ISO 31000:2018 Risk Management (PDF)
Document Details
Uploaded by Deleted User
2018
Tags
Related
- ISO 31000 (2018) Traducción Oficial PDF
- PNS/BAFS 352:2022 Microbiological Risk Management Guidelines PDF
- ISCC CORSIA 204 Audit Requirements and Risk Management PDF
- ABNT NBR ISO 31000 PDF - Gestão de Riscos - Diretrizes (FEV 2018)
- Global Internal Audit Standards 2024 PDF
- Compass Health AI Risk Management SOP PDF
Summary
This document, ISO 31000:2018, provides guidelines for risk management. It is a comprehensive standard covering the principles, framework, and process for effective risk management within any organization. The standard considers the organizational context, and internal/external factors.
Full Transcript
NORME ISO INTERNATIONALE 31000 Deuxième édition...
NORME ISO INTERNATIONALE 31000 Deuxième édition 2018-02 Management du risque — Lignes directrices Risk management — Guidelines iTeh STANDARD PREVIEW (standards.iteh.ai) ISO 31000:2018 https://standards.iteh.ai/catalog/standards/sist/aac269d2-3e9b-4fd1-b678- 1df56c39129d/iso-31000-2018 Numéro de référence ISO 31000:2018(F) © ISO 2018 ISO 31000:2018(F) iTeh STANDARD PREVIEW (standards.iteh.ai) ISO 31000:2018 https://standards.iteh.ai/catalog/standards/sist/aac269d2-3e9b-4fd1-b678- 1df56c39129d/iso-31000-2018 DOCUMENT PROTÉGÉ PAR COPYRIGHT © ISO 2018 Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en oeuvre, aucune partie de cette publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur. ISO copyright office Case postale 401 Ch. de Blandonnet 8 CH-1214 Vernier, Geneva Tél.: +41 22 749 01 11 Fax: +41 22 749 09 47 E-mail: [email protected] Web: www.iso.org Publié en Suisse ii © ISO 2018 – Tous droits réservés ISO 31000:2018(F) Sommaire Page Avant-propos............................................................................................................................................................................................................................... iv Introduction...................................................................................................................................................................................................................................v 1 Domaine d’application.................................................................................................................................................................................... 1 2 Références normatives.................................................................................................................................................................................... 1 3 Termes et définitions........................................................................................................................................................................................ 1 4 Principes........................................................................................................................................................................................................................ 2 5 Cadre organisationnel..................................................................................................................................................................................... 4 5.1 Généralités................................................................................................................................................................................................... 4 5.2 Leadership et engagement............................................................................................................................................................ 5 5.3 Intégration................................................................................................................................................................................................... 5 5.4 Conception................................................................................................................................................................................................... 6 5.4.1 Compréhension de l’organisme et de son contexte............................................................................ 6 5.4.2 Définir clairement l’engagement en matière de management du risque........................ 6 5.4.3 Attribution des rôles, pouvoirs et responsabilités au sein de l’organisme..................... 7 5.4.4 Affectation des ressources........................................................................................................................................ 7 5.4.5 Établissement d’une communication et d’une concertation...................................................... 7 5.5 Mise en œuvre.......................................................................................................................................................................................... 8 5.6 Évaluation..................................................................................................................................................................................................... 