NORME ISO

INTERNATIONALE 31000

Deuxième édition
2018-02

Management du risque - Ligne

directrices
Risk management - Guidelines

Numéro de reference
ISO 31000:2018 (F)

© ISO 2018
ISO 31000 :2018 (F)

DOCUMENT PROTEGE PAR COPYRIGHT

© ISO 2018

T d i e . Sa f e c i i diff e e ce ai e da le c e e de a i e e e, a c e a ie de ce e publication
ne peut etre reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la
photocopie, ou la diffusion sur intranet ou sur un intranet, sans autorisation écrite préalable, une autorisation peut être demandée à
l ISO l ad e e ci-a a c i e b e de l ISO da le a d de a de

ISO copyright office

Case poste 401● Ch. De Blandonnet 8
CH-1214 Vernier ; Genera
Tél : + 41 22 749 01 11
Fax :+ 41 22 749 09 47
E-mail : copyright@iso.org
Web : www.iso.org

Publié en Suisse
2
© ISO 2018 Tous droits réservés
ISO 31000 :2018 (F)

Sommaire Page

Introduction

1. D ai e d a lica i n ..6
2. Références normatives ..6
3. Termes et définitions .6
4. Principes .7
5. Cadre organisationnel ...8
5.1 Généralités .8
5.2 Leadership et engagement .9
5.3 Intégration ..9
5.4 Conception ...10
5.4.1 C he i de l ga i e e de c e e .10
5.4.2 D fi i clai e e l e gage e e a i e de a age e d i que ..10
5.4.3 Attribution des rôles, i e e abili a ei de l ga i e 11
5.4.4 Affectation des ressources ...11
5.4.5 E abli e e d e c ica i e d e c ce a i 11
5.5 Mi e e e .12
5.6 Evaluation ...12
5.7 Amélioration ...12
5.7.1 Adaptation ...12
5.7.2 Amélioration continue .12
6. Processus ...13
6.1 Généralités ...13
6.2 Communication et consultation ...13
6.3 P i e d a lica i , c e e e c i e ...14
6.3.1 Généralités ...14
6.3.2 D fi i i d d ai e d a lica ion ...14
6.3.3 Contexte interne et externe ..14
6.3.4 Définition des critères de risque ..15
6.4 Appréciation du risque 15
6.4.1 Généralités ...15
6.4.2 Identification du risque 15
6.4.3 Analyse du risque 16
6.4.4 Evaluation du risque 17
6.5 Traitement du risque 17
6.5.1Généralités ...17
6.5.2 Sélection des options de traitement du risque 17
6.5.3 Elab a i e i e e e de la de ai e e d i e ...18
6.6 Suivi et revue ..19
6.7 Enregistrement et élaboration de rapports ..19

Bibliographie ...19

3
© ISO 2018 Tous droits réservés
ISO 31000 :2018 (F)

Avant-propos

L ISO (O ga i a i i e a i a e de ai ai ) e ef d ai dia e d ga i e a i a de
a i a i (c i e b e de ISO). L ab a i de N e i e a i ae e e g a c fi e
a c i ech i e de ISO. Cha e c i e bei e a e de a e d i de fai e a ie d
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
g e e e a e , e iai a ec ISO a ici e ga e e a a a . L ISO c ab e i e e a ec
la Commission électrotechnique internationale (IEC) en ce qui concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites
dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents critères
d approbation requis pour les différents types de documents ISO. Le présent document a été rédigé
conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives).
La e i e a i e e fai e ce ai de e d e d c e e e fai e bje de d i
de i i e ec e e de d i a a g e . L ISO e a ai e e e e ab e de e a
avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant les références aux
d i de i i e ec e e a e d i a a g e ide ifi de ab a i d d c e
i di da I d ci e/ da a i e de d c a a i de b e e e e a ISO
(voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
i f ai , a ci de c di , i e i de ii a e e e a aie c i e e gage e .
Pour une explication de la nature volontaire des normes, la signification des termes et expressions spécifiques
de ISO i a a i de a c f i , ei f ai a je de adh i de ISO a
i ci e de O ga i a i dia e d c e ce (OMC) c ce a e b ac e ech i e a c e ce
(OTC), voir le lien suivant : www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 262, Management du risque.
Cette deuxième édition annule et remplace la première édition (ISO 31000:2009), i a fai bje d e
révision technique.
Le i ci a e difica i a a di i c de e e suivantes :

revue des principes de management du risque, qui sont les critères clés de sa réussite ;

i e e e e g e d eade hi de a di ec i e de i gai d a age e d i e, e c e a

par la gouvernance de ga i e ;

importance accrue accordée à la nature itérative du management du risque, en notant que de nouvelles
expériences, connaissances et analyses peuvent conduire à une révision des éléments, actions et moyens de
maîtrise du processus à chacune de ses étapes ;

simplification du contenu en se concentrant davantage e ai ie d d e de e e

ada e de i e be i e c e e .

