INTRODUCTION

Les organisations de tous types et de toutes tailles font face une gamme de risques qui peuvent affecter la
ralisation de leurs objectifs.

Ces objectifs peuvent concerner une gamme d'activits de l'organisation, de la stratgie des initiatives ses
oprations, processus et projets, et se reflte en termes de rsultats environnementaux, technologiques,
scuritaires, commerciaux, financiers, mesures conomiques, sociales, culturelles, politiques et de rputation.

Toutes les activits d'une organisation comportent des risques qui doivent tre grs. La gestion des risques
processus dcisionnel des aides en tenant compte de l'incertitude et de la possibilit des vnements ou
circonstances (intentionnels ou non) et leurs effets sur les objectifs convenus.

La gestion des risques comprend l'application de mthodes logiques et systmatiques

communiquer et consulter tout au long de ce processus;

tablir le contexte pour identifier, analyser, valuer, traiter les risques associs toute activit, processus,
fonction ou produit;

surveiller et examiner les risques;

rapporter et enregistrer les rsultats de manire approprie.

L'valuation des risques est la partie de la gestion des risques qui fournit un processus structur identifie
comment les objectifs peuvent tre affects et analyse le risque en termes de consquences et leurs
probabilits avant de dcider si un traitement supplmentaire est ncessaire.

L'valuation des risques tente de rpondre aux questions fondamentales suivantes:

Qu'est-ce qui peut arriver et pourquoi (par identification des risques)?

quelles sont les consquences?

Quelle est la probabilit de leur apparition future?

Y a-t-il des facteurs qui attnuent la consquence du risque ou qui rduisent probabilit du risque?

Le niveau de risque est-il tolrable ou acceptable et ncessite-t-il un traitement supplmentaire? Cette norme
vise reflter les bonnes pratiques actuelles dans la slection et l'utilisation de l'valuation des risques
techniques, et ne se rfre pas des concepts nouveaux ou en volution qui n'ont pas atteint niveau
satisfaisant de consensus professionnel.

Cette norme est de nature gnrale, de sorte qu'elle peut guider de nombreuses industries et types de
systme. Il peut y avoir des normes plus spcifiques dans ces industries qui tablissent des mthodologies et
des niveaux d'valuation prfrs pour des applications particulires. Si ces normes sont en harmonie avec
cette norme, les normes spcifiques seront gnralement suffisant.

GESTION DES RISQUES -

TECHNIQUES D'VALUATION DES RISQUES

1 porte

La prsente Norme internationale est une norme d'appui pour ISO 31000 et fournit des indications sur
slection et application de techniques systmatiques pour l'valuation des risques.

L'valuation des risques effectue conformment cette norme contribue d'autres risques activits de
gestion.

L'application d'une gamme de techniques est introduite, avec des rfrences spcifiques d'autres normes
internationales dans lesquelles le concept et l'application des techniques sont dcrits plus de dtails.

Cette norme n'est pas destine la certification, l'utilisation rglementaire ou contractuelle.

Cette norme ne fournit pas de critres spcifiques pour identifier le besoin d'analyse de risque, ni spcifie-t-il le
type de mthode d'analyse des risques requis pour une application particulire?

Cette norme ne se rfre pas toutes les techniques, et l'omission d'une technique de cette norme ne veut pas
dire que ce n'est pas valide. Le fait qu'une mthode soit applicable une circonstance particulire ne veut pas
dire que la mthode devrait ncessairement tre applique.

NOTE Cette norme ne traite pas spcifiquement de la scurit. C'est une norme gnrique de gestion des
risques et tout les rfrences la scurit sont purement informatives. Orientations sur l'introduction des
aspects de scurit dans la CEI

Les normes sont dfinies dans le Guide ISO / CEI 51.

2 rfrences normatives

Les documents rfrencs suivants sont indispensables pour l'application de ce document.

Pour les rfrences dates, seule l'dition cite applique. Pour les rfrences non dates, la dernire dition du
document de rfrence (y compris les modifications) s'applique.

Guide ISO / CEI 73, Gestion des risques - Vocabulaire - Lignes directrices pour utilisation dans les normes ISO /
FDIS 31000, Management des risques - Principes et lignes directrices.

3 Termes et dfinitions

Pour les besoins du prsent document, les termes et dfinitions du Guide ISO / CEI 73 s'appliquent.

4 Concepts d'valuation des risques

4.1 Objet et avantages

Le but de l'valuation des risques est de fournir des informations et des analyses factuelles

Pour prendre des dcisions claires sur la faon de traiter des risques particuliers et de choisir entre les
options.

Certains des principaux avantages de l'valuation des risques comprennent:

comprendre le risque et son impact potentiel sur les objectifs;

fournir des informations aux dcideurs;

 contribuer la comprhension des risques, afin d'aider la slection du traitement options

identifier les contributeurs importants aux risques et les maillons faibles dans les systmes et les
organisations;

comparer les risques dans d'autres systmes, technologies ou approches;

communiquer les risques et les incertitudes;

aider tablir des priorits;

contribuer la prvention des incidents en se basant sur l'enqute aprs incident;

slectionner diffrentes formes de traitement des risques;

rpondre aux exigences rglementaires;

fournir des informations qui aideront valuer si le risque doit tre accept lorsque par rapport des critres
prdfinis;

valuer les risques lis l'limination en fin de vie.