8 5.7 Amélioration.............................................................................................................................................................................................. 8 5.7.1 iTeh STANDARD PREVIEW Adaptation.............................................................................................................................................................................. 8 5.7.2 Amélioration continue................................................................................................................................................. 8 (standards.iteh.ai) 6 Processus....................................................................................................................................................................................................................... 8 6.1 Généralités................................................................................................................................................................................................... ISO 31000:2018 8 6.2 Communication et consultation................................................................................................................................................ 9 https://standards.iteh.ai/catalog/standards/sist/aac269d2-3e9b-4fd1-b678- 6.3 Périmètre d’application, contexte et critères.............................................................................................................. 10 1df56c39129d/iso-31000-2018 6.3.1 Généralités.......................................................................................................................................................................... 10 6.3.2 Définition du domaine d’application............................................................................................................ 10 6.3.3 Contexte interne et externe.................................................................................................................................. 10 6.3.4 Définition des critères de risque...................................................................................................................... 11 6.4 Appréciation du risque.................................................................................................................................................................. 11 6.4.1 Généralités.......................................................................................................................................................................... 11 6.4.2 Identification du risque........................................................................................................................................... 11 6.4.3 Analyse du risque.......................................................................................................................................................... 12 6.4.4 Évaluation du risque................................................................................................................................................... 13 6.5 Traitement du risque....................................................................................................................................................................... 13 6.5.1 Généralités.......................................................................................................................................................................... 13 6.5.2 Sélection des options de traitement du risque.................................................................................... 13 6.5.3 Élaboration et mise en œuvre des plans de traitement du risque...................................... 14 6.6 Suivi et revue.......................................................................................................................................................................................... 14 6.7 Enregistrement et élaboration de rapports................................................................................................................. 15 Bibliographie............................................................................................................................................................................................................................ 16 © ISO 2018 – Tous droits réservés iii ISO 31000:2018(F) Avant-propos L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales, gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux. L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui concerne la normalisation électrotechnique. Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents critères d’approbation requis pour les différents types de documents ISO. Le présent document a été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.iso.org/directives). L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de brevets reçues par l’ISO (voir www.iso.org/brevets). Les appellations commerciales éventuellement mentionnées dans le présent document sont données iTeh STANDARD PREVIEW pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un engagement. (standards.iteh.ai) Pour une explication de la nature volontaire des normes, la signification des termes et expressions spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion ISO 31000:2018 de l’ISO aux principes dehttps://standards.iteh.ai/catalog/standards/sist/aac269d2-3e9b-4fd1-b678- l’Organisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce (OTC), voir le lien1df56c39129d/iso-31000-2018 suivant: www.iso.org/avant-propos. Le présent document a été élaboré par le comité technique ISO/TC 262, Management du risque. Cette deuxième édition annule et remplace la première édition (ISO 31000:2009), qui a fait l’objet d’une révision technique. Les principales modifications par rapport à l’édition précédente sont les suivantes: — revue des principes de management du risque, qui sont les critères clés de sa réussite; — mise en exergue du leadership de la direction et de l’intégration du management du risque, en commençant par la gouvernance de l’organisme; — importance accrue accordée à la nature itérative du management du risque, en notant que de nouvelles expériences, connaissances et analyses peuvent conduire à une révision des éléments, actions et moyens de maîtrise du processus à chacune de ses étapes; — simplification du contenu en se concentrant davantage sur le maintien d’un modèle de système ouvert pour s’adapter à de multiples besoins et contextes. iv © ISO 2018 – Tous droits réservés ISO 31000:2018(F) Introduction Le présent document s’adresse aux personnes qui, au sein des organismes, créent de la valeur et la préservent par le management du risque, la prise de décisions, la définition et l’atteinte d’objectifs et l’amélioration de la performance. Les organismes de tous types et de toutes tailles sont confrontés à des facteurs et des influences internes et externes qui rendent l’atteinte de leurs objectifs incertaine. Le management du risque est une activité itérative qui aide les organismes à développer une stratégie, atteindre des objectifs et prendre des décisions éclairées. Le management du risque fait partie intégrante de la gouvernance et du leadership et a une importance fondamentale dans la façon dont l’organisme est géré à tous les niveaux. Il contribue à l’amélioration des systèmes de management. Le management du risque est intégré à toutes les activités d’un organisme et inclut l’interaction avec les parties prenantes. Le management du risque prend en considération le contexte interne et externe de l’organisme, y compris le comportement humain et les facteurs culturels. Le management du risque est fondé sur les principes, le cadre organisationnel et le processus décrits dans le présent document, tel qu’illustré à la Figure 1. Ces éléments peuvent déjà exister, en totalité ou en partie, au sein de l’organisme; toutefois, ils peuvent nécessiter une adaptation ou une amélioration iTeh STANDARD PREVIEW afin que le management du risque soit efficient, efficace et cohérent. (standards.iteh.ai) ISO 31000:2018 https://standards.iteh.ai/catalog/standards/sist/aac269d2-3e9b-4fd1-b678- 1df56c39129d/iso-31000-2018 Figure 1 — Principes, cadre organisationnel et processus © ISO 2018 – Tous droits réservés v iTeh STANDARD PREVIEW (standards.iteh.ai) ISO 31000:2018 https://standards.iteh.ai/catalog/standards/sist/aac269d2-3e9b-4fd1-b678- 1df56c39129d/iso-31000-2018 NORME INTERNATIONALE ISO 31000:2018(F) Management du risque — Lignes directrices 1 Domaine d’application Le présent document fournit des lignes directrices concernant le management du risque auquel sont confrontés les organismes. L’application de ces lignes directrices peut être adaptée à tout organisme et à son contexte. Le présent document fournit une approche générique permettant de gérer toute forme de risque et n’est pas spécifique à une industrie ou un secteur. Le présent document peut être utilisé tout au long de la vie de l’organisme et peut être appliqué à toute activité, y compris la prise de décisions à tous les niveaux. 2 Références normatives Le présent document ne contient aucune référence normative. 3 Termes et définitions iTeh STANDARD PREVIEW Pour les besoins du présent document, les termes et définitions suivants s’appliquent. (standards.iteh.ai) L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation, consultables aux adresses suivantes: ISO 31000:2018 — ISO Online browsing platform: disponible à l’adresse https://w ww.iso.org/obp https://standards.iteh.ai/catalog/standards/sist/aac269d2-3e9b-4fd1-b678- 1df56c39129d/iso-31000-2018 — IEC Electropedia: disponible à l’adresse https://w ww.electropedia.org/ 3.1 risque effet de l’incertitude sur les objectifs Note 1 à l'article: Un effet est un écart par rapport à un attendu. Il peut être positif, négatif ou les deux à la fois, et traiter, créer ou entraîner des opportunités et des menaces. Note 2 à l'article: Les objectifs peuvent avoir différents aspects, être de catégories différentes, et peuvent concerner différents niveaux. Note 3 à l'article: Un risque est généralement exprimé en termes de sources de risque (3.4), événements (3.5) potentiels avec leurs conséquences (3.6) et leur vraisemblance (3.7). 