MANAGEMENT DU RISQUE

SELON ISO 31000: 2018

NORA BENDJEDDOU
1
 Contrat de travail …
• Horaire: 09h00 à 15h00

• Pause café: 10h30

• Pause déjeuner: 12h00 à 13h00

• Téléphone mobile:

2
 OBJECTIFS DE LA FORMATION

Acquérir
le savoir-faire et les qualifications professionnelles indispensables pour le
management des risques,

Appliquer l’analyse des risques et connaitre les différentes méthodes.

3
Qu'est-ce que la gestion du risque?

 La gestion du risque permet à une

organisation de s'assurer qu'elle connaît et
comprend les risques auxquels elle
s'expose.
 La gestion du risque amène également
l'entreprise/organisme à dresser et à mettre
en œuvre un plan destiné à prévenir les
sinistres ou à en réduire l'incidence.
 Risque pour
l’organisation

Un risque se définit comme tout événement,

action ou inaction de nature à empêcher une
organisation d’atteindre ses objectifs
 La problématique de
la gestion des risques?.
POURQUOI LE MANAGEMENT DES RISQUES ?

• Connaitre à l’avance les risques potentiels, les recenser

• Savoir comment éviter leur survenance

• Comment atténuer leurs effets

• Les risques engagent la responsabilité du manager

• Les risques ont des impacts sur les objectif

• Conditionnent la pérennité de l’entreprise

• Les risques entachent l’image de l’entreprise

• Leur management améliore les performances

 Mais qu’est ce que le management des risques?

• La gestion des risques, ou management du risque (risk management),

est la discipline qui s'attache à identifier, évaluer et prioriser les risques
relatifs aux activités d'une organisation, …pour les traiter
méthodiquement de manière coordonnée et économique.

• Le risque :
Selon le référentiel ISO Guide 73 – le risque est défini comme « l’effet
de l’incertitude sur l’atteinte des objectifs» par
référence à des événements et des conséquences
potentiels ou à une combinaison des deux.
 BREVE HISTOIRE DU RISQUE

Période Concepts Outils Gestion

• De l’Antiquité Polythéisme, Destin Formes embryonnaires

À la Renaissance monothéisme d’assurance

- Neurosciences Détection des collectivisation

• AU du risque facteurs de accrue du risque
XXI ème Siècle - Conformité risque (alertes, Réponse
contrôle, stress) institutionnelle
(Bâle )

A partir de la fin du Moyen âge, Le risque se calcule et

s’affranchit de la notion de destin
 EVOLUTION DES ATTITUDES VIS-A-VIS DU RISQUE

• Au IVème siècle avant J.-C., existaient déjà des pratiques d’assurances visant à
lutter contre les désastres naturels en Chine

• Grecs et Romains avaient développé l’assurance maritime (prêts a la grosse

aventure) et l’assurance à la personne (santé et vie) de manière corporatiste,
a l’attention des légionnaires ou des tailleurs de pierre.

• Il faut néanmoins attendre la fin du Moyen Age pour que le risque se calcule
et s’affranchisse de la notion de destin.

• De nos jours : Le concept de risque est normalisé

 VOCABULAIRE DU RISQUE

• Le guide 73 - Objet: fournir le vocabulaire de base ayant pour but la compréhension des concepts et termes
du management du risque
• Liste des termes définis dans ce Guide regroupés en 11 rubriques , savoir :

- termes relatifs au risque;

— termes relatifs au management du risque;
— termes relatifs au processus de management du risque;
— termes relatifs à l'appréciation du risque;
— termes relatifs à l'identification des risques;
— termes relatifs à l'analyse du risque;
— termes relatifs à l'évaluation du risque;
— termes relatifs au traitement du risque;
— termes relatifs à la surveillance et à la mesure.
 Quelques extraits de l’ISO Guide 73

Termes relatifs au risque :

- Risque : effet de l'incertitude sur l'atteinte des objectifs

Termes relatifs au management du risque;

- Management du risque : activités coordonnées dans le but de diriger et
piloter un organisme vis-à-vis du risque
- Cadre organisationnel de management du risque : Ensemble d'éléments
établissant les fondements et dispositions organisationnelles présidant à la
conception, la mise en œuvre, la surveillance , la revue et l'amélioration
continue du management du risque dans tout l'organisme
- Politique de management du risque : Intentions et orientations
- Plan de management du risque : Programme spécifiant l’approche, les
composantes du management et les ressources à utiliser.
 Rôle du MR
Management des risques

Identifier les risques afin de mettre en place des actions dans le

but de réduire leur impact.
Définitions
Risque (selon ISO 31000)

effet de l'incertitude sur l'atteinte des objectifs

NOTE 1 Un effet est un écart, positif et/ou négatif, par rapport à une attente.

NOTE 2 Les objectifs peuvent avoir différents aspects (par exemple buts financiers, de santé et de sécurité,
ou environnementaux) et peuvent concerner différents niveaux (niveau stratégique, niveau d'un projet, d'un
produit, d'un processus ou d'un organisme tout entier).

NOTE 3 Un risque est souvent caractérisé en référence à des événements et des conséquences potentiels
ou à une combinaison des deux.

