IWA 31:2020
(Main)Risk management — Guidelines on using ISO 31000 in management systems
Risk management — Guidelines on using ISO 31000 in management systems
This document gives guidelines for integrating and using ISO 31000 in organizations that have implemented one or more ISO and IEC Management System Standards (MSS), or that have decided to undertake a project implementing one or more MSS incorporating ISO 31000. This document explains how the clauses of ISO 31000 relate to the high level structure (HLS) for MSS. This document does not provide guidance on implementing a management system in general. It does not specify requirements of a MSS. It does not provide a summary of ISO 31000; however, it does, as explained above, provide the background for understanding ISO 31000. Using this document does not remove the need to use other standards to address specific aspects of risk.
Management du risque — Lignes directices pour l'utilisation de l'ISO 31000 dans les systèmes de management
Le présent document donne des lignes directrices pour l'intégration et l'utilisation de l'ISO 31000 dans les organismes ayant mis en œuvre une ou plusieurs normes de systèmes de management (NSM) de l'ISO et de l'IEC, ou ayant décidé d'entreprendre un projet mettant en œuvre une ou plusieurs NSM incorporant l'ISO 31000. Le présent document explique comment les articles de l'ISO 31000 se rapportent à la structure-cadre des NSM. Le présent document ne fournit pas de recommandations pour la mise en œuvre d'un système de management en général. Il ne spécifie pas les exigences d'une NSM. Il ne fournit pas de résumé de l'ISO 31000; cependant, comme expliqué ci-dessus, il fournit les grandes lignes permettant de comprendre l'ISO 31000. L'utilisation du présent document ne dispense pas de la nécessité d'utiliser d'autres normes pour traiter des aspects spécifiques du risque.
General Information
Buy Standard
Standards Content (Sample)
INTERNATIONAL IWA
WORKSHOP 31
AGREEMENT
First edition
2020-03
Risk management — Guidelines on
using ISO 31000 in management
systems
Reference number
IWA 31:2020(E)
©
ISO 2020
---------------------- Page: 1 ----------------------
IWA 31:2020(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2020
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2020 – All rights reserved
---------------------- Page: 2 ----------------------
IWA 31:2020(E)
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 The use of the term “risk” in ISO 31000 and other standards . 1
5 Guidance on ISO 31000 for users of MSS . 2
6 Integrated management systems and using ISO 31000 . 3
Annex A (informative) Correspondence between ISO 31000 and the HLS for MSS .4
Annex B (informative) Case study incorporating ISO 31000 into a multidiscipline
management system . 5
Annex C (informative) Workshop contributors .12
Bibliography .14
© ISO 2020 – All rights reserved iii
---------------------- Page: 3 ----------------------
IWA 31:2020(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso .org/
iso/ foreword .html.
International Workshop Agreement IWA 31 was approved at a workshop hosted by BSI, held virtually
by Zoom in December 2019.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/ members .html.
iv © ISO 2020 – All rights reserved
---------------------- Page: 4 ----------------------
IWA 31:2020(E)
Introduction
There is a steady growth in the number of organizations, of all types and sizes, that are using
1)
management systems based on an ISO and IEC Management System Standard (MSS) . New ISO and IEC
MSS continue to be developed to address specific aspects of an organization’s activities, products or
services. The ISO/IEC Directives, Part 1 specifies the high level structure (HLS) for MSS. This generic
structure prescribes identical core text, common terms and core definitions for all ISO and IEC MSS. An
organization can integrate requirements or recommendations of different MSS into their management
system. The unified structure of MSS can make it easier for users to construct an integrated
management system (IMS), rather than end up with a fragmented management system. All such MSS
employ the concept of an approach based on risk management, a risk-based approach or risk-based
thinking (depending on the terminology used within the management system in question), which is at
the core of any management system. The main advantage of this is the holistic application of interrelated
systems. ISO 31000:2018 can be used to further develop or improve an IMS through its guidance on
how to determine the risks that need to be addressed to give assurance that the management system
can achieve its intended outcomes, enhance desirable effects, prevent or reduce undesired effects, and
achieve continual improvement.
