;
— les ressources nécessaires, y compris les imprévus ;
— les mesures de performance ;
— les contraintes ;
— les rapports et le suivi requis ;
— la date à laquelle les actions sont censées être entreprises et achevées.

6.6 Suivi et révision

L'objectif du suivi et de l'examen est d'assurer et d'améliorer la qualité et l'efficacité de la conception, de la mise en œuvre
et des résultats du processus. Le suivi permanent et l'examen périodique du processus de gestion des risques et de ses
résultats doivent faire partie intégrante du processus de gestion des risques et les responsabilités doivent être clairement
définies.

Le suivi et l'examen doivent avoir lieu à tous les stades du processus. Le suivi et la révision comprennent la
planification, la collecte et l'analyse des informations, l'enregistrement des résultats et le retour d'information.

Les résultats du suivi et de l'examen doivent être intégrés dans l'ensemble des activités de gestion, de mesure et de
communication des performances de l'organisation.

6.7 Enregistrement et rapports

Le processus de gestion des risques et ses résultats doivent être documentés et communiqués par le biais de
mécanismes appropriés. L'enregistrement et l'établissement de rapports visent à

— communiquer les activités et les résultats de la gestion des risques dans l'ensemble de l'organisation ;
— fournir des informations pour la prise de décision ;
— améliorer les activités de gestion des risques ;
— aider à l'interaction avec les parties prenantes, y compris celles qui ont la responsabilité et l'obligation de rendre
compte des activités de gestion des risques.

14 © ISO 2018 - Tous droits réservés

 Matériel protégé sous licence à l'Université de Toronto par Clarivate Analytics (US) LLC, [Link], téléchargé le 2018-03-11 [Link] -0500 par l'utilisateur de l'Université de Toronto. Aucune autre reproduction ou distribution n'est autorisée.
ISO 31000:2018(E)

Les décisions concernant la création, la conservation et le traitement des informations documentées doivent tenir compte,
sans s'y limiter, de leur utilisation, de la sensibilité des informations et du contexte externe et interne.

Les rapports font partie intégrante de la gouvernance de l'organisation et devraient améliorer la qualité du dialogue
avec les parties prenantes et aider la direction générale et les organes de contrôle à assumer leurs responsabilités.
Les facteurs à prendre en compte pour l'établissement des rapports sont, entre autres, les suivants :

— les différentes parties prenantes et leurs besoins et exigences spécifiques en matière d'information ;
— le coût, la fréquence et l'opportunité des rapports ;
— la méthode d'établissement des rapports ;
— la pertinence de l'information par rapport aux objectifs de l'organisation et à la prise de décision.

© ISO 2018 - Tous droits réservés 15

Matériel protégé sous licence à l'Université de Toronto par Clarivate Analytics (US) LLC, [Link], téléchargé le 2018-03-11 [Link] -0500 par l'utilisateur de l'Université de Toronto. Aucune autre reproduction ou distribution n'est autorisée.

© ISO 2018 - Tous droits réservés

IEC 31010, Gestion du risque - Techniques d'évaluation du risque
Bibliographie
ISO 31000:2018(E)

16
[1]
Matériel protégé sous licence à l'Université de Toronto par Clarivate Analytics (US) LLC, [Link], téléchargé le 2018-03-11 [Link] -0500 par l'utilisateur de l'Université de Toronto. Aucune autre reproduction ou distribution n'est autorisée.
Matériel protégé sous licence à l'Université de Toronto par Clarivate Analytics (US) LLC, [Link], téléchargé le 2018-03-11 [Link] -0500 par l'utilisateur de l'Université de Toronto. Aucune autre reproduction ou distribution n'est autorisée.

© ISO 2018 - Tous droits réservés

ISO 31000:2018(E)

Prix basé sur 16 pages

ICS 03.100.01