4.2 valuation des risques et cadre de gestion des risques

Cette norme suppose que l'valuation des risques est effectue dans le cadre et processus de gestion des
risques dcrit dans l'ISO 31000.

Un cadre de gestion des risques fournit les politiques, les procdures et les des dispositions qui intgreront la
gestion des risques dans l'ensemble de l'organisation tous les niveaux.

Dans le cadre de ce cadre, l'organisation devrait avoir une politique ou une stratgie pour dcider quand et
comment les risques devraient tre valus.

En particulier, ceux qui effectuent des valuations des risques doivent tre clairs sur :

le contexte et les objectifs de l'organisation,

l'tendue et le type de risques tolrables et les risques inacceptables traits,

comment l'valuation des risques s'intgre-t-elle dans les processus organisationnels,

mthodes et techniques utiliser pour l'valuation des risques et leur contribution au risque processus de
gestion,

responsabilit, responsabilit et autorit pour l'valuation des risques,

les ressources disponibles pour effectuer l'valuation des risques,

comment l'valuation des risques sera examine et rapporte.

4.3 valuation des risques et processus de gestion des risques

4.3.1 Gnral

L'valuation des risques comprend les lments centraux du processus de gestion des risques qui sont dfinis
dans l'ISO 31000 et contiennent les lments suivants:

communication et consultation;

tablir le contexte;
 valuation des risques (comprenant l'identification des risques, l'analyse des risques et l'valuation des
risques);

traitement du risque;

suivi et rvision.

L'valuation des risques n'est pas une activit autonome et devrait tre pleinement intgre dans les autres
composants dans le processus de gestion des risques.

4.3.2 Communication et consultation

Une valuation des risques russie dpend d'une communication et d'une consultation efficaces les parties
prenantes.

Impliquer les parties prenantes dans le processus de gestion des risques aidera :

laborer un plan de communication,

dfinir le contexte de manire approprie,

veiller ce que les intrts des parties prenantes soient compris et pris en compte,

runir diffrents domaines d'expertise pour identifier et analyser les risques,

veiller ce que les diffrents points de vue soient pris en compte de manire approprie dans l'valuation
des risques,

s'assurer que les risques sont correctement identifis,

obtenir l'approbation et le soutien pour un plan de traitement.

Les parties prenantes devraient contribuer l'interface du processus d'valuation des risques avec d'autres
disciplines de gestion, y compris la gestion du changement, la gestion de projets et de programmes, et aussi la
gestion financire.

4.3.3 tablir le contexte

L'tablissement du contexte dfinit les paramtres de base pour la gestion des risques et dfinit la porte et les
critres pour le reste du processus. L'tablissement du contexte inclut la prise en compte interne paramtres
externes pertinents pour l'organisation dans son ensemble, ainsi que le contexte les risques particuliers
valus.

En tablissant le contexte, les objectifs de l'valuation des risques, les critres de risque et L'valuation des
risques programme sont dtermins et accepts.

Pour une valuation des risques spcifique, l'tablissement du contexte devrait inclure la dfinition de contexte
externe, interne et de gestion des risques et classification des critres de risque:

a) L'tablissement du contexte externe implique une familiarisation avec l'environnement dans lequel
organisation et le systme fonctionne, y compris:

environnement culturel, politique, juridique, rglementaire, financier, conomique et concurrentiel les

facteurs, qu'ils soient internationaux, nationaux, rgionaux ou locaux;

les facteurs cls et les tendances ayant un impact sur les objectifs de l'organisation; et

les perceptions et les valeurs des parties prenantes externes.

b) L'tablissement du contexte interne implique la comprhension

les capacits de l'organisation en termes de ressources et de connaissances,

les flux d'information et les processus de dcision,

les parties prenantes internes,

les objectifs et les stratgies en place pour les atteindre,

les perceptions, les valeurs et la culture,

politiques et processus,

les normes et modles de rfrence adopts par l'organisation, et

les structures (par exemple la gouvernance, les rles et les responsabilits).

c) tablir le contexte du processus de gestion des risques comprend

dfinir les responsabilits et les responsabilits,

dfinir l'tendue des activits de gestion des risques raliser, y compris inclusions et exclusions spcifiques,

dfinir l'tendue du projet, processus, fonction ou activit en termes de temps et emplacement,

dfinir les relations entre un projet ou une activit en particulier et d'autres projets ou activits de
l'organisation,

dfinir les mthodologies d'valuation des risques,

dfinir les critres de risque,

dfinir comment valuer les performances de gestion des risques,

identifier et prciser les dcisions et les actions prendre, et

identifier les tudes de cadrage ou de cadrage ncessaires, leur tendue, leurs objectifs et ressources
ncessaires pour de telles tudes.

d) Dfinir les critres de risque implique de dcider

la nature et les types de consquences inclure et comment elles seront mesures,

la manire dont les probabilits doivent tre exprimes,

comment un niveau de risque sera dtermin,

les critres selon lesquels il sera dcid lorsqu'un risque a besoin d'un traitement,

les critres pour dcider quand un risque est acceptable et / ou tolrable,

Si et comment les combinaisons de risques seront prises en compte.