3.2 management du risque activités coordonnées dans le but de diriger et piloter un organisme vis-à-vis du risque (3.1) 3.3 partie prenante personne ou organisme susceptible d’affecter, d’être affecté ou de se sentir affecté par une décision ou une activité Note 1 à l'article: Le terme «partie intéressée» peut être utilisé comme alternative à «partie prenante». 3.4 source de risque tout élément qui, seul ou combiné à d’autres, est susceptible d’engendrer un risque (3.1) © ISO 2018 – Tous droits réservés 1 ISO 31000:2018(F) 3.5 événement occurrence ou changement d’un ensemble particulier de circonstances Note 1 à l'article: Un événement peut être unique ou se reproduire et peut avoir plusieurs causes et plusieurs conséquences (3.6). Note 2 à l'article: Un événement peut être quelque chose qui est attendu, mais qui ne se produit pas, ou quelque chose auquel on ne s’attend pas, mais qui se produit. Note 3 à l'article: Un événement peut être une source de risque. 3.6 conséquence effet d’un événement (3.5) affectant les objectifs Note 1 à l'article: Une conséquence peut être certaine ou incertaine et peut avoir des effets positifs ou négatifs, directs ou indirects, sur l’atteinte des objectifs. Note 2 à l'article: Les conséquences peuvent être exprimées de façon qualitative ou quantitative. Note 3 à l'article: Toute conséquence peut déclencher des effets en cascade et cumulatifs. 3.7 vraisemblance possibilité que quelque chose se produise iTeh STANDARD PREVIEW Note 1 à l'article: Dans la terminologie du management du risque (3.2), le mot «vraisemblance» est utilisé pour indiquer la possibilité que quelque chose se produise, que cette possibilité soit définie, mesurée ou déterminée de (standards.iteh.ai) façon objective ou subjective, qualitative ou quantitative, et qu’elle soit décrite au moyen de termes généraux ou mathématiques (telles une probabilité ou une fréquence sur une période donnée). ISO 31000:2018 Note 2 à l'article: Le terme anglais «likelihood» (vraisemblance) n’a pas d’équivalent direct dans certaines langues https://standards.iteh.ai/catalog/standards/sist/aac269d2-3e9b-4fd1-b678- et c’est souvent l’équivalent du terme «probability» (probabilité) qui est utilisé à la place. En anglais, cependant, 1df56c39129d/iso-31000-2018 le terme «probability» (probabilité) est souvent limité à son interprétation mathématique. Par conséquent, dans la terminologie du management du risque, le terme «vraisemblance» est utilisé avec l’intention qu’il fasse l’objet d’une interprétation aussi large que celle dont bénéficie le terme «probability» (probabilité) dans de nombreuses langues autres que l’anglais. 3.8 moyen de maîtrise action qui maintient et/ou modifie un risque (3.1) Note 1 à l'article: Un moyen de maîtrise du risque inclut, sans toutefois s’y limiter, n’importe quels processus, politique, dispositif, pratique ou autres conditions et/ou actions qui maintiennent et/ou modifient un risque. Note 2 à l'article: Un moyen de maîtrise du risque n’aboutit pas toujours nécessairement à la modification voulue ou supposée. 4 Principes La finalité du management du risque est la création et la préservation de la valeur. Il améliore la performance, favorise l’innovation et contribue à l’atteinte des objectifs. Les principes rappelés à la Figure 2 fournissent les grands axes relatifs aux caractéristiques d’un management du risque efficace et efficient, en communiquant sa valeur et en expliquant son intention et sa finalité. Les principes sont le fondement du management du risque et il convient de les prendre en considération lors de l’établissement du cadre organisationnel et des processus de management du risque de l’organisme. Il convient que ces principes permettent à un organisme de gérer les effets de l’incertitude sur ses objectifs. 2 © ISO 2018 – Tous droits réservés ISO 31000:2018(F) iTeh STANDARD PREVIEW Figure 2 — Principes (standards.iteh.ai) Un management du risque efficace nécessite les éléments de la Figure 2 et peut être expliqué plus en détail comme suit: ISO 31000:2018 https://standards.iteh.ai/catalog/standards/sist/aac269d2-3e9b-4fd1-b678- a) Intégré 1df56c39129d/iso-31000-2018 Le management du risque est intégré à toutes les activités de l’organisme. b) Structuré et global Une approche structurée et globale du management du risque contribue à la cohérence de résultats qui peuvent être comparés. c) Adapté Le cadre organisationnel et le processus de management du risque sont adaptés et proportionnés au contexte externe et interne de l’organisme aussi bien qu’à ses objectifs. d) Inclusif L’implication appropriée et au moment opportun des parties prenantes permet de prendre en compte leurs connaissances, leurs opinions et leur perception. Ceci conduit à un management du risque mieux éclairé et plus pertinent. e) Dynamique Des risques peuvent surgir, être modifiés ou disparaître lorsque le contexte externe et interne d’un organisme change. Le management du risque anticipe, détecte, reconnaît et réagit à ces changements et événements en temps voulu et de manière appropriée. f) Meilleure information disponible Les données d’entrée du management du risque sont fondées sur des informations historiques et actuelles ainsi que sur les attentes futures. Le management du risque tient compte explicitement © ISO 2018 – Tous droits réservés 3 ISO 31000:2018(F) de toutes limites et incertitudes associées à ces informations et attentes. Il convient que les informations soient disponibles à temps, claires et accessibles aux parties prenantes pertinentes. g) Facteurs humains et culturels Le comportement humain et la culture influent de manière significative sur tous les aspects du management du risque à chaque niveau et à chaque étape. h) Amélioration continue Le management du risque est amélioré en continu par l’apprentissage et l’expérience. 