NOTE 4 Un risque est souvent exprimé en termes de combinaison des conséquences d'un événement
(incluant des changements de circonstances) et de sa vraisemblance.

NOTE 5 L'incertitude est l'état, même partiel, de défaut d'information concernant la compréhension ou la
connaissance d'un événement, de ses conséquences ou de sa vraisemblance.
Risque (selon ISO 9000-2015) : Effet de l’incertitude

Note 1 à l’article: Un effet est un écart, positif ou négatif, par rapport à une attente.
Note 2 à l’article: L’incertitude est l’état, même partiel, de manque d’information (3.8.2)
qui entrave la compréhension ou la connaissance d’un événement, de ses
conséquences ou de sa vraisemblance.
Note 3 à l’article: Un risque est souvent caractérisé par référence à des événements
potentiels (tels que définis dans le Guide ISO 73:2009, 3.5.1.3) et à des conséquences
également potentielles (telles que définies dans le Guide ISO 73:2009, 3.6.1.3), ou par
référence à une combinaison des deux.
Note 4 à l’article: Un risque est souvent exprimé en termes de combinaison des
conséquences d’un événement (y compris des changements de circonstances) et de la
vraisemblance de son occurrence (telle que définie dans le Guide ISO 73:2009, 3.6.1.1).
Note 5 à l’article: Le terme «risque» est parfois utilisé lorsqu’il n’existe qu’une
possibilité de conséquences négatives.
Note 6 Il s’agit de l’un des termes communs et définitions de base pour les normes de
systèmes de management de l’ISO
16
Risque (Selon ISO 14001 -2015): Effet de l’incertitude

Note 1: Un effet est un écart, positif ou négatif, par rapport à une attente.
Note 2: L’incertitude est l’état, même partiel, de manque d’information qui entrave la compréhension ou
la connaissance d’un événement, de ses conséquences ou de sa vraisemblance.
Note 3: Un risque est souvent caractérisé par référence à des « événements » potentiels (tels que définis
dans le Guide ISO 73:2009, 3.5.1.3) et à des « conséquences » également potentielles (telles que définies
dans le Guide ISO 73:2009, 3.6.1.3), ou par référence à une combinaison des deux.
Note 4: Un risque est souvent exprimé en termes de combinaison des conséquences d’un événement (y
compris des changements de circonstances) et de la « vraisemblance » de son occurrence (telle que
définie dans le Guide ISO 73:2009, 3.6.1.1).

risques et opportunités
effets négatifs potentiels (menaces) et effets bénéfiques potentiels (opportunités)

17
Processus de management du risque (selon ISO 31000)

Application systématique de politiques, procédures et

pratiques de management aux activités de communication,
de concertation, d'établissement du contexte, ainsi qu'aux
activités d'identification, d'analyse, d'évaluation, de
traitement, de surveillance et de revue des risques.
Appréciation du risque (selon ISO 31000)

Ensemble du processus d'identification des risques, d'analyse du

risque et d'évaluation du risque
IDENTIFICATION DES RISQUES

Processus de recherche, de reconnaissance et de description des risques (2.1)

NOTE 1 L'identification des risques comprend l'identification des sources de risque
(2.16), des événements (2.17), de leurs causes et de leurs conséquences (2.18)
potentielles.

NOTE 2 L'identification des risques peut faire appel à des données historiques, des
analyses théoriques, des avis d'experts et autres personnes compétentes et tenir
compte des besoins des parties prenantes (2.13).

[ISO Guide 73:2009, définition 3.5.1]

20
ANALYSE DU RISQUE (Selon ISO 31000)

Processus mis en œuvre pour comprendre la nature d'un risque et pour déterminer le niveau de risque

NOTE 1 L'analyse du risque fournit la base de l'évaluation du risque et les décisions relatives au
traitement du risque.

NOTE 2 L'analyse du risque inclut l'estimation du risque.

``
EVALUATION DU RISQUE (Selon ISO 31000)

Processus de comparaison des résultats de l'analyse du risque avec

les critères de risque afin de déterminer si le risque et/ou son importance
sont acceptables ou tolérables
PLAN DE MANAGEMENT DE PROJET (Selon iso 9000-2015)
document (3.8.5) qui spécifie les éléments nécessaires permettant
d’atteindre l’(les) objectif(s) (3.7.1) du projet (3.4.2)

Note 1: Il convient que le plan de management du projet comprenne le

plan qualité (3.8.9) du projet,
Note 2: Le plan de management du projet comprend également d’autres
plans ou y fait référence, tels que ceux concernant l’organisation, les
ressources, le planning, le budget, le management (3.3.3) des risques
(3.7.9),
le management environnemental, le management en matière d’hygiène et
de sécurité ainsi que la gestion de la sûreté,,,,
PLAN DE MANAGEMENT DU RISQUE (Selon ISO 31000)

programme inclus dans le cadre organisationnel de management

du risque (2.3), spécifiant l'approche, les composantes du
management et les ressources auxquelles doit avoir recours le
management du risque (2.1)
NOTE 1 Les composantes du management incluent, par exemple, les
procédures, les pratiques, l'attribution des responsabilités, le
déroulement chronologique des activités.
NOTE 2 Le plan de management du risque peut être appliqué à un
produit, un processus, un projet particulier, à une
partie de l'organisme ou à l'organisme tout entier.