ISO 31000 is international best practice regarding risk management, which is widely accepted, generic
and open to manage any type of risk. Integrating risk management into its management system(s) by
using ISO 31000 brings multiple benefits to an organization, whether they only address negative effects
or include positive effects. The purpose of risk management as outlined in ISO 31000 is the creation and
protection of value. It helps improve the decisions of risk owners or process owners and enhances the
operations of processes and all other activities of the organization, including strategic and operational.
This can lead to better results, higher output quality, less costly mistakes and the management of
liability.
Integrating risk management in accordance with ISO 31000 creates and protects value in organizations
by supporting the achievement of objectives and making the organization more resilient to adverse
effects. Assessing risks enables their appropriate treatment and establishes a basis for increasing the
effectiveness of the organization’s management system, achieving improved results, and preventing
negative outcomes. However, integrating risk management into a management system can pose
challenges, which can be reduced by following the guidance in this document.
1) A list of ISO and IEC MSS is available at: https:// www .iso .org/ management -system -standards -list .html
© ISO 2020 – All rights reserved v
---------------------- Page: 5 ----------------------
International Workshop Agreement IWA 31:2020(E)
Risk management — Guidelines on using ISO 31000 in
management systems
1 Scope
This document gives guidelines for integrating and using ISO 31000 in organizations that have
implemented one or more ISO and IEC Management System Standards (MSS), or that have decided to
undertake a project implementing one or more MSS incorporating ISO 31000. This document explains
how the clauses of ISO 31000 relate to the high level structure (HLS) for MSS.
This document does not provide guidance on implementing a management system in general. It does
not specify requirements of a MSS. It does not provide a summary of ISO 31000; however, it does, as
explained above, provide the background for understanding ISO 31000. Using this document does not
remove the need to use other standards to address specific aspects of risk.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 31000:2018, Risk management — Guidelines
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 31000:2018 apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at http:// www .electropedia .org/
4 The use of the term “risk” in ISO 31000 and other standards
The application of terminology should be taken in the context within which it is applied. For an
organization’s risk management, ISO 31000:2018, 3.1, defines “risk” as the “effect of uncertainty on
objectives”. Some standards do not refer to objectives, but the text regularly states that risks need to be
addressed in order to give assurance that the management system can achieve its intended outcomes.
An objective can be expressed as an intended outcome or result.
The risk management framework and process of ISO 31000 are customized and proportionate to the
organization’s external and internal context related to its objectives. This includes the interested
parties’ perspectives.
There are some contexts where different terminology is used (e.g. safety, occupational health and
safety, medical devices sector). This use implements a general understanding of the term “risk” that
narrows the ISO 31000 concept of risk in that it focuses on the potential negative impact of deviations
from the expected. This approach can be considered to be included in the broader definition of risk in
ISO 31000:2018, 3.1.
© ISO 2020 – All rights reserved 1
---------------------- Page: 6 ----------------------
IWA 31:2020(E)
5 Guidance on ISO 31000 for users of MSS
ISO 31000:2018 offers guidance to all types of organizations, regardless of type and size, and is written
for people who create and protect value in organizations by managing risks, making decisions, setting
purpose and strategy, achieving objectives, and improving performance.
The eight principles of risk management act as a foundation for the creation and protection of
value. These provide guidance on the characteristics of effective and efficient risk management,
communicating its value, and explaining its intention and purpose. ISO 31000 provides a common
approach to managing any type of risk faced by an organization throughout its life.
The purpose of the risk management framework is to assist the organization in integrating risk
management into significant activities and functions. The effectiveness of risk management will depend
on its integration into the governance of the organization, including decision-making.
The risk management process as set out in ISO 31000 should be customized proportionate to the
external and internal context of the organization related to its objectives. It should be adapted so that
it becomes an integral part of the management system, and is integrated into the structure, operations
and processes of the organization.