Les critres peuvent tre bass sur des sources telles que

des objectifs de processus dfinis,

les critres identifis dans les spcifications,

sources de donnes gnrales,

des critres gnralement accepts dans l'industrie tels que les niveaux d'intgrit de la scurit,

apptit pour le risque organisationnel,

 Exigences lgales et autres pour un quipement ou des applications spcifiques.

4.3.4 valuation des risques

L'valuation des risques est le processus global d'identification des risques, d'analyse des risques et
d'valuation des risques.

Les risques peuvent tre valus au niveau organisationnel, au niveau dpartemental, pour les projets,
activits individuelles ou des risques spcifiques. Diffrents outils et techniques peuvent tre appropris
contextes diffrents.

L'valuation des risques permet de comprendre les risques, leurs causes, leurs consquences et leurs
probabilits. Cela fournit une contribution aux dcisions concernant:

si une activit devrait tre entreprise;

comment maximiser les opportunits;

si les risques doivent tre traits;

choisir entre des options avec des risques diffrents;

hirarchiser les options de traitement des risques;

la slection la plus approprie des stratgies de traitement des risques qui entraneront des risques un niveau
tolrable.

4.3.5 Traitement du risque

Une fois l'valuation des risques termine, le traitement des risques implique la slection et l'acceptation des
options plus pertinentes pour modifier la probabilit d'occurrence, l'effet des risques, ou les deux, et mettre en
uvre ces options.

Ceci est suivi d'un processus cyclique de rvaluation du nouveau niveau de risque, en vue de dterminer sa
tolrabilit par rapport aux critres prcdemment fixs, afin de dcider si un traitement supplmentaire est
requis.

4.3.6 Surveillance et examen

Dans le cadre du processus de gestion des risques, les risques et les contrles doivent tre surveills et
examins sur une base rgulire pour vrifier que

les hypothses sur les risques restent valables;

les hypothses sur lesquelles repose l'valuation des risques, y compris les valuations externes et internes
contexte, rester valide;

les rsultats attendus sont atteints;

les rsultats de l'valuation des risques correspondent l'exprience relle;

les techniques d'valuation des risques sont correctement appliques;

les traitements risque sont efficaces.

La responsabilit de la surveillance et de l'excution des examens devrait tre tablie.

5 Processus d'valuation des risques

5.1 Aperu
L'valuation des risques fournit aux dcideurs et aux parties responsables une comprhension des risques
susceptibles d'affecter la ralisation des objectifs, et de l'adquation l'efficacit des contrles dj en place.
Cela fournit une base pour les dcisions les plus approche approprie utiliser pour traiter les risques. Le
rsultat de l'valuation des risques est une entre aux processus de prise de dcision de l'organisation.

L'valuation des risques est le processus global d'identification des risques, d'analyse des risques et
d'valuation des risques (voir la figure 1). La manire dont ce processus est appliqu dpend non seulement de
contexte du processus de gestion des risques mais aussi sur les mthodes et techniques utilises pour effectuer
l'valuation des risques.

Figure 1 - Contribution de l'valuation des risques au processus de gestion des risques

L'valuation des risques peut ncessiter une approche multidisciplinaire puisque les risques peuvent couvrir
une large gamme des causes et des consquences.

5.2 Identification des risques

L'identification des risques est le processus de recherche, de reconnaissance et d'enregistrement des risques.

Le but de l'identification des risques est d'identifier ce qui pourrait arriver ou quelles situations pourraient
existent qui pourraient affecter la ralisation des objectifs du systme ou de l'organisation. Une fois par Si le
risque est identifi, l'organisation doit identifier les contrles existants tels que la conception.

Caractristiques, personnes, processus et systmes.

Le processus d'identification des risques comprend l'identification des causes et de la source du risque dans le
contexte d'un prjudice physique), des vnements, des situations ou des circonstances impact matriel sur les
objectifs et la nature de cet impact.

Les mthodes d'identification des risques peuvent inclure:

des mthodes fondes sur des preuves, dont des exemples sont des listes de contrle et des analyses de Les
donnes;

des approches d'quipe systmatiques o une quipe d'experts suit un processus systmatique identifier les
risques au moyen d'un ensemble structur d'invites ou de questions;

techniques de raisonnement inductif telles que HAZOP.

Diverses techniques de soutien peuvent tre utilises pour amliorer l'exactitude et l'exhaustivit des risques
identification, y compris brainstorming, et mthodologie Delphi.