24
L’International Organization for Standardization (ISO) a publié en février 2018 une
nouvelle version de l’ISO 31000.

Cette version, elle aussi simplifiée, propose des grandes lignes directrices pour orienter
la gestion de risques, telles que :
• L’importance d’un lien renforcé avec la stratégie de l’organisation, via une implication
marquée de la Direction.

• La nécessité d’accroître la mobilisation des équipes et parties prenantes,

• Le besoin d’une meilleure prise en compte du contexte,

• L’utilité d’une vision dynamique de la gestion de risques, qui intègre l’analyse des
dispositifs de maîtrise
 Architecture de la norme ISO 31000 version 2018

1 Domaine d’application 6 Processus

2 Références normatives 6.1 Généralités
3 Termes et définitions 6.2 Communication et consultation
4 Principes 6.3 Périmètre d’application, contexte et critères
5 Cadre organisationnel
6.3.1 Généralités
5.1 Généralités
6.3.2 Définition du domaine d’application
6.3.3 Contexte interne et externe
5.2 Leadership et engagement
6.3.4 Définition des critères de risque
5.3 Intégration
6.4 Appréciation du risque
5.4 Conception
6.4.1 Généralités
5.4.1 Compréhension de l’organisme et de son contexte
6.4.2 Identification du risque
5.4.2 Définir clairement l’engagement en matière de management du risque
6.4.3 Analyse du risque
5.4.3 Attribution des rôles, pouvoirs et responsabilités au sein de l’organisme
6.4.4 Évaluation du risque
5.4.4 Affectation des ressources
6.5 Traitement du risque
5.4.5 Établissement d’une communication et d’une concertation
6.5.1 Généralités
5.5 Mise en oeuvre
6.5.2 Sélection des options de traitement du risque
5.6 Évaluation
6.5.3 Élaboration et mise en oeuvre des plans de
5.7 Amélioration traitement du risque
5.7.1 Adaptation 6.6 Suivi et revue
5.7.2 Amélioration continue 6.7 Enregistrement et élaboration de rapports
« La norme vise essentiellement à attirer l'attention de
toutes les parties prenantes sur le fait que de bonnes
pratiques de management des risques permettent de
garantir la viabilité et le succès à long terme d'une
organisation. Car négliger de gérer les risques revient à
prendre le risque de connaître des échecs »
1. Domaine d’application

Le présent document fournit des lignes directrices concernant le

management du risque auquel sont confrontés les organismes. L’application
de ces lignes directrices peut être adaptée à tout organisme et à son contexte.
Le présent document fournit une approche générique permettant de gérer
toute forme de risque et n’est pas spécifique à une industrie ou un secteur. Le
présent document peut être utilisé tout au long de la vie de l’organisme et
peut être appliqué à toute activité, y compris la prise de décisions à tous les
niveaux.
 3. Termes et définitions

Dans le chapitre 3 de l’ISO 31000, un risque est défini comme “l’effet

de l’incertitude sur les objectifs”. La notion d’«objectifs» doit être
entendue au sens large, à tous les niveaux de l’organisation.
 Le but des nouveautés des chapitres 4, 5 et 6 de l’ISO 31000
(respectivement « principes », « cadre organisationnel » et «
processus ») est de vous aider à définir une approche risque
conforme à ces nouvelles exigences, et surtout à forte valeur
ajoutée.
Le management du risque est fondé sur les principes, le cadre organisationnel et le processus
décrits dans le présent document, tel qu’illustré à la Figure ci dessous .

Principes, cadre organisationnel et processus

Le management du risque est fondé sur les principes, le cadre organisationnel et le processus décrits
dans la norme ISO 31000 version 2018, tel qu’illustré à la Figure ci dessous .

Principes, cadre organisationnel et processus

Ces éléments peuvent déjà exister, en totalité ou en partie, au sein de l’organisme; toutefois, ils peuvent nécessiter
une adaptation ou une amélioration afin que le management du risque soit efficient,
efficace cohérent.
 Les principaux changements de la norme ISO 31000 version 2018

• Introduction de trois nouveaux concepts clés: « risques processus », « risques organisationnels » et « risques
systémiques »
• Renforcement de l'importance de la prise en compte de la culture organisationnelle et de la communication
dans la gestion des risques
• Meilleure intégration de la gestion des risques dans le contexte de la gouvernance et de la stratégie de
l'organisation
• Mise en avant de l'importance de l'analyse des risques, y compris l'identification des causes sous-jacentes et des
interdépendances entre les différents risques
• Amélioration des lignes directrices sur la surveillance et l'examen de la gestion des risques afin d'assurer sa
pertinence continue pour l'organisation
• Élargissement de la portée pour inclure la gestion des risques dans les partenariats, les alliances et les
coopérations entre organisations.
Ces changements visent à améliorer la pertinence et l'efficacité de la norme ISO 31000 dans le contexte actuel de
l'environnement des affaires et à faciliter une approche de gestion des risques plus intégrée et plus holistique.
 Exercice :
Une entreprise souhaite mettre en place une formation professionnelle pour ses employés sur la gestion
des risques.
Quelles étapes doivent être suivies pour assurer l'efficacité de cette formation ?
Solution :
1- Évaluation des besoins en formation - Cette étape est cruciale pour déterminer les compétences
actuelles des employés en matière de gestion des risques et les compétences dont ils ont besoin