4
© ISO 2018 Tous droits réservés
ISO 31000 :2018 (F)

Introduction

Le e d c e ad e e a e e i, a ei de ga i e , c e de a a e e a
préservent par le management du i e, a i e de d ci i , a d fi i i e a ei e d bjec if e
a i a i de a e f a ce.
Les organismes de tous types et de toutes tailles sont confrontés à des facteurs et des influences internes et
e e e i e de a ei e de eurs objectifs incertaine.
Le management du risque est une activité itérative qui aide les organismes à développer une stratégie,
atteindre des objectifs et prendre des décisions éclairées.
Le management du risque fait partie intégrante de la gouvernance et du leadership et a une importance
f da e a e da a fa d ga i e e g e i ea . I c ib e a i ai de
systèmes de management.
Le a age e d i ee i g e e ac i i d ga i ee i c i eraction avec les parties
prenantes.
Le a age e d i e e de c id a i ec e e i e e e e e e de ga i e, c i e
comportement humain et les facteurs culturels.
Le management du risque est fondé sur les principes, le cadre organisationnel et le processus décrits dans le
e d c e , e i a Figure 1. Ces éléments peuvent déjà exister, en totalité ou en partie, au
sein de rganisme ; toutefois, ils peuvent nécessiter une adaptation ou une amélioration afin que le
management du risque soit efficient, efficace et cohérent.
Figure 1 Principes, cadre organisationnel et processus

5
© ISO 2018 Tous droits réservés
ISO 31000 :2018 (F)

1 Domaine d application

Le présent document fournit des lignes directrices concernant le management du risque auquel sont
c f e ga i e . L a ica i de ce ig e di ec ice e e ada e ga i e e
contexte.
Le présent document fournit une approche génériq e e e a de g e ef e de i ee e a
spécifique à une industrie ou un secteur.
Le e d c e e e ii a g de a ie de ga i ee e ea i e ac i i ,
y compris la prise de décisions à tous les niveaux.

2 Références normatives

Le présent document ne contient aucune référence normative.

3 Termes et définitions

P e be i d e d c e , e e e e d fi i i i a a i e .
L ISO e IEC ie e j de ba e de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes :

ISO Online browsing platform : di ib e ad e e https://www.iso.org/obp

IEC Electropedia: di ib e ad e e https://www.electropedia.org/

3.1 Risque : effe de i ce i de e bjec if

N e1 a ic e : Un effet est un écart par rapport à un attendu. Il peut être positif, négatif ou les deux à la
fois, et traiter, créer ou entraîner des opportunités et des menaces.
N e2 a ic e : Les objectifs peuvent avoir différents aspects, être de catégories différentes, et peuvent
concerner différents niveaux.
Note 3 à l a ic e: Un risque est généralement exprimé en termes de sources de
risque (3.4), événements (3.5) potentiels avec leurs conséquences (3.6) et leur vraisemblance (3.7).

3.2 Management du risque : activités coordonnées dans le but de diriger et piloter un organisme vis-
à-vis du risque (3.1)

3.3 Partie prenante : e e ga i e ce ib e d affec e , d e affec de e e i affec

par une décision ou une activité
N e1 a ic e : Le terme « partie intéressée » peut être utilisé comme alternative à « partie prenante ».

3.4 Source de risque : e i, e c bi da e , e ce ib e d e ge d e

un risque (3.1)

3.5 Evénement : Occurrence cha ge e d e e b e a ic ie de ci c a ce

Note 1 à a ic e : Un événement peut être unique ou se reproduire et peut avoir plusieurs causes et
plusieurs conséquences (3.6).
Note 2 à a ic e : Un événement peut être quelque chose qui est attendu, mais qui ne se produit pas, ou
e e ch e a e e a e d a , ai qui se produit.
Note 3 à a ic e : Un événement peut être une source de risque.

3.6 Conséquence Effet d événement (3.5) affectant les objectifs

Note 1 à a ic e : Une conséquence peut être certaine ou incertaine et peut avoir des effets positifs ou négatifs,
directs ou i di ec , a ei e de bjec if .
Note 2 à a ic e : Les conséquences peuvent être exprimées de façon qualitative ou quantitative.
Note 3 à a ic e : Toute conséquence peut déclencher des effets en cascade et cumulatifs.

6
© ISO 2018 Tous droits réservés
ISO 31000 :2018 (F)

3.7 Vraisemblances Possibilité que quelque chose se produise

N e1 a ic e: Dans la terminologie du management du risque (3.2), le mot «vraisemblance» est utilisé
pour indiquer la possibilité que quelque chose se produise, que cette possibilité soit définie, mesurée ou
d e i e de fa bjec i e bjec i e, a i a i e a i a i e, e e e i d cie a e de
termes généraux ou mathématiques (telles une probabilité ou une fréquence sur une période donnée).
Note 2 à a ic e : Le e e a g ai i e ih d ( ai e b a ce) a a d i a e di ec da ce ai e
a g e e ce e i ae d e e babi i ( babi i ) i e i i à la place. En anglais,
cependant, le terme «probability» (probabilité) est souvent limité à son interprétation mathématique. Par
conséquent, dans la terminologie du management du risque, le terme « vraisemblance » est utilisé avec
i e i i fa e bje d e i e ai a i a ge e ce e d b ficie e e e babi i
( babi i ) da de be e a g e a e e a g ai .