Indpendamment des techniques employes, il est important de reconnatre dment facteurs humains et
organisationnels lors de l'identification des risques. Par consquent, les dviations de l'homme et facteurs
organisationnels de l'attendu devraient tre inclus dans le processus d'identification des risques ainsi que des
vnements "matriel" ou "logiciel".
5.3 Analyse de risque

5.3.1 Gnralits

L'analyse des risques consiste dvelopper une comprhension du risque. Il fournit une contribution au risque
valuation et aux dcisions sur la ncessit de traiter les risques et sur les plus stratgies et mthodes de
traitement appropries.

L'analyse des risques consiste dterminer les consquences et leurs probabilits pour les risques, en tenant
compte de la prsence (ou non) et de l'efficacit de tout contrles. Les consquences et leurs probabilits sont
ensuite combines pour dterminer un niveau de risque.

L'analyse des risques implique la prise en compte des causes et des sources de risques, de leurs consquences
et la probabilit que ces consquences puissent se produire. Facteurs qui affectent les consquences et la
probabilit devrait tre identifie. Un vnement peut avoir de multiples consquences et peut affecter
plusieurs objectifs. Les contrles des risques existants et leur efficacit doivent tre pris en compte.

Diverses mthodes pour ces analyses sont dcrites l'annexe B. Plus d'une technique peut tre requis pour des
applications complexes.

L'analyse des risques comprend normalement une estimation de l'ventail des consquences potentielles peut
dcouler d'un vnement, d'une situation ou d'une circonstance, et de leurs probabilits afin de mesurer le
niveau de risque. Cependant, dans certains cas, tels que les consquences sont susceptibles d'tre
insignifiantes, ou la probabilit devrait tre extrmement faible, une estimation un seul paramtre peut tre
suffisante pour qu'une dcision soit prise.

Dans certaines circonstances, une consquence peut rsulter d'une srie d'vnements ou de conditions ou
lorsque l'vnement spcifique n'est pas identifi. Dans ce cas, l'accent du risque l'valuation porte sur
l'analyse de l'importance et de la vulnrabilit des composants du systme en vue de dfinir les traitements
relatifs aux niveaux de protection ou aux stratgies de rcupration.

Les mthodes utilises pour analyser les risques peuvent tre qualitatives, semi-quantitatives ou quantitatives.
Le le degr de dtail requis dpendra de l'application particulire, de la disponibilit de donnes et les besoins
de prise de dcision de l'organisation. Certaines mthodes et le degr du dtail de l'analyse peut tre prescrit
par la loi.

L'valuation qualitative dfinit la consquence, la probabilit et le niveau de risque par importance les niveaux
tels que lev, moyen et faible peuvent combiner la consquence et la probabilit, et value le niveau
de risque rsultant par rapport des critres qualitatifs.

Les mthodes semi-quantitatives utilisent des chelles d'valuation numriques pour la consquence et la
probabilit et combinez-les pour produire un niveau de risque en utilisant une formule. Les chelles peuvent
tre linaires ou logarithmiques, ou avoir une autre relation; Les formules utilises peuvent galement varier.

L'analyse quantitative estime les valeurs pratiques des consquences et de leurs probabilits, et produit des
valeurs du niveau de risque dans des units spcifiques dfinies lors du dveloppement du contexte. Plein
l'analyse quantitative n'est pas toujours possible ou souhaitable en raison d'informations insuffisantes sur le
systme ou l'activit analyse, le manque de donnes, l'influence de facteurs humains, etc.

Parce que l'effort d'analyse quantitative n'est pas justifi ou requis. Dans tel circonstances, un classement
comparatif semi-quantitatif ou qualitatif des risques par des spcialistes, bien informs dans leur domaine
respectif, peuvent encore tre efficaces.

Dans les cas o l'analyse est qualitative, il devrait y avoir une explication claire de tous les termes employs et
la base de tous les critres devrait tre enregistre.
Mme lorsque la quantification complte a t effectue, il faut reconnatre que les niveaux du risque calcul
sont des estimations. Il faut veiller ce qu'ils ne soient pas attribus niveau d'exactitude et de prcision
incompatible avec l'exactitude des donnes et des mthodes employes.

Les niveaux de risque doivent tre exprims dans les termes les plus appropris pour ce type de risque et dans
une forme qui aide l'valuation des risques. Dans certains cas, l'ampleur d'un risque peut tre exprime une
distribution de probabilit sur une gamme de consquences.

5.3.2 valuation des contrles

Le niveau de risque dpendra de l'adquation et de l'efficacit des contrles existants.

Les questions traiter comprennent:

quels sont les contrles existants pour un risque particulier?

Ces contrles sont-ils capables de traiter adquatement le risque afin qu'il soit contrl un niveau c'est
tolrable?

en pratique, les contrles fonctionnent-ils de la manire prvue et peuvent-ils tre dmontr pour tre
efficace au besoin?

Ces questions ne peuvent tre rsolues avec confiance s'il existe une documentation approprie et processus
d'assurance en place.