2- Conception du programme de formation - À partir de la phase précédente, un programme de

formation doit être élaboré pour couvrir les besoins identifiés. Le programme doit inclure une introduction
à l'ISO 31000, des compétences de base pour la gestion des risques et des compétences avancées
pour la mise en œuvre de l'ISO 31000.
3- Développement des matériels de formation - Une fois le programme de formation élaboré, il est
important de créer le contenu spécifique de la formation, tels que des présentations PowerPoint, des
manuels d'instruction, des jeux éducatifs ou des simulations de situation.
3-Mise en œuvre de la formation - Cette étape implique la mise en œuvre formelle de la formation. Les
employés reçoivent la formation en suivant les programmes et les matériels élaborés pour aider le
personnel a mettre en place l'ISO 31000.
4-Évaluation de la formation - Une évaluation formelle doit être réalisée pour mesurer les résultats de
la formation pour les employés. Les évaluations peuvent inclure des tests, des enquêtes de satisfaction
ou des entretiens individuels.
5-Suivi et amélioration de la formation - Après avoir évalué les résultats de la formation, les
informations collectées permettent d’améliorer le programme de formation et de fournir des mises à jour
régulières pour tenir compte des changements dans l'environnement de travail et les nouvelles
connaissances relatives à l'ISO 31000.
1) Le risque organisationnel fait référence à tous les risques pouvant impacter le
fonctionnement de l'organisation, tels que les erreurs de gestion, les fraudes, les pertes
financières, les problèmes de communication, les conflits d'intérêts, etc.

2) Le risque processus concerne les risques liés aux processus opérationnels de l'entreprise,
tels que les erreurs de production, les problèmes de qualité, les pertes de données, les temps
d'arrêt, les retards de livraison, etc.

3) Le risque systématique, quant à lui, se rapporte aux risques qui affectent l'ensemble du
marché ou du secteur économique dans lequel l'entreprise opère, tels que les variations
macroéconomiques, les crises financières, les changements de réglementation, les
bouleversements du marché, etc. Ces risques ne peuvent être évités par une entreprise isolée,
mais peuvent être mitigés par des stratégies de diversification et de couverture.
chapitre 4 : Principes
de l’ISO 31000:2018
 4. Principes

la création et la préservation de la
La finalité du management du risque est
valeur. Il améliore la performance, favorise l’innovation et
contribue à l’atteinte des objectifs.
 • INTÉGRATION
Le Management des Risques doit impérativement être
global et diffusé à l’ensemble des processus de
l’organisation, y compris ceux en lien avec le management
ou la stratégie.
En d’autres termes, une identification des risques pour
chaque processus de l’organisation est encouragée, et
devrait être au cœur de leur gestion.
 • DÉMARCHE STRUCTURÉE ET GLOBALE

Gérer les risques implique de pouvoir les

comparer entre eux afin de les prioriser et
concentrer les ressources sur ceux qui
impactent réellement la création de valeur.
Ils doivent être mesurés sur la base d’une
échelle ou grille de lecture unique et
adaptée à la culture de l’organisation.
 • DYNAMIQUE & AMÉLIORATION
CONTINUE
La Gestion de Risques ne créée de la valeur
que si elle est vivante. La méthodologie en
place doit, par exemple, intégrer des retours
d’expérience autour de la survenance du
risque en cas de risques
avérés, et des axes d’amélioration des moyens
de maîtrise des événements susceptibles de
générer un impact sur les objectifs de
l’organisation.
L’analyse des retours d’expérience doit pouvoir
remettre en question la méthodologie
déployée et notamment le scoring des risques.
 • MEILLEURES INFORMATIONS &
FACTEURS HUMAINS
La norme ISO 31000:2018 insiste sur
le fait que le management des risques
n’est ni une science exacte ni une
donnée parfaitement fiable.
L’évaluation des risques doit tenir
compte de l’appétence de
l’organisation à prendre des risques et
des points de vue des parties
prenantes.
Elle reste essentiellement déclarative,
basée sur les connaissances des
managers, avec ce qu’elles
comportent d’incertitude. En gestion
de risques,
on ne cherche pas à s’assurer que les
dispositifs de maîtrise sont appliqués
mais que d’un point de vue théorique,
ils sont complets et efficaces.
• Adapté Inclusif:
Le cadre organisationnel et le
processus de management du
risque sont adaptés et
proportionnés
au contexte externe et
interne de l’organisme aussi
bien qu’à ses objectifs.