3.8 Moyen de maîtrise : Action qui maintient et/ou modifie un risque (3.1)
Note 1 à a ic e : U e de a i e d i ei c , a ef i i ie, i e e ce ,
politique, dispositif, pratique ou autres conditions et/ou actions qui maintiennent et/ou modifient un risque.
Note 2 à a ic e : U e de a i e d i e ab i a j ce ai e e a difica i
voulue ou supposée.

4 Principes
La finalité du management du risque est la création et la préservation de la valeur. Il améliore la performance,
fa i e i ai e c ib e a ei e de bjec if .
Les principes rappelés à la Figure 2 fo i e e g a d a e e a if a ca ac i i e d a age e
du risque efficace et efficient, en communiquant sa valeur et en expliquant son intention et sa finalité. Les
principes sont le fondement du management du risque et il convient de les prendre en considération lors de
ab i e e d cad e ga i a i e e de ce de a age e d i e de ga i e. I
c ie e ce i ci e e e e ga i e de g e e effe de i ce i de e bjec if .
Figure 2 Principes

Un management du risque efficace nécessite les éléments de la Figure 2 et peut être expliqué plus en détail
comme suit :

a) Intégré le a age e d i ee i g e e ac i i de ga i e.

b) Structuré et global Une approche structurée et globale du management du risque contribue à la cohérence
de résultats qui peuvent être comparés.

7
© ISO 2018 Tous droits réservés
ISO 31000 :2018 (F)

c) Adapté le cadre organisationnel et le processus de management du risque sont adaptés et proportionnés

a c e e e e e e i e e de ga i e a i bie e bjec if .

d) Inclusif l i ica i a i ee a e de a ie e a e e e de e d e e compte

leurs connaissances, leurs opinions et leur perception. Ceci conduit à un management du risque mieux éclairé
et plus pertinent.

e) Dynamique des risques peuvent surgir, être modifiés ou disparaître lorsque le contexte externe et interne
d ga i me change. Le management du risque anticipe, détecte, reconnaît et réagit à ces changements
et événements en temps voulu et de manière appropriée.

f) Meilleure information disponible le d e de e d a age e d i e f d e de

informations historiques et actuelles ainsi que sur les attentes futures. Le management du risque tient compte
explicitement de toutes limites et incertitudes associées à ces informations et attentes. Il convient que les
informations soient disponibles à temps, claires et accessibles aux parties prenantes pertinentes.

g) Facteurs humains et culturels le comportement humain et la culture influent de manière significative sur
tous les aspects du management du risque à chaque niveau et à chaque étape.

h) Amélioration continue le a age e d i ee a i e c i a a e i age e e ie ce.

5 Cadre organisationnel

5.1 Généralités

La fi a i d cad e ga i a i e de a age e d i e e d aide ga i e i ge e

a age e d i e da e ac i i e e f ci ig ifica i e . L efficaci d a age e d i e
a d e d e de i g a i da ag e a ce de ga i e, c i a i e de d ci i . Ce a
nécessite un soutien et une implication des parties prenantes, en particulier de la direction.
Le d e e e d cad e ga i a i e e g be i g a i , a c ce i , a i ee e, a ai
e a i ai d a age e d i e a ei de ga i e. La Figure 3 i e e c a e d
cadre organisationnel.
Figure 3 Cadre organisationnel

I c ie e ga i e a e e ai e e ce e i a de a age e d risque, identifie

les lacunes et les comble avec le cadre organisationnel.
I c ie e e c a e d cad e ga i a i e e a a i ed e e a ic e ie ada e
a be i de ga i e.

8
© ISO 2018 Tous droits réservés
ISO 31000 :2018 (F)

5.2 Leadership et engagement

Il convie e a di ec i e e ga e de ei a ce, e ca ch a , a e e e a age e d

i ee i g da e e ac i i de ga i e e d e e eade hi e e e gage e
en :

adaptant et mettant en place toutes les composantes du cadre organisationnel ;

diffusant une déclaration ou une politique qui énonce une approche, un plan ou une ligne de conduite en
matière de management du risque ;

a a e e e ce ce ai e a e a a age e d i e;

a ib a a i e a e abi i a i ea a i de ga i e.