Le niveau d'efficacit d'un contrle particulier ou d'une srie de contrles connexes peut tre exprim
qualitativement, semi-quantitativement ou quantitativement. Dans la plupart des cas, un niveau lev de la
prcision n'est pas garantie. Cependant, il peut tre utile d'exprimer et d'enregistrer une mesure de l'efficacit
du contrle des risques afin que l'on puisse juger si l'effort est le mieux dpens en amliorant un contrle ou
en fournissant un traitement de risque diffrent.

5.3.3 Analyse des consquences

L'analyse des consquences dtermine la nature et le type d'impact qui pourrait se produire en supposant
qu'une situation ou circonstance particulire s'est produite. Un vnement peut avoir une gamme de impacts
de diffrentes grandeurs, et affecter une gamme d'objectifs diffrents et les diffrentes parties prenantes. Les
types de consquences analyser et les acteurs concerns seront dcids lorsque le contexte a t tabli.

L'analyse des consquences peut varier d'une simple description des rsultats une analyse quantitative
dtaille.

Modlisation ou analyse de vulnrabilit.

Les impacts peuvent avoir une faible consquence mais une probabilit leve, ou une consquence leve et
une faible probabilit, ou un rsultat intermdiaire. Dans certains cas, il convient de se concentrer sur les
risques avec des rsultats potentiellement trs importants, car ceux-ci sont souvent les plus proccupants pour
les gestionnaires. Dans d'autres cas, il peut tre important d'analyser sparment les risques de consquences
faibles et levs.

Par exemple, un problme frquent mais faible impact (ou chronique) peut avoir de effets long terme. En
outre, les actions de traitement pour faire face ces deux types distincts de les risques sont souvent trs
diffrents, il est donc utile de les analyser sparment.

L'analyse des consquences peut impliquer:

prendre en considration les contrles existants pour traiter les consquences, ainsi que les facteurs
contributifs pertinents qui ont un effet sur les consquences;

relier les consquences du risque aux objectifs initiaux;

 considrant la fois les consquences immdiates et celles qui peuvent survenir aprs un certain temps s'est
coul, si cela est conforme la porte de l'valuation;

en tenant compte des consquences secondaires, telles que celles qui ont une incidence sur les systmes
associs, activits, quipements ou organisations.

5.3.4 Analyse de vraisemblance et estimation de probabilit

Trois approches gnrales sont communment employes pour estimer la probabilit; ils peuvent tre utiliss
individuellement ou conjointement:

a) L'utilisation de donnes historiques pertinentes pour identifier les vnements ou les situations survenus le
pass et donc tre en mesure d'extrapoler la probabilit de leur apparition dans le futur.

Les donnes utilises doivent tre adaptes au type de systme, d'installation, d'organisation ou d'activit tre
pris en compte et galement aux normes oprationnelles de l'organisation concerne. Si historiquement, il y a
une trs faible frquence d'occurrence, puis une estimation de la probabilit sera trs incertaine. Ceci
s'applique particulirement aux occurrences nulles, quand on ne peut pas Supposer que l'vnement, la
situation ou les circonstances ne se produiront plus l'avenir.

b) Prvisions de probabilit l'aide de techniques prdictives telles que l'analyse d'arbre de dfaillance et
l'arbre des vnements analyse (voir l'annexe B). Lorsque les donnes historiques sont indisponibles ou
inadquates, ncessaire pour calculer la probabilit par analyse du systme, de l'activit, dorganisation et ses
tats d'chec ou de succs associs. Donnes numriques pour l'quipement, humains, organisations et
systmes issus de l'exprience oprationnelle, ou des donnes publies les sources sont ensuite combines
pour produire une estimation de la probabilit de l'vnement suprieur.

Lors de l'utilisation de techniques prdictives, il est important de veiller ce que fait dans l'analyse pour la
possibilit de dfaillances de mode commun impliquant la dfaillance concidente d'un certain nombre de
diffrentes parties ou composants dans le systme rsultant de la mme cause. Des techniques de simulation
peuvent tre ncessaires pour gnrer des probabilits de l'quipement et les dfaillances structurelles dues
au vieillissement et aux autres processus de dgradation, par calculer les effets des incertitudes.

c) L'opinion d'un expert peut tre utilise dans un processus systmatique et structur pour estimer la
probabilit.

Les jugements d'experts devraient s'appuyer sur toutes les informations pertinentes disponibles, y compris
spcifique au systme, spcifique l'organisation, exprimental, conception, etc. Il y a un certain nombre de
mthodes formelles permettant d'obtenir un avis d'expert qui aident la formulation de questions
appropries. Les mthodes disponibles incluent l'approche Delphi, jumele comparaisons, notation par
catgorie et jugements de probabilit absolue.

5.3.5 Analyse prliminaire

Les risques peuvent tre contrls afin d'identifier les risques les plus significatifs ou d'exclure risques
significatifs ou mineurs d'une analyse plus approfondie. Le but est de s'assurer que les ressources seront
concentres sur les risques les plus importants. Il faut veiller ne pas liminer les risques faibles se produisent
frquemment et ont un effet cumulatif important.