L’implication appropriée et au
moment opportun des parties
prenantes permet de prendre
en
compte leurs connaissances,
leurs opinions et leur
perception. Ceci conduit à un
management du risque mieux
éclairé et plus pertinent.
 les principes ISO 31000 version 2018
• L'approche systématique : Il s'agit de gérer les risques de manière cohérente et intégrée dans l'ensemble de
l'entreprise, en intégrant les processus, les politiques et les pratiques dans les différents domaines de l'activité.
• L’inclusion : L'identification et la gestion des risques doivent être incluses dans l'ensemble de l'entreprise, de la
gouvernance et de la gestion du risque, à la planification et à la mise en œuvre des processus opérationnels.
• La prise en compte des contextes : Il est important de prendre en compte l'environnement externe et interne
dans lequel l'entreprise opère, ainsi que les besoins, les attentes et les capacités de toutes les parties prenantes.
• La planification : La gestion du risque doit être abordée de manière proactive, en mettant en place un processus
de planification qui identifie et évalue les risques de manière continue.
• Les processus: Il est important d’adopter une approche robuste et cohérente des processus de gestion de risque
pour identifier, évaluer et traiter les risques sur une base continue.
• L'amélioration continue : Il s'agit d'un processus itératif qui implique une évaluation continue et une
amélioration des processus de gestion de risques pour aider une entreprise à s’adapter aux évolutions dans son
environnement.
• L’implication de toutes les parties prenantes : Les parties prenantes doivent être impliquées tout au long du
processus de gestion du risque afin de garantir que les risques sont identifiés et traités avec précision et
efficacité.
•
 Les huit principes sont décrits ci-dessous

1. Le cadre et les processus doivent être personnalisés et proportionnés.

2. L’implication appropriée et opportune des parties prenantes est nécessaire.
3. Une approche structurée et complète est nécessaire.
4. La gestion des risques fait partie intégrante de toutes les activités de l’organisation.
5. La gestion des risques anticipe, détecte, reconnaît et répond aux changements.
6. La gestion des risques prend explicitement en compte les limites des informations disponibles.
7. Les facteurs humains et culturels influencent tous les aspects de la gestion des risques .
8. La gestion des risques est continuellement améliorée par l’apprentissage et l’expérience.
Les cinq premiers principes donnent des indications sur la manière dont une initiative de gestion des risques doit
être conçue, et les principes six, sept et huit concernent le fonctionnement de l’initiative de gestion des risques.
Ces derniers principes confirment que les meilleures informations disponibles doivent être utilisées, que les facteurs
humains et culturels doivent être pris en compte et que les dispositions de gestion des risques doivent garantir une
amélioration continue.
Les cinq premiers principes concernent la conception et la planification de l’initiative de gestion des risques et sont
souvent résumés par les termes proportionnés, alignés, complets, intégrés et dynamiques,
 chapitre 5
de l’ISO 31000:2018
 5. Le Cadre organisationnel
Le développement du cadre organisationnel englobe l’intégration, la
conception, la mise en œuvre, l’évaluation et l’amélioration du
management du risque au sein de l’organisme.

Les composantes d’un cadre organisationnel.

Le cadre organisationnel proposé par la norme a pour but de
faciliter la diffusion du management des risques à toutes les
activités, processus et fonctions de l’organisation.
Tout comme l’ISO 9001:2015, l’ISO 31000:2018 insiste sur la notion
de leadership et prône une forte implication de la Direction dans la
gestion de risques.
Les rôles de chacun des acteurs de la gestion de risques sont
clairement définis dans l’ISO 31000: 2018 :

LA DIRECTION doit promouvoir et communiquer sur la valeur ajoutée de la démarche

risques, mais aussi s’impliquer dans le processus de gestion de risque lui même. La Direction
doit ainsi mettre en place une gestion de risques adaptée et lui allouer les ressources
nécessaires, identifier et définir les rôles de chacun au sein de l’organisation et définir des
stratégies de réponse.

• LES ORGANES DE SURVEILLANCE sont en charge de s’assurer que les risques sont intégrés
dans les objectifs, compris, adaptés et communiqués aux différentes parties prenantes de
façon adéquate.
La Direction, comme les organes de surveillance, doivent démontrer leur
engagement dans la démarche de gestion de risques de sa conception à la
diffusion au sein de l’organisation, voir auprès des parties prenantes externes.
Véritable chef d’orchestre, le GESTIONNAIRE DES RISQUES OU RISK MANAGER doit être
rattaché à la Direction.
Ceci est un pré requis à l’alignement de la gestion de risques avec la stratégie de
l’organisation.
 Le cadre organisationnel dans ISO 31000 version 2018 décrit les éléments clés qui doivent être mis
en place au sein d'une organisation pour gérer les risques de manière efficace.
Ce cadre comprend les éléments suivants :