Ceci aide a ga i eà:

aligner le management du risque sur sa stratégie, ses objectifs et sa culture ;

reconnaître et prendre en charge toutes les obligations ainsi que ses engagements volontaires ;

établir le niveau et le type de risque pouvant ou non être pris, afin de servir de guide à la mise en place de
critères de risque, en s a a i c i ga i e e e a ie prenantes ;

c i e a ae d a age e d i e ga i ee e a ie prenantes ;

promouvoir un suivi systématique des risques ;

a e e e cad e ga i ationnel de management du risque reste approprié au contexte de

ga i e.

La direction est responsable du management du risque alors que les organes de surveillance sont
responsables de la supervision du management du risque. Les organes de surveillance sont souvent censés
ou tenus de :

a e e e i e i e c e de a i e ad ae de ab i e e de bjec if de
ga i e;

c e de e i e a e ga i e e e da a i e de e objectifs ;

a e e de e e e a de g e ce i e i e e e f ci e
efficacement ;

a e e ce i e ada a c e e de bjec if de ga i e;

a e e e i f ai ea i e ce i e e e anagement sont communiquées de façon

appropriée.

5.3 Intégration

Li gai d a age e d i e a ie a c he i de c e e d c e e de
ga i e. Le c e diff e e a fi a i , e bjec if e a c e i de ga i e. Le i e
e g da cha e a ie de a c e de ga i e. Chac a ei d ga i e a e
responsabilité en matière de management du risque.
La g e a ce g ide i de ga i e, de e ea i e e e e i e nes et des règles, processus
e ai e ce ai e a ei d e a fi a i . Le c e de a age e ad i e ie a i de
9
© ISO 2018 Tous droits réservés
ISO 31000 :2018 (F)

la gouvernance en stratégie et objectifs associés requis pour atteindre les niveaux souhaités de performance
durable et de viabilité à long terme. La détermination de la responsabilité du management du risque et des
e de i i a ei d ga i e fai a ie i g a e de a g e a ce de ga i e.
Li g ai d a age e d i e da ga i e e ce d a i e e i a if, i
c ie d ada e a be i e ac e de ga i e. I c ie e e a age e d i e fa e
a ie, e e i a a , de a fi a i , de a g e a ce, d eade hi e de e gagement, de la stratégie,
de bjec if e de ai de ga i e.

5.4 Conception

5.4.1 Compréhension de l organisme et de son contexte

Lors de la conception du cadre organisationnel de management du risque, il convient que ga i ea a e

et comprenne son contexte externe et interne.
La a ed c e ee e ed ga i e e c e d e, e e autres :
les facteurs sociaux, culturels, politiques, légaux, réglementaires, financiers, technologiques, économiques
et environnementaux, au niveau international, national, régional ou local ;

les moteurs et tendances clés ayant une incidence sur les objectifs de ga i e;

les relations avec les parties prenantes externes, leurs perceptions, leurs valeurs, leurs besoins et leurs
attentes ;

les relations contractuelles et les engagements ;

la complexité des réseaux et des dépendances.

La a ed c e ei e ed ga i e e c e d e, e e autres :
la vision, la mission et les valeurs ;

la gouverna ce, ga i a i , e e e e responsabilités ;

la stratégie, les objectifs et les politiques ;

la culture de ga i e;

les normes, les lignes directrices et les modèles adoptés par ga i e;

les capacités, en termes de ressources et de connaissances (par exemple capital, temps, personnel,
propriété intellectuelle, processus, systèmes et technologies) ;

les donnée , e e di f ai e a ci c a i de i f ai ;

les relations avec les parties prenantes internes, en tenant compte de leurs perceptions et de leurs valeurs

les relations contractuelles et les engagements ;

les interdépendances et les interconnexions.

5.4.2 Définir clairement l engagement en matière de management du risque

Il convient que la direction et les organes de surveillance, le cas échéant, démontrent et définissent clairement
leur engagement permanent en matière de manage e d i e a e biai d e i i e, d e
d ca a i da e f e e e a de c i e c ai e e e bjec if e e gage e de

10
© ISO 2018 Tous droits réservés
ISO 31000 :2018 (F)

ga i e e a i e de a age e d i e. I c ie e ce e gage e c e e, a ef is
limiter :

e b de ga i ee a i e de a age e d i ee e ie a ec e bjec if e e a e
politiques ;

e a e de a ce i di ge e a age e d i e ac e g ba e de ga i e;

e i age de i g a i d a age e d i e da e i ci a e ac i i de ga i e e da
la prise de décisions ;

les pouvoirs et les responsabilités ;

la mise à disposition des ressources nécessaires ;

la manière de traiter des objectifs contradictoires ;

a ai e ec e e d da e cad e de i dica e de e f a ce de ga i e;

a e ee a i ai .

Il c ie e e gage e e a i e de a age e d i e i c i a ei de ga i e
et aux parties prenantes, le cas échéant.

5.4.3 Attribution des rôles, pouvoirs et responsabilités au sein de l organisme

Il convient que la direction et e ga e de ei a ce, e ca ch a , a e e e i e

responsabilités pour les rôles pertinents en matière de management du risque sont attribués et communiqués
e i ea de ga i e, et :

soulignent que le management du risque est une responsabilité fondamentale ;

identifient les personnes ayant la responsabilité du risque et le pouvoir pour le gérer (propriétaires
du risque).