Using the guidance on principles and framework, an organization may choose to customize the
application of the risk management processes to its management system for any type of risk it faces
throughout its life. Adding the steps of the risk management process can enhance the management
system. In this context, it needs to be remembered that although the risk management process is often
presented as sequential, in practice it is iterative.
Risk management should be applied whenever there is any information or estimation that initiates or
adds to a process or activity, or whenever there is a change in the context of the organization.
There could be a degree of uncertainty in this information or estimation, which could have an effect
on the achievement of objectives. An effect is explained in ISO 31000:2018, 3.1, as a deviation from
the expected, which can be positive, negative or both. Therefore, the organization should revisit risk
identification whenever there is new information or estimations relevant for its process and activities.
Figure 1 shows an overlay of the ISO 31000 guidelines with the framework of the generic HLS clauses
for MSS. The top row references the HLS clauses and the left-hand column represents the ISO 31000
framework clauses. For example, looking at the intersection of ISO 31000:2018, 5.2, on leadership
and the HLS clause on leadership, the grey key indicates there should be a process referring to the
management of risk. Therefore, this table can be used as a reference point. For details on the clause
connections, see Table A.1.
2 © ISO 2020 – All rights reserved
---------------------- Page: 7 ----------------------
IWA 31:2020(E)
Figure 1 — Relationship between ISO 31000 and the clauses of the HLS for MSS
6 Integrated management systems and using ISO 31000
The application of risk management can be done through the process approach of a management
system. The ISO 31000 framework should be merged with the management system by applying a gap
analysis to include ISO 31000 framework components. By integrating risk management into the process
approach, duplications or conflicts are avoided.
In order to achieve effective and efficient integration and implementation of the ISO 31000 framework
and its process into other MSS, the organization should adopt ISO 31000 principles. The ISO Handbook
[5]
The Integrated Use of Management Systems Standards (IUMSS) could be a useful reference in this
respect. For detailed steps for integrating the use of MSS, it is advised to refer to this handbook.
Annex A provides guidance on how on organization can approach the integration of management of risk
into its MSS. Annex B is a case study of incorporating ISO 31000 into a multidiscipline management system.
© ISO 2020 – All rights reserved 3
---------------------- Page: 8 ----------------------
IWA 31:2020(E)
Annex A
(informative)
Correspondence between ISO 31000 and the HLS for MSS
Table A.1 shows the linkages between the main clauses of ISO 31000 and the most important correlating
clauses of the HLS for MSS. Users of ISO 31000 can integrate risk management practices into the
management system of the organization where these clauses of the HLS are addressed.
Table A.1 — Correspondence between ISO 31000 and the HLS for MSS
Clauses of ISO 31000:2018
Clauses of the HLS for MSS
a
4. Principles 5. Framework 6. Process
4.1 Understanding the organization and 6.1, 6.3.1, 6.3.3,
0, a), c), e), f), g) 5.2, 5.4.1
its context 6.3.4, 6.6, 6.7
6.1, 6.2, 6.3.1,
4.2 Understanding the needs and 0, a), c), d), e),
5.2, 5.4.1, 5.4.5 6.3.3, 6.3.4, 6.6,
4. Context of
expectations of interested parties f), g)
6.7
the
organization
4.3 Determining the scope of the XXX
0, a), c), f) 5.1, 5.2, 5.4.1, 5.5 6.3.1, 6.3.3, 6.3.4
management system
5.1, 5.2, 5.3,
4.4 XXX management system 0, a), b), c), f) 6.3.1, 6.3.3, 6.3.4
5.4.1, 5.5
5.1, 5.2, 5.4.2,
5.1 Leadership and commitment 0, a), c), d), g) 6.2, 6.6, 6.7
5.4.4
5. Leadership 5.2 Policy 0, a), c), d), g) 5.2, 5.4.2 6.2, 6.6, 6.7