• La politique de gestion des risques : il s'agit de la déclaration de l'organisation concernant son engagement envers la
gestion des risques, fixant les objectifs, les responsabilités et les rôles des parties prenantes concernées.
• La planification de la gestion des risques : cette étape implique l'identification des risques potentiels et la mise en place
de stratégies pour les évaluer, les surveiller et les contrôler.
• Les processus de gestion des risques : ces processus impliquent la mise en place d'une structure organisationnelle pour
assurer que les risques sont gérés de manière appropriée, y compris l'identification des responsabilités et des activités
clés à effectuer dans ce domaine.
• Les ressources pour la gestion des risques : l'organisation doit prévoir des ressources suffisantes pour évaluer et
contrôler les risques associés à leurs activités.
• La communication et la consultation : L'organisation doit développer des procédures pour communiquer et consulter les
parties prenantes sur les risques identifiés.
• La surveillance et l'examen : Il est important de surveiller et d'examiner régulièrement les activités en cours de gestion
des risques pour s'assurer qu'elles sont efficaces et qu'il n'y a pas de nouvelles menaces à prendre en compte.
En suivant ce cadre organisationnel, les organisations peuvent mettre en place un processus de gestion des risques complet
et robuste qui les aidera à gérer les risques de manière proactive et à les préparer pour les imprévus.
 Cadre de management des risques
Architecture de management des risques
– Structure et mandat des comités
– Rôles et responsabilités
– Contrôles des rapports externes
– Dispositifs d’assurance de gestion des risques
- Stratégie de management des risques
– Philosophie de la management des risques
– Dispositions pour l’intégration de gestion des risques
– Appétit pour le risque et attitude face au risque
– Déclarations/politiques de risque spécifiques
– Techniques d’évaluation des risques
- Exigences en matière de rapports internes
– Priorités en matière de risque pour l’année en cours
Protocoles de management des risques
– Outils et techniques
– Système de classification des risques
– Procédures d’évaluation des risques
– Règles et procédures de contrôle des
risques
– Réaction aux incidents, problèmes et
événements
– Documentation et tenue de dossiers
– Formation et communication
– Procédures et protocoles d’audit
– Rapports/divulgations/certification
chapitre 6: Processus
de l’ISO 31000:2018
 Le chapitre 6 de l’ISO 31000:2018

Ce dernier chapitre, véritable cœur de la nouvelle

norme, présente les différentes étapes du processus
de gestion de risques.
Ces différents jalons constituent un cadre pragmatique
qui aide à construire un référentiel méthodologique
pour décrire une démarche de gestion de risques

Processus
 Le processus de gestion des risques en sept étapes clés, qui sont :

1- Contexte de l'organisation : Cette étape consiste à comprendre les objectifs et les enjeux de l'organisation, ainsi que les
facteurs qui peuvent avoir une influence sur la gestion des risques.
2- Identification des risques : Cette étape permet d'identifier les événements potentiels qui pourraient affecter la réalisation
des objectifs de l'organisation. Cette étape peut être réalisée en utilisant différentes techniques d'identification des risques.
3- Analyse des risques : Cette étape consiste à évaluer la nature et la gravité de chaque risque identifié, ainsi que leur
probabilité d'occurrence.
4- Évaluation des risques : Cette étape permet de classer les risques en fonction de leur gravité et de leur probabilité
d'occurrence, afin de déterminer ceux qui doivent être traités en priorité.
5- Traitement des risques : Cette étape consiste à élaborer et mettre en œuvre des actions pour réduire ou éliminer les
risques identifiés.
6- Communication et consultation : Cette étape est importante pour informer les parties prenantes de l'organisation sur les
risques qui ont été identifiés, les mesures prises pour les traiter et les résultats obtenus.
7- Surveillance et examen : Cette étape consiste à surveiller en permanence les risques résiduels et à réviser périodiquement
les processus de gestion des risques pour s'assurer de leur efficacité.

En suivant ces étapes, l'organisation peut mettre en place une approche systématique et cohérente de la gestion des
risques, qui permettra de prendre des décisions éclairées et de mieux se prémunir contre les enjeux potentiels.
 PÉRIMÈTRE D’APPLICATION, CONTEXTE ET CRITÈRE
La norme ISO 31000:2018 précise que l’initialisation d’une démarche de gestion des risques nécessite
d’être abordée et gérée comme un projet.
Cela commence par la définition du champ d’action de la démarche, qui doit être global puisqu’elle
traite l’ensemble des évènements susceptibles de remettre en cause la stratégie, les objectifs, les
opérations ou les projets. Pour faire face à un champ d’action aussi vaste, la Direction devra statuer sur
un plan de déploiement de la démarche adapté aux ressources et aux enjeux de l’organisation.

La notion de “critères” abordée dans le chapitre 6 apporte quant à elle des réponses vis-à-vis des
informations à collecter pour pouvoir traiter efficacement un risque et garantir un reporting efficace.
Parmi ces critères figurent la définition des natures de risques, la mesure et le niveau de criticité. A
noter que la version 2018 de l’ISO 31000 propose un nouveau critère méthodologique, à savoir la «
cohérence dans l’utilisation des mesures ». Ce critère renforce le fait que l’évaluation des risques doit
reposer sur une échelle à la fois unique et adaptée à l’organisation.
 Communication et consultation
La communication et la consultation ont pour but d’aider les parties prenantes pertinentes à
comprendre le risque, les principes de prise de décisions et les raisons pour lesquelles
certaines actions sont nécessaires.
La communication vise à accroître la sensibilisation et la compréhension du risque, alors que
la consultation implique l’obtention d’un retour et d’informations pour étayer la prise de
décisions. Une étroite coordination entre les deux facilite des échanges d’informations
factuels, opportuns,
La communication et la consultation visent à:
 réunir différents domaines d’expertise pour chaque étape du processus de management
du risque;
 s’assurer que les différents points de vue sont pris en compte de manière appropriée dans
la définition des critères de risque et lors de l’évaluation des risques;
 fournir suffisamment d’informations pour faciliter la surveillance du risque et la prise de
décisions;
 faire naître un sentiment d’inclusion et de propriété parmi ceux affectés par le risque.
 Périmètre d’application, contexte et critères