5.4.4 Affectation des ressources

Il convient que la direction et les organes de surveillance, e ca ch a , a e affec a i de e ce

ce ai e a a age e d i e, ce de i e a c e d e, a ef i limiter :

e e e , e a i de , e ie ce e e compétences ;

les processus, méthodes et outi de ga i e e a a a age e d risque ;

les processus et procédures documentés ;

les systèmes de gestion des informations et des connaissances ;

les besoins en perfectionnement et formation professionnels.

Il convient que ga i e e ee c e e ca aci e e c ai e de e ce e i a e .

5.4.5 Établissement d une communication et d une concertation

I c ie e ga i e ab i e e h de de c ica i e de c ai a e afi de
e i e cad e ga i a i e e de faci i e a ica i efficace d a age e d i e. La
communication implique de partager des informations avec des publics ciblés. La consultation implique

11
© ISO 2018 Tous droits réservés
ISO 31000 :2018 (F)

ga e e e di f a i de a ici a da e i i c ib e a d ci i da e
activités et les oriente. Il convient que les méthodes et le contenu de la communication et de la consultation
reflètent les attentes des parties prenantes, le cas échéant.
Il convient que la communication et la consultation aient lieu en temps utile et permettent que les informations
e i e e ie c ec e , c id e , he i e e a ag e de a i e a i e, e
di f ai i fai e e de a i ai ie a es.

5.5 Mise en uvre

I c ie e ga i e e ee e e cad e ga i a i e de a age e d i ee :

élaborant un plan approprié comprenant un calendrier et des ressources ;

ide ifia , a de c e e diff e e de d ci i i e a ei de ga i e, e a

qui ;

modifiant les processus décisionnels applicables si nécessaire ;

a a e e di ii de ga i e e a i e de a age ent du risque sont clairement

c i e e i e e e.

Le cc de a i e e e d cad e ga i a i e e ie i ica i e a e ibi i a i de a ie

e a e . Ce a e e a ga i e de ai e e ici e e de i ce i de da a prise de décisions, tout
e a a e e i ce i de e e ie e i e e i e e c e e ea aa .
C e i e e de fa a i e, e cad e ga i a i e de a age e d i e ga a i a e
le processus de management du risque fait partie intégrante de toutes les activités à tous les niveaux de
ga i e, c i a i e de d ci i ,e e e cha ge e i e e a da e c e e e e e
et interne seront suivis de manière adéquate.

5.6 Évaluation

P a e efficaci d cad e ga i a i e de a age e d i e, i c ie e ga i e:

mesure périodiquement les performances du cadre organisationnel de management du risque par rapport
a fi a i , a a de i e e e, aux indicateurs et au comportement attendu ;

d e i e i de e e e i e aide a ei d e e bjec if de ga i e.

5.7 Amélioration

5.7.1 Adaptation

I c ie e ga i e ei e e c i e ada e e cad e organisationnel de management du risque

e f ci de cha ge e e e e e i e e . L ga i e e ai i a i e a ae .

5.7.2 Amélioration continue

I c ie e ga i e a i e e c i a e i e ce, ad ai e efficaci du cadre

organisationnel de management du risque et la façon dont le processus de management du risque est intégré.
L e de ac e de i da i ai ide ifi e , i c ie e ga i e ab e
des plans et définisse des che , e e a ib e a e ab e de e i ee e. U e f i i e e
e, i c ie e ce a i ai c ib e a e f ce e d a age e d i e.

12
© ISO 2018 Tous droits réservés
ISO 31000 :2018 (F)

6 Processus

6.1 Généralités

Le processus de management du risque i i e a ica i a i e de i i e , de c d e e

de a i e a ac i i de c ica i e de c a i , d ab i e e d c e e e d a cia i ,
de ai e e , de i i, de e e, d e egi e e e de c e e d d i que. Ce processus est illustré à
la Figure 4.
Figure 4 Processus

Il convient que le processus de management du risque fasse partie intégrante du management et de la prise
de d ci i e i i g a c e, a ai e a ce de ga i e. I e ea i
aux niveaux stratégique, opérationnel, programme ou projet.
Il peut y avoir de nombreuses applications du processus de management du ri ea ei d ga i e,
ada e a ei d e de bjec if e f c i d c e e e e e e i e e da e e e e a i e .
Il convient de prendre en compte la nature dynamique et variable du comportement humain et de la culture
tout au long du processus de management du risque.
Bien que le processus de management du risque soit souvent présenté comme un processus séquentiel, dans
la pratique, il est itératif.