5.3 Organizational roles, responsibilities
a), c), d), g) 5.2, 5.4.3 —
and authorities
6.1 Actions to address risks and
0, a), b), e), f) 5.1, 5.4.2, 5.7.1 6.1, 6.4, 6.5
opportunities
6. Planning
6.2 XXX objectives and planning to
0, a), b) 5.4.2, 5.7.2 6.5
achieve them
7.1 Resources 0, a), f), g) 5.1, 5.4.4 6.3.4, 6.5.2
7.2 Competence 0, a), f), g) 5.1 —
7. Support 7.3 Awareness 0, a), f), g) 5.1 —
7.4 Communication 0, a), d), f) 5.1, 5.4.5 6.1, 6.2, 6.3.4
7.5 Documented information 0, a), f) 5.1 6.1, 6.7
6.1, 6.4, 6.5, 6.6,
8. Operation 8.1 Operational planning and control 0, a), b), f) 5.1, 5.3, 5.5, 5.7
6.7
9.1 Monitoring, measurement, analysis 6.1, 6.3.3, 6.3.4,
a) 5.6
and evaluation 6.4.1, 6.6, 6.7
9. Perfor-
6.1, 6.3, 6.4.1,
mance 9.2 Internal audit a) 5.6
6.6, 6.7
evaluation
6.1, 6.3, 6.4.1,
9.3 Management review 0, a), b), e), g) 5.6, 5.7
6.6, 6.7
10.1 Nonconformity and corrective action 0, a), h) 5.7 6.1, 6,4, 6.5, 6.6
10. Improve-
ment
10.2 Continual improvement 0, a), h) 5.1, 5.2, 5.7 6.1, 6.4, 6.5, 6.6
a
Principle “0” refers to the core principle “value creation and protection”.
NOTE The subclause numbers in the cells refer to the subclauses of ISO 31000:2018 according to relevant column heading.
4 © ISO 2020 – All rights reserved
---------------------- Page: 9 ----------------------
IWA 31:2020(E)
Annex B
(informative)
Case study incorporating ISO 31000 into a multidiscipline
management system
B.1 General
This case study illustrates a holistic approach for risk management in an organization, across multiple
disciplines, based on the principles of ISO 31000 and the HLS for MSS. This case study does not provide
any guidance on how to approach the integration of ISO 31000 into an organization’s management
system(s). It also does not include requirements related to each of the referenced MSS.
For the purpose of this annex, only the aspects of some clauses/requirements (those considered
particularly effective) are highlighted to show how the application of requirements to the quality
management system (QMS) processes of the organization were reviewed in the light of a risk
management approach.
The text used in the case study represents the following:
— italic text: provides the perspective of the organization;
— regular text: provides guidance.
NOTE In this annex the term “interested party” has been used because it is the term used by this organization,
which has applied ISO 9001 since 1997. According to the definition of “stakeholder” in ISO 31000:2018, 3.3, the
term “interested party” can be used as an alternative.
B.2 Description and background of the organization
“XYZ” is a fictional organization used for the purpose of this annex.
— It comprises about 120 people.
— It concerns the development, trading, technical assistance and production, by mixing powders and
liquids, of:
— chemical products for material surface treatment;
— chemical products for waters treatment;
— lubricants for mechanical processing;
— chemical auxiliaries;
— temporary protective films and adhesive systems for the aerospace industry.
— It is a for-profit corporation.
— It needs to consider the regulatory environment, e.g. for the EU, Canada and Colombia, in regard to
topics such as disposal requirements, chemical waste requirements, transportation requirements,
safety requirements, etc.
— It has a distributed geography with two plants (Canada-Toronto and Colombia-Bogota) and one head
office based in Brussels.
© ISO 2020 – All rights reserved 5
---------------------- Page: 10 ----------------------
IWA 31:2020(E)
The organization has been ISO 9001 certified since 1998.
Since the certification to ISO 9001, there have been additional requirements from customers to work with
other MSS to manage environmental and health and safety aspects, which were used as separate systems.
By the end of December 2017, the quality manager (QM) became aware of the possibility for integrating risk
management in accordance with ISO 31000 in the company management system starting from the well-
consolidated QMS.