5 Cadre organisationnel 5.1 Généralités La finalité du cadre organisationnel de management du risque est d’aider l’organisme à intégrer le management du risque dans les activités et les fonctions significatives. L’efficacité du management du risque va dépendre de son intégration dans la gouvernance de l’organisme, y compris la prise de décisions. Cela nécessite un soutien et une implication des parties prenantes, en particulier de la direction. Le développement du cadre organisationnel englobe l’intégration, la conception, la mise en œuvre, l’évaluation et l’amélioration du management du risque au sein de l’organisme. La Figure 3 illustre les composantes d’un cadre organisationnel. iTeh STANDARD PREVIEW (standards.iteh.ai) ISO 31000:2018 https://standards.iteh.ai/catalog/standards/sist/aac269d2-3e9b-4fd1-b678- 1df56c39129d/iso-31000-2018 Figure 3 — Cadre organisationnel Il convient que l’organisme évalue ses pratiques et processus existants de management du risque, identifie les lacunes et les comble avec le cadre organisationnel. Il convient que les composantes du cadre organisationnel et la manière dont elles s’articulent soient adaptées aux besoins de l’organisme. 4 © ISO 2018 – Tous droits réservés ISO 31000:2018(F) 5.2 Leadership et engagement Il convient que la direction et les organes de surveillance, le cas échéant, s’assurent que le management du risque est intégré dans toutes les activités de l’organisme et démontrent leur leadership et leur engagement en: — adaptant et mettant en place toutes les composantes du cadre organisationnel; — diffusant une déclaration ou une politique qui énonce une approche, un plan ou une ligne de conduite en matière de management du risque; — s’assurant que les ressources nécessaires sont allouées au management du risque; — attribuant l’autorité et la responsabilité aux niveaux appropriés de l’organisme. Ceci aidera l’organisme à: — aligner le management du risque sur sa stratégie, ses objectifs et sa culture; — reconnaître et prendre en charge toutes les obligations ainsi que ses engagements volontaires; — établir le niveau et le type de risque pouvant ou non être pris, afin de servir de guide à la mise en place de critères de risque, en s’assurant qu’ils sont communiqués à l’organisme et à ses parties prenantes; — communiquer sur la valeur d’un management du risque pour l’organisme et ses parties prenantes; iTeh STANDARD PREVIEW — promouvoir un suivi systématique des risques; — (standards.iteh.ai) s’assurer que le cadre organisationnel de management du risque reste approprié au contexte de l’organisme. ISO 31000:2018 La direction est responsable du management du risque alors que les organes de surveillance sont https://standards.iteh.ai/catalog/standards/sist/aac269d2-3e9b-4fd1-b678- responsables de la supervision du 1df56c39129d/iso-31000-2018 management du risque. Les organes de surveillance sont souvent censés ou tenus de: — s’assurer que les risques sont pris en compte de manière adéquate lors de l’établissement des objectifs de l’organisme; — comprendre les risques auxquels l’organisme s’expose dans la poursuite de ses objectifs; — s’assurer que des systèmes permettant de gérer ces risques sont mis en œuvre et fonctionnent efficacement; — s’assurer que ces risques sont adaptés au contexte des objectifs de l’organisme; — s’assurer que les informations relatives à ces risques et à leur management sont communiquées de façon appropriée. 5.3 Intégration L’intégration du management du risque s’appuie sur la compréhension des structures et du contexte de l’organisme. Les structures diffèrent selon la finalité, les objectifs et la complexité de l’organisme. Le risque est géré dans chaque partie de la structure de l’organisme. Chacun au sein d’un organisme a une responsabilité en matière de management du risque. La gouvernance guide l’évolution de l’organisme, de ses relations externes et internes et des règles, processus et pratiques nécessaires pour atteindre sa finalité. Les structures de management traduisent l’orientation de la gouvernance en stratégie et objectifs associés requis pour atteindre les niveaux souhaités de performance durable et de viabilité à long terme. La détermination de la responsabilité du management du risque et des rôles de suivi au sein d’un organisme fait partie intégrante de la gouvernance de l’organisme. © ISO 2018 – Tous droits réservés 5