6.2 Communication et consultation

La communication et la consultation ont pour b d aide e a ie e a e e i e e c e de e

risque, les principes de prise de décisions et les raisons pour lesquelles certaines actions sont nécessaires.
La communication vise à accroître la sensibilisation et la compréhension du risque, alors que la consultation
i i e be i d e e di f ai a e a i e de d ci i .U e i e c di a i
e e e de faci i e de cha ge d i f ai fac e , , e i e , ci e c he ib e
tout e e a e c e a c fide ia i e i g i de i f ai ai i e e d i a ie i e de
personnes.
Il convient que la communication et la consultation avec les parties prenantes internes et externes concernées
aient lieu à toutes les étapes du processus de management du risque.

13
© ISO 2018 Tous droits réservés
ISO 31000 :2018 (F)

La communication et la consultation visent à :

i diff e d ai e d e e i e cha e a ed ce de a age e d risque ;

a e e e diff e i de e i e c e de manière appropriée dans la définition des

ci e de i ee de a a i de risques ;

f i ffi a e di f ai faci i e a ei a ce d i ee a i e de décisions ;

faire naître un sentiment d i c i e de i a i ce affec a e i e.

6.3 Périmètre d application, contexte et critères

6.3.1 Généralités

L ab i e e d i e d a ica i , d c e e e de c i e a b d ada e e ce de
management du risque, en permettant une appréciation du risque efficace et un traitement du risque approprié.
Le i e d a ica i , e c e e e e c i e i i e de d fi i e i e d a ica i d
processus et de comprendre le contexte interne et externe.

6.3.2 Définition du domaine d application

I c ie e ga i e d fi i e e i e da ica i de e ac i i de a age e d i e.
Le processus de management du risque pouvant être appliqué à différents niveaux (par exemple au niveau
de a a gie, de ai ,d ga e, d je d a e ac i i ), i e i a d e ci
a a d ai e d a ica i c id , a bjec if e i e e dee c ee e a ig e e
sur les objec if de ga i e.
L de a a ifica i de a che, e e e dee c e comprennent :

les objectifs et les décisions à prendre ;

les résultats attendus des étapes du processus ;

e e , e ace e , e i c i e e c ions spécifiques ;

e i e ech i e a i da cia i d risque ;

les ressources nécessaires, les responsabilités et la documentation à établir ;

e eai a ec d a e je , ce e ac i i .

6.3.3 Contexte interne et externe

Le c e e i e e e e e e e e i e e da e e ga i e che che d fi i e a ei d e e
objectifs.
Il convient que le contexte du processus de management du risque soit établi à partir de la compréhension de
e i e e e e e e i e e da e e e ga i e e i ef e e i e e cifi e de
ac i i a e e e ce de a age e d i ed i ea i .
La compréhension du contexte est importante car :

le management du risque a lieu dans le contexte des objectifs et des activités de ga i e;

les facteurs organisationnels peuvent être une source de risque ;

14
© ISO 2018 Tous droits réservés
ISO 31000 :2018 (F)

a fi a i e e d ai e d a ica i d ce de a age e d i e e e ec a
bjec if de ganisme dans son ensemble.

I c ie e ga i e ab i e e c e e e e e e i e e d ce de a age e d i e
en tenant compte des facteurs mentionnés en 5.4.1.

6.3.4 Définition des critères de risque

I c ie e ga i e cifie e i ea e e e de i e a e i a ga i e, e
fonction de bjec if . I c ie ga e e i d fi i e de c i e e e a d a e i a ce d
i ee d a e e ce d ci i e .I c ie e e c i e de i e ie a ig e cad e
organisationnel de management du risque e ada a fi a i e a d ai e d a ica i cifi e de
ac i i c id e. I c ie e e c i e de i e ef e e a e , e bjec if e e e ce
de ga i e e ie c h e a ec e ii e e d ca ai en matière de management du risque. Il
c ie e e ci e ie d fi i e e a c e de b iga i de ga i e e de i i de
parties prenantes.
Bie i c ie e d ab i e c i e de i ea d b d ce da cia ion du risque, ces critères
d a i e e i c ie i ie e e e a e ce e difi i ce ai e.
Pour fixer les critères de risque, il convient de prendre en compte les éléments suivants :

a a ee e e d i ce i de a avoir une incidence sur les résultats et les objectifs (tangibles et

intangibles);

la façon dont les conséquences (positives et négatives) et la vraisemblance seront définies et mesurées ;

les facteurs liés au temps ;

a c h e ce da ii ai des mesures ;

la méthode de détermination du niveau de risque ;

la façon dont les combinaisons et séquences de plusieurs risques seront prises en compte ;

a ca aci de ga i e.

6.4 Appréciation du risque

6.4.1 Généralités

La cia i d i ee e ce g ba d ide ifica i ,da a ee d a ai d i e.

I c ie e a cia i d i e i e e de fa a i e, i a i e e c ab a i e, e
a a e c ai a ce e e i i de a ie e a e .I c ie d i i e e ei e e
informations disponibles, complétées si nécessaire par une enquête plus approfondie.