Le contexte interne et externe est l’environnement dans lequel l’organisme cherche à définir et atteindre ses objectifs,
Lors de la planification de l’approche, les éléments à prendre en compte comprennent:
 les objectifs et les décisions à prendre;
 les résultats attendus des étapes du processus;
 le temps, l’emplacement, les inclusions et exclusions spécifiques;
 les outils et techniques appropriés d’appréciation du risque;
 les ressources nécessaires, les responsabilités et la documentation à établir;
 les relations avec d’autres projets, processus et activités.

Pour fixer les critères de risque, il convient de prendre en compte les éléments suivants:
— la nature et le type d’incertitudes pouvant avoir une incidence sur les résultats et les objectifs (tangibles et intangibles);
— la façon dont les conséquences (positives et négatives) et la vraisemblance seront définies et mesurées;
— les facteurs liés au temps;
— la cohérence dans l’utilisation des mesures;
— la méthode de détermination du niveau de risque;
— la façon dont les combinaisons et séquences de plusieurs risques seront prises en compte;
— la capacité de l’organisme.
 TRAITEMENT DU RISQUE

Le traitement du risque a pour but de choisir et de mettre en œuvre

des options pour aborder le risque.
Le traitement du risque implique un processus itératif:
Formuler et choisir des options de traitement du risque;
 Elaborer et mettre en œuvre le traitement du risque;
 Apprécier l’efficacité de ce traitement;
 Déterminer si le risque résiduel est acceptable;
 S’il n’est pas acceptable, envisager un traitement complémentaire.
APPRÉCIATION DU RISQUE
La première étape de l’appréciation d’un risque est son identification, ou plus
précisément la définition des notions à intégrer dans l’identification et le libellé
des risques.

Si l’ISO 31000:2018 ne spécifie pas de méthode, elle liste néanmoins des

éléments à prendre en compte, tels que la source du risque, la menace ou
l’opportunité, la cause, les conséquences (notamment sur les objectifs).
TRAITEMENT DU RISQUE

Le traitement du risque implique que son propriétaire se positionne sur celui-ci et établisse
une option de traitement ou stratégie de réponse.

Tout comme l’ISO 9001: 2015, la norme 31000:2018 définit différents types de réponses
possibles.

Celles-ci vont du refus du risque (arrêt de l’activité, élimination de la source du risque) à

son acceptation éclairée, en passant par différentes actions à mettre en place pour
modifier sa criticité (à la hausse en cas d’opportunité ou à la baisse en cas de menace).
Dans l’optique d’une stratégie visant à modifier la criticité du risque, il convient de mettre
en place des plans d’actions qui intègrent une criticité cible.

L’ISO 31000:2018 va plus loin et insiste sur l’importance d’une surveillance dynamique et
permanente du risque. Elle aborde ainsi:
• la nécessité «de suivre le traitement et de juger de son efficacité»,
• la mesure du « risque résiduel », soit la criticité après traitement, qui devra être
communiquée et revue périodiquement
 Suivi et revue
Le suivi et la revue ont pour but de s’assurer et d’améliorer la qualité et l’efficacité de la
conception, de la mise en œuvre et des résultats du processus. Il convient que le suivi
continu et la revue périodique, du processus de management du risque et de ses résultats
soient planifiés dans le processus de management du risque, en définissant clairement les
responsabilités.

Il convient que le suivi et la revue aient lieu à toutes les étapes du processus. Le suivi et la
revue comprennent la planification, le recueil et l’analyse d’informations, l’enregistrement
des résultats et le retour d’information.

Il convient d’intégrer les résultats du suivi et de la revue aux activités de management des
performances de l’organisme, de suivi des résultats et d’élaboration de rapports.
 Rapport management des risques
l'élaboration de rapports est l'une des étapes clés du processus de gestion des risques.
Dans l'ISO 31000:2018, l'élaboration de rapports vise à informer les parties prenantes de l'état du processus de
gestion des risques et des résultats obtenus. Les rapports doivent être clairs, concis et pertinents pour le public
cible. Ils doivent également être précis et contenir des informations fiables.
• L'élaboration de rapports doit être intégrée tout au long du processus de gestion des risques. Les rapports
peuvent être générés à différents niveaux de l'organisation, du niveau opérationnel au niveau stratégique.
• Les rapports doivent être adaptés au public cible pour garantir leur efficacité.
• Les rapports doivent également être réguliers. Cela signifie que les rapports doivent être produits à des
moments spécifiques pendant le processus de gestion des risques, pour informer les parties prenantes des
progrès réalisés. Les rapports réguliers peuvent également aider à identifier les tendances et les problèmes
potentiels dans le processus de gestion des risques.
• Enfin, les rapports doivent être utilisés pour améliorer le processus de gestion des risques. Les résultats des
rapports doivent être examinés et analysés de manière à permettre l'amélioration continue du processus de
gestion des risques.
L’enregistrement et l’élaboration de rapports a pour but de:
- communiquer sur les activités de management du risque et leurs résultats au sein de
l’organisme;
- fournir des informations en vue de la prise de décisions;
- améliorer les activités de management du risque;
- faciliter l’interaction avec les parties prenantes, y compris celles ayant la responsabilité
des activités de management du risque.