Le dpistage devrait tre bas sur des critres dfinis dans le contexte. L'analyse prliminaire dtermine un ou
plusieurs des moyens d'action suivants:

dcider de traiter les risques sans autre valuation;

mettre de ct des risques insignifiants qui ne justifient pas un traitement;

 procder une valuation plus dtaille des risques.

Les hypothses et les rsultats initiaux doivent tre documents.

5.3.6 Incertitudes et sensibilits

Il existe souvent des incertitudes considrables associes l'analyse des risques. Une la comprhension des
incertitudes est ncessaire pour interprter et communiquer les rsultats de l'analyse des risques
efficacement. L'analyse des incertitudes associes aux donnes, mthodes et modles utiliss pour identifier et
analyser les risques joue un rle important dans leur application. Analyse d'incertitude implique la
dtermination de la variation ou de l'imprcision des rsultats, rsultant de la variation collective des
paramtres et des hypothses utiliss pour dfinir les rsultats. Une zone troitement lie l'analyse de
l'incertitude est l'analyse de sensibilit.

L'analyse de sensibilit implique la dtermination de la taille et de l'importance de l'ampleur de risque de

modification des paramtres d'entre individuels. Il est utilis pour identifier les donnes qui doivent tre
prcis, et ceux qui sont moins sensibles et ont donc moins d'effet sur l'ensemble prcision.

L'exhaustivit et l'exactitude de l'analyse des risques doivent tre indiques aussi compltement que possible.

Les sources d'incertitude devraient tre identifies dans la mesure du possible et devraient traiter la fois
incertitudes de modle / mthode. Paramtres auxquels l'analyse est sensible et le degr de la sensibilit
devrait tre indique.

5.4 valuation des risques

L'valuation des risques consiste comparer les niveaux de risque estims avec les critres de risque dfinis
contexte a t tabli, afin de dterminer l'importance du niveau et du type de risque.

L'valuation des risques utilise la comprhension du risque obtenu lors de l'analyse des risques pour prendre
des dcisions sur les actions futures. Considrations thiques, juridiques, financires et autres, y compris les
perceptions de risque, sont galement des intrants la dcision.

Les dcisions peuvent inclure:

si un risque ncessite un traitement;

les priorits de traitement;

si une activit devrait tre entreprise;

lequel d'un certain nombre de chemins doit tre suivi.

La nature des dcisions qui doivent tre prises et les critres qui seront utiliss pour faire ces dcisions ont t
dcides lors de l'tablissement du contexte, mais ils doivent tre revus dans plus de dtails ce stade
maintenant que l'on en sait plus sur les risques particuliers identifis.

Le cadre le plus simple pour dfinir les critres de risque est un niveau unique qui divise les risques traitement
de ceux qui ne le font pas. Cela donne des rsultats attrayants mais ne reflte pas les incertitudes impliques
la fois dans l'estimation des risques et dans la dfinition de la frontire entre ceux qui besoin de traitement et
ceux qui ne le font pas.

La dcision de savoir si et comment traiter le risque peut dpendre des cots et des avantages de prendre le
risque et les cots et les avantages de la mise en uvre de contrles amliors.

Une approche commune consiste diviser les risques en trois bandes:

a) une bande suprieure o le niveau de risque est considr comme intolrable, ce qui profite aux l'activit
peut apporter, et le traitement des risques est essentiel quel que soit son cot;

b) une bande moyenne (ou zone grise) o les cots et les avantages sont pris en compte et les opportunits
sont quilibres par rapport aux consquences potentielles;

c) une bande infrieure o le niveau de risque est considr comme ngligeable, ou si faible qu'il n'y a pas de
risque des mesures de traitement sont ncessaires.

Le systme de critres aussi bas que raisonnablement praticable ou ALARP utilis dans les applications de
scurit suit cette approche, o, dans la bande du milieu, il existe une chelle mobile pour les risques faibles
o les cots et les avantages peuvent tre directement compars, tandis que pour les risques levs, le
potentiel de prjudice doit tre rduite, jusqu' ce que le cot d'une rduction supplmentaire soit
entirement disproportionn bnfice gagn.

5.5 Documentation

Le processus d'valuation des risques devrait tre document en mme temps que les rsultats de lvaluation.
Les risques doivent tre exprims de manire comprhensible et les units dans lesquelles le niveau de risque
est exprim devrait tre clair.

L'tendue du rapport dpendra des objectifs et de la porte de l'valuation. Sauf pour les valuations trs
simples, la documentation peut inclure:

objectifs et porte;

description des parties pertinentes du systme et de leurs fonctions;

un rsum du contexte externe et interne de l'organisation et de sa relation avec la situation, le systme ou

les circonstances valus;

les critres de risque appliqus et leur justification;

les limites, les hypothses et la justification des hypothses;

mthodologie d'valuation;

les rsultats d'identification des risques;

les donnes, hypothses et leurs sources et validation;

les rsultats de l'analyse des risques et leur valuation;

analyse de sensibilit et d'incertitude;

les hypothses critiques et d'autres facteurs qui doivent tre surveills;

discussion des rsultats;

Conclusions et Recommandations;

les rfrences.