6.4.2 Identification du risque

L ide ifica i d i ea b de eche che , econnaître et décrire les risques qui peuvent aider ou
e che ga i e d a ei d e e bjec if . I e e e ie e e i f ai ii e
ide ifica i de i e ie e i e e ,a i e e j .
L ga i e e i i e n éventail de techniques pour identifier les incertitudes pouvant avoir une incidence
sur un ou plusieurs objectifs. Il convient de prendre en compte les facteurs suivants et leurs relations :

sources de risque tangibles et intangibles ;

causes et événements ;
15
© ISO 2018 Tous droits réservés
ISO 31000 :2018 (F)

menaces et opportunités ;

vulnérabilités et capacités ;

changements intervenus au niveau du contexte externe et interne ;

indicateurs de risques émergents ;

nature et valeur des actifs et des ressources ;

conséquences et leur impact sur les objectifs ;

limitations des connaissances et fiabilité des informations ;

facteurs liés au temps ;

biais, hypothèses et convictions des personnes impliquées.

Il c ie e ga i e ide ifie e i e , e e ce ie c e. I c ie
de e i c e d fai i e a i ie e de a a a i di e e c e ce
tangibles ou intangibles.

6.4.3 Analyse du risque

La a ed i ea b de c e de a a ed i e e e ca ac i i e , c i e i ea
de i e, e ca ch a . L a a e d i e i i e a i e e c e d ai e de i ce i de , de
sources de risque, des conséquences, de la vraisemblance, des événements, des scénarios, des moyens de
maîtrise et de leur efficacité. Un événement peut avoir des causes et conséquences multiples et affecter des
objectifs multiples.
La a e d i e e e e e diff e niveaux de détail et de complexité selon la finalité de
a a e, a di ibi i e a fiabi i de i f ai e e e ce di ib e . Le ech i e d a a e
peuvent être qualitatives, quantitatives, ou une combinaison de celles-ci, selon le ci c a ce e ii ai
prévue.
I c ie e a a ed i e e ee c e de fac e e que :

la vraisemblance des événements et des conséquences ;

a a ee i a ce de conséquences ;

la complexité et i e c e i ;

les facteurs liés au temps et la volatilité ;

efficaci de e de a i e existants ;

les niveaux de sensibilité et de confiance.

La a e d i e e e i f e c e a e di e ge ce d i i , biai , e ce i d i e e
jugements. Les influences supplémentaires sont la qualité des informations utilisées, les hypothèses et
e c i e , e i i a i de ech i e e a fa d e e i e e e. I c ie e
ces influences soient prises en compte, documentées et communiquées aux décideurs.
Les événements extrêmement incertains peuvent être difficiles à quantifier. Cela peut poser problème lors de
a a ed e e a a de g a e c e ce . Da de e ca , i i a i d e combinaison de
ech i e e e g a e e d ac i ec ai a ce a f die.

16
© ISO 2018 Tous droits réservés
ISO 31000 :2018 (F)

La a e d i ef i de d e e e a d a e e i e, de e d e a d ci i de e ai e
non et de quelle manière, et permet de choisir la stratégie et les méthodes de traitement les plus performantes.
Les résultats fournissent des renseignements en vue des décisions quand il faut effectuer des choix et que
les options impliquent différents types et niveaux de risque.

6.4.4 Évaluation du risque

L a ai d i ea b de d b che de d ci i j dicie e . L a a i d i e
c i e c ae e a de a a e d i e a c i e de i e ab i afi de d e i e i e
action supplémentaire est exigée. Cela peut déboucher sur la décision :

de ne rien faire de plus ;

de a i e e i de ai e e d risque ;

de e e de ea a e a f die afi de ie c e d e e risque ;

de maintenir les moyens de maîtrise du risque existants ;

de réexaminer les objectifs.

Il convient que les décisions prennent en compte un contexte plus large et les conséquences réelles et perçues
pour les parties prenantes externes et internes.
I c ie e e a de a ai d risque soit enregistré, communiqué, puis validé aux niveaux
a i de ga i e.

6.5 Traitement du risque

6.5.1 Généralités

Le ai e e d i ea b de ch i i e de e ee e de i ab de e i e.
Le traitement du risque implique un processus itératif :

formuler et choisir des options de traitement du risque ;

ab e e e ee e e ai e e d risque ;

a cie efficaci de ce traitement ;

déterminer si le risque résiduel est acceptable ;

i e a acce ab e, e i age ai e e c e ai e.

6.5.2 Sélection des options de traitement du risque

Le choix de la ou des options de traitement du risque les plus appropriées implique de comparer les avantages
e ie e e e d a ei e de bjec if a a a c , a eff e a i c ie de e
i ee e.
Le i de ai e e d i e e e c e a ce ai e e e e e a e ,e e a
appropriées à toutes les situations. Les options de traitement du risque peuvent impliquer un ou plusieurs des
éléments suivants :

ef d i e a a a d ci i de e a c e ce i e ac i i e ed i e;

a i e a g e ai d i e afin de saisir une opportunité ;

17
© ISO 2018 Tous droits réservés
ISO 31000 :2018 (F)

i i ai de a ce de risque ;

une modification de la vraisemblance ;

une modification des conséquences ;

un partage du risque (par exemple par le biais de contrats, de souscription de couvertures d a a ce);

un maintien du risque fondé sur une décision éclairée.