Les facteurs à prendre en considération pour l’établissement de rapports comprennent, sans

toutefois s’y limiter:
- les différentes parties prenantes et leurs besoins et exigences spécifiques en matière
d’information;
- le coût, la fréquence et le caractère opportun de l’établissement de rapports;
- la méthode adoptée pour l’établissement de rapports;
- la pertinence des informations au regard des objectifs de l’organisme et de la prise de
décisions.
 Selection des options et Plan de traitement
Les options de traitement des risques peuvent impliquer les elements suivsnt:
• un refus du risque marqué par la décision de ne pas commencer ou poursuivre l’activité porteuse du risque;
• la prise ou l’augmentation d’un risque afin de saisir une opportunité;
• l’élimination de la source de risque;
• une modification de la vraisemblance;
• une modification des conséquences;
• un partage du risque (par exemple par le biais de contrats, de souscription de couvertures d’assurance);
• un maintien du risque fondé sur une décision éclairée.
Il convient que les informations fournies dans le plan de traitement comportent:
— la justification du choix des options de traitement, y compris les avantages attendus;
— les personnes responsables de l’approbation et de la mise en œuvre du plan;
— les actions proposées;
— les ressources nécessaires, en tenant compte des impondérables;
— les mesures des performances;
— les contraintes;
— les rapports et le suivi requis;
— le moment où les actions sont censées être entreprises et achevées.
 Exemple d’une liste de dangers dans une société
Zone/domaine de danger Description du Probabilité Conséquences Respons Mesures à prendre Echéance
risque able

Menaces stratégiques Perte clientèle Possible Menace d’existence XV Marketing Décembre

Activité commerciale courante Élaboration autre 20XX
branche

Direction et collaborateurs Malversation Très rare Menace d’existence VX Vérification signature s Novembre
comportement et autorisations 20XX

Direction et collaborateurs Non respect des impossible Menace d’existence NN Audit, sondage clientèle, 2 fois/an
pratiques commerciales pratiques formation
déloyales commerciales

Menaces opérationnelles Inondations Très rare Menace d’existence AA S’assurer du bon Aout et
Dangers pour installations de fonctionnement Décembre
production installations

Créances non fréquent sensible vvv Améliorer processus de mensuel

Menaces financières manque
recouvrées relance
liquidités
 EXERCICE
Vous êtes le responsable de la gestion des risques d'une
entreprise de fabrication de jouets. Vous devez évaluer
les risques liés à l'utilisation de peinture pour enfants
dans la production de jouets.
Utilisez la méthodologie de gestion des risques ISO 31000
pour identifier, évaluer et traiter les risques associés à
l'utilisation de cette peinture.
 SOLUTION
1) Identification des risques :
• Risque de toxicité de la peinture pour enfants
• Risque d'allergies chez les enfants ou les adultes lors de l'utilisation des jouets peints
• Risque de non-conformité réglementaire en matière de sécurité des jouets
• Risque de perte de confiance des consommateurs envers la marque si des problèmes de sécurité surviennent
2) Évaluation des risques :
• Gravité : Les risques liés à la toxicité et aux allergies peuvent être graves pour la santé des enfants. La non-conformité réglementaire peut
entraîner des sanctions financières et la perte de confiance des consommateurs peut avoir des conséquences à long terme sur l'entreprise.
• Probabilité : La probabilité de survenue des risques est considérée comme moyenne, car l'entreprise suit des procédures strictes en matière
de choix des matériaux et de sécurité des produits.
• Évaluation globale : Les risques identifiés sont considérés comme étant modérés, car bien que la probabilité de survenue des risques soit
moyenne, les conséquences peuvent être graves.
3) Traitement des risques :
• Risque de toxicité de la peinture pour enfants : Éviter ce risque en utilisant des peintures non toxiques et en se conformant aux
réglementations en matière de sécurité des jouets.
• Risque d'allergies chez les enfants ou les adultes lors de l'utilisation des jouets peints : Éviter ce risque en utilisant des peintures non
allergènes et en effectuant des tests d'allergie.
• Risque de non-conformité réglementaire en matière de sécurité des jouets : Gérer ce risque en suivant les réglementations en matière de
sécurité des jouets et en effectuant des tests réguliers sur les jouets peints.
• Risque de perte de confiance des consommateurs envers la marque si des problèmes de sécurité surviennent : Gérer ce risque en
communiquant de manière transparente sur les mesures de sécurité prises et en prenant rapidement des mesures correctives si des
problèmes de sécurité sont identifiés.