Si l'valuation des risques soutient un processus continu de gestion des risques, il convient de ralise et
documente de manire pouvoir tre maintenue tout au long du cycle de vie du systme, de l'organisation,
de l'quipement ou de l'activit. L'valuation devrait tre mise jour de nouvelles informations significatives
deviennent disponibles et le contexte change, conformment aux besoins du processus de gestion.

5.6 Surveiller et examiner l'valuation des risques

Le processus d'valuation des risques mettra en vidence le contexte et d'autres facteurs susceptibles de varier
au fil du temps et qui pourrait modifier ou invalider l'valuation des risques. Ces facteurs devrait tre
spcifiquement identifi pour un suivi et un examen continus, afin que le risque l'valuation peut tre mise
jour si ncessaire.

Les donnes surveiller afin d'affiner l'valuation des risques devraient galement tre identifies et collect.

L'efficacit des contrles devrait galement tre surveille et documente afin de fournir donnes utiliser
dans l'analyse des risques. Responsabilits pour la cration et l'examen des preuves et la documentation
devrait tre dfinie.

5.7 Application de l'valuation des risques pendant les phases du cycle de vie

De nombreuses activits, projets et produits peuvent tre considrs comme ayant un cycle de vie partir de
concept initial et dfinition jusqu' la ralisation finale, ce qui pourrait inclure dclassement et limination du
matriel.

L'valuation des risques peut tre applique toutes les tapes du cycle de vie et est gnralement applique
fois avec diffrents niveaux de dtail pour aider dans les dcisions qui doivent tre prises chaque phase.

Les phases du cycle de vie ont des exigences diffrentes et ncessitent des techniques diffrentes.

pendant la phase de concept et de dfinition, lorsqu'une opportunit est identifie, valuation des risques
peut tre utilis pour dcider de poursuivre ou non.

Lorsque plusieurs options sont disponibles, l'valuation des risques peut tre utilise pour valuer concepts
pour aider dcider qui offre le meilleur quilibre entre les risques positifs et ngatifs.

Pendant la phase de conception et de dveloppement, l'valuation des risques contribue

s'assurer que les risques du systme sont tolrables,

le processus d'affinement de la conception,

des tudes de rentabilit,

identifier les risques ayant une incidence sur les phases subsquentes du cycle de vie.

Au fil de l'activit, l'valuation des risques peut tre utilise pour fournir des informations laborer des
procdures pour les conditions normales et d'urgence.

6 Slection des techniques d'valuation des risques

6.1 Gnral

Cette clause dcrit comment les techniques d'valuation des risques peuvent tre slectionnes. La liste des
annexes et expliquer plus loin une gamme d'outils et de techniques qui peuvent tre utiliss pour effectuer un
risque valuation ou pour aider au processus d'valuation des risques. Il peut parfois tre ncessaire de
employer plus d'une mthode d'valuation.

6.2 Slection des techniques

L'valuation des risques peut tre entreprise diffrents degrs de profondeur et de dtail et en utilisant un ou
plusieurs de nombreuses mthodes allant du simple au complexe. La forme d'valuation et sa production
devraient tre cohrent avec les critres de risque dvelopps dans le cadre de l'tablissement du contexte.

Annexe A illustre la relation conceptuelle entre les grandes catgories d'valuation des risques techniques et
les facteurs prsents dans une situation de risque donne, et fournit des exemples illustratifs comment les
organisations peuvent slectionner les techniques d'valuation des risques appropries pour un situation.

En termes gnraux, les techniques appropries doivent prsenter les caractristiques suivantes:
 il devrait tre justifiable et appropri la situation ou l'organisation considre;

il devrait fournir des rsultats sous une forme qui amliore la comprhension de la nature du risque et
comment il peut tre trait;

il devrait pouvoir tre utilis de manire traable, reproductible et vrifiable.

Les raisons du choix des techniques devraient tre donnes, en ce qui concerne la pertinence et pertinence. En
intgrant les rsultats de diffrentes tudes, les techniques utilises et les rsultats devraient tre
comparables.

Une fois la dcision prise d'effectuer une valuation des risques et les objectifs et la porte ont t dfinies, les
techniques doivent tre slectionnes en fonction de facteurs applicables tels que:

les objectifs de l'tude. Les objectifs de l'valuation des risques auront un lien direct portant sur les
techniques utilises. Par exemple, si une tude comparative entre diffrents des options sont en cours, il peut
tre acceptable d'utiliser des consquences moins dtailles modles pour les parties du systme non
affectes par la diffrence;

les besoins des dcideurs. Dans certains cas, un niveau de dtail lev est ncessaire bonne dcision, dans
d'autres une comprhension plus gnrale est suffisante;

le type et la gamme des risques analyss;

l'ampleur potentielle des consquences. La dcision sur la profondeur laquelle le risque L'valuation doit
reflter la perception initiale des consquences (bien que cela devra peut-tre tre modifi une fois
l'valuation prliminaire termine);

le degr d'expertise, les ressources humaines et autres ncessaires. Une mthode simple, bien faite, peut
fournir de meilleurs rsultats qu'une procdure plus sophistique mal faite, aussi longtemps rpond aux
objectifs et la porte de l'valuation. Ordinairement, l'effort mis dans le l'valuation devrait tre compatible
avec le niveau de risque potentiel analys;

la disponibilit des informations et des donnes. Certaines techniques ncessitent plus d'informations et
donnes que d'autres;

ncessit de modifier / mettre jour l'valuation des risques. L'valuation peut devoir tre modifi / mis
jour l'avenir et certaines techniques sont plus modifiables que d'autres.