La j ifica i d ai e e d i e d a e e cad e de e e c id a i c i e e i
c ie de e dee c e e e b iga i de ga i e, e e gage e da e a e e
i i de a ie e a e . I c ie de ch i i e i de ai e e d i e e f ci de
bjec if de ga i e, de c i e de i e e de e ce di ib e .
Lors du choix des options de traitement du ri e, i c ie e ga i e ie e c e de a e , de
e ce i e de i ica i e ie e de a ie e a e e e a i e e e e a i de
communiquer et de les consulter. À efficacité égale, certains traitements du risque peuvent être plus
acce ab e eda e ce ai e a ie e a e .
Le ai e e d i e, e i ig e e e c e i e e, e e e a d ie
les résultats escomptés et avoir des conséquences inattendues. Pour s a e e e diff e e f e de
ai e e e e e efficace , e i i e a e e d i e fai e a ie i g a e de a i e e ed
traitement du risque.
Le traitement du risque peut également engendrer de nouveaux risques qui doivent être gérés.
Si e i e a c e i de ai e e di ib e i e i de ai e e e e e e a de
modifier suffisamment le risque, il convient que le risque soit enregistré et mis sous contrôle de façon
permanente.
Il convient que les d cide e e a e a ie e a e ie i f de a a e e de e d ed
risque résiduel après le traitement du risque. Il convient que le risque résiduel soit documenté et soumis à
i i e e e e , e ca ch a , fa e bje d aitement supplémentaire.

6.5.3 Élaboration et mise en uvre des plans de traitement du risque

Les plans de traitement du risque ont pour but de préciser la manière dont les options de traitement choisies
e i e e e de e e e di ii soient comprises par les personnes concernées et que
e g a a a a i e fai e bje d i i. I c ie e e a de ai e e ide ifie
c ai e e d e de i e e e d ai e e d i e.
Il convient que les plans de ai e e ie i g a a e ce de a age e de ga i e,
en concertation avec les parties prenantes appropriées.
Il convient que les informations fournies dans le plan de traitement comportent :

la justification du choix des options de traitement, y compris les avantages attendus ;

e e e e ab e de a ba i e de a i ee ed a ;

les actions proposées ;

les ressources nécessaires, en tenant compte des impondérables ;

les mesures des performances ;

les contraintes ;

les rapports et le suivi requis ;

18
© ISO 2018 Tous droits réservés
ISO 31000 :2018 (F)

le moment où les actions sont censées être entreprises et achevées.

6.6 Suivi et revue

Le i i e a e e b de a e e da i e a a i e efficaci de a c ce i , de a i e
e e e de a d ce .I c ie e e i ic i e a e e i di e d ce
de management du risque et de ses résultats soient planifiés dans le processus de management du risque,
en définissant clairement les responsabilités.
Il convient que le suivi et la revue aient lieu à toutes les étapes du processus. Le suivi et la revue comprennent
a a ifica i , e ec ei e a a e d i f ai , e egi e e de a e e e di f ai .
I c ie d i g e e a d i i e de a e e a ac i i de a age e de ef a ce de
ga i e, de i i de a e d ab a i de a .

6.7 Enregistrement et élaboration de rapports

I c ie e e ce de a age e d i ee e a ie d c e e fa e bje
de a e de ca i e a i . L e egi e e e ab a i de a a b de :

communiquer sur les activités de management du risque et leurs résultats au sein de ga i e;

fournir des informations en vue de la prise de décisions ;

améliorer les activités de management du risque ;

faci i e i e ac i a ec e a ie e a e , c i ce e a a a e nsabilité des activités de

management du risque.

Il convient que les décisions concernant la création, la conservation et le traitement des informations
d c e e ie e c e, a ef i i i e , de e i i a i , d ca ac e e ib e de
informations et du contexte externe et interne.
L ab a i de a fai a ie i g a e de a g e a ce de ga i e e i c ie e ea i e
la qualité du dialogue avec les parties prenantes et aide la direction et les organes de surveillance à faire face
e e abi i . Le fac e e d ee c id a i ab i e e de a c e e ,
a ef i limiter :

les différentes parties prenantes et leurs besoins et exigences spécifiques en matière d i formation ;

ec , af e ce e e ca ac e de ab i e e de rapports ;

a h de ad e ab i e e de rapports ;

a e i e ce de i f ai a ega d de bjec if de ga i e e de a i e de d ci i .

Bibliographie

[1] IEC 31010, Gestion des risques Techniques d aluation des risques

19
© ISO 2018 Tous droits réservés