After discussing the study and its advantages with the CEO and having had their approval in principle, the
QM suggested to the CEO to attend a seminar together in which organizations from three different sectors
will share their own experience on the use of ISO 31000, including the transition from the 2009 to the 2018
edition. By the end of the seminar, the CEO and QM realized the value of implementing a risk management
framework to support their management systems and made the decision to move forward.
The risk management approach should be integrated into the existing ISO 9001 management system. The
CEO and Board of Directors assigned the responsibility and the authority to the QM for arranging a detailed
project stating intentions and directions of the risk management approach, in accordance with ISO 31000.
They also instructed all the process owners with the task of actively cooperating with the QM in both
preparing and implementing the project.
Those intentions and directions were then incorporated into the integrated policy. Some examples are
given below:
— risk is an integral and unavoidable component of our business, every activity that helps the organization
to pursue objectives introduces new risks to the organization;
— we are committed to managing all risk in a proactive and effective manner;
— risk assessment will be applied to all aspects of our business by the management, governing body and
operations at appropriate levels;
— we promote a risk-aware culture in all decision-making, so we foster the spread of risk-based thinking,
aimed at taking advantage of opportunities and preventing undesirable results;
— risk-based thinking refers to this risk-aware culture that must be well-established at all levels in our
organization as an essential part of the “organizational knowledge”;
— everyone in our organization has responsibility for managing risk, within their respective areas of
competence and the limits of the assigned authority, responsibility and accountability;
— clients are increasingly expecting the organization to act ethically, and this applies to all aspects of our
processes, that directly or indirectly contribute to value;
— commitment to risk management extends to all of our suppliers;
— our risk criteria (both to evaluate the significance of risk and to choose among the treatment options)
are based on our code of ethics and particularly on the right balance of the three pillars of sustainability
(environment, social, economic): cost and benefit are to be both evaluated in terms of sustainability;
— we will also apply risk management in order to control any kind of legal risks, helping us to fulfil all our
compliance obligations.
B.3 Application of risk management (from ISO 31000) in the existing QMS
The QM realized that all clauses should have been involved to some extent in the project for the application
of risk management in the existing QMS (hereinafter referred to as the “project”).
First, the project was based on the consideration that the components of the risk management framework
should be embedded within the organization’s overall strategic and operational policies and practices. This
means that the first step was a review of each element of the QMS in order to identify and evaluate any gaps
6 © ISO 2020 – All rights reserved
---------------------- Page: 11 ----------------------
IWA 31:2020(E)
of the existing risk management practices. The second step was the filling of those gaps by integrating the
components of the risk management framework into the interrelated and interacting elements of the QMS
(i.e. the organization’s structure, roles and responsibilities, planning and processes to achieve its objectives).
Apart from the clauses of ISO 9001:2015 where risk (associated to opportunity and threat) is explicitly
mentioned, there are direct or indirect implicit references to risk and risk management in almost all of
the clauses and relevant requirements.
The considerations below were taken into account by the organization.
Planning (Clause 6) was considered a key clause for risk management, because it is inherent within the
concept of influence of uncertainty in relation to objectives.
Understanding the organization and its context (4.1) was the basis for both establishing the processes of
the management system and framework and process of risk management. The determination of the relevant
interested parties and their needs and expectations was the basis for establishing the management system
and its processes as well as establishing the risk criteria. The requirements related to communication (see
ISO 9001:2015, 7.4) had been supplemented with suggestions about communication and consultation in
ISO 31000:2018.
Documented information (7.5): ISO 9001 (as per the HLS) requires, in addition to the documents expressly
referred to in the standard, all documented information determined by the organization as being necessary
for the effectiveness of the QMS. The project stated that risk management had to be used to determine which
documents, in addition to those required by the standard, were necessary and what their degree of detail
should have been. In addition to considering the size of the organization, the type of activity, the complexity
of the processes, their interactions and the competence of the personnel, the questions to be asked might
have been basically two, for each process:
a) What negative impacts could the lack of documented information (procedures, instructions, records or
a low degree of detail) generate?
b) What positive impacts could be generated by entering a new procedure