Ceci concerne;

les exigences rglementaires et contractuelles.

Divers facteurs influencent le choix d'une approche de l'valuation des risques, tels que la disponibilit des
ressources, la nature et le degr d'incertitude des donnes et des informations disponible et la complexit de
l'application (voir le tableau A.2).

6.3 Disponibilit des ressources

Les ressources et capacits susceptibles d'influer sur le choix des techniques d'valuation des risques
comprennent:

les comptences, l'exprience, la capacit et la capacit de l'quipe d'valuation des risques;

les contraintes de temps et d'autres ressources au sein de l'organisation;

le budget disponible si des ressources externes sont requises.

6.4 La nature et le degr d'incertitude

La nature et le degr d'incertitude exigent une comprhension de la qualit, de la quantit et l'intgrit des
informations disponibles concernant le risque considr. Cela inclut le dans quelle mesure des informations
suffisantes sur le risque, ses sources et ses causes, les consquences sur la ralisation des objectifs sont
disponibles. L'incertitude peut provenir de pauvres la qualit des donnes ou le manque de donnes
essentielles et fiables. Pour illustrer, les mthodes de collecte de donnes peut changer, la faon dont les
organisations utilisent ces mthodes peut changer ou lorganisation ne peut pas de mthode efficace de
collecte en place, pour la collecte de donnes sur les risque.

L'incertitude peut galement tre inhrente au contexte externe et interne de l'organisation.

Les donnes disponibles ne fournissent pas toujours une base fiable pour la prdiction du futur. Pour types
uniques de risques, les donnes historiques peuvent ne pas tre disponibles ou il peut y avoir diffrentes
interprtations des donnes disponibles par diffrentes parties prenantes. Ceux qui entreprennent 'valuation
des risques besoin de comprendre le type et la nature de l'incertitude et d'apprcier les implications pour la
fiabilit des rsultats de l'valuation des risques. Ceux-ci devraient toujours tre communiqus les dcideurs.

6.5 Complexit

Les risques peuvent tre complexes en eux-mmes, comme, par exemple, dans les systmes complexes qui
doivent avoir leurs risques valus travers le systme plutt que de traiter chaque composant sparment et
ignorer les interactions. Dans d'autres cas, traiter un seul risque peut avoir des consquences ailleurs et peut
avoir un impact sur d'autres activits. Les impacts et les dpendances du risque doivent tre compris pour
assurer que dans la gestion d'un risque, une situation intolrable n'est pas cre autre part. Comprendre la
complexit d'un risque unique ou d'un portefeuille de risques dune lorganisation est cruciale pour la slection
de la mthode ou des techniques appropries pour le risque valuation.

6.6 Application de l'valuation des risques pendant les phases du cycle de vie

De nombreuses activits, projets et produits peuvent tre considrs comme ayant un cycle de vie partir de
concept initial et dfinition jusqu' la ralisation finale, ce qui pourrait inclure dclassement et limination du
matriel.

L'valuation des risques peut tre applique toutes les tapes du cycle de vie et est gnralement applique
fois avec diffrents niveaux de dtail pour aider dans les dcisions qui doivent tre prises chaque phase.

Les phases du cycle de vie ont des besoins diffrents et ncessitent des techniques diffrentes.

La phase de concept et de dfinition, lorsqu'une opportunit est identifie, l'valuation des risques peut tre
utilis pour dcider de poursuivre ou non.

Lorsque plusieurs options sont disponibles, l'valuation des risques peut tre utilise pour valuer concepts
pour aider dcider qui offre le meilleur quilibre des risques.

Pendant la phase de conception et de dveloppement, l'valuation des risques contribue

s'assurer que les risques du systme sont tolrables,

le processus d'affinement de la conception,

des tudes de rentabilit,

identifier les risques ayant une incidence sur les phases subsquentes du cycle de vie.

Au fil de l'activit, l'valuation des risques peut tre utilise pour fournir des informations afin laborer des
procdures pour les conditions normales et d'urgence.

6.7 Types de techniques d'valuation des risques

Les techniques d'valuation des risques peuvent tre classes de diffrentes faons pour aider comprendre
leurs forces et faiblesses relatives. Les tableaux de l'annexe A tablissent une corrlation entre techniques et
leurs catgories des fins d'illustration.
Chacune de ces techniques est dveloppe l'annexe B en ce qui concerne la nature des l'valuation qu'ils
fournissent et des conseils sur leur applicabilit dans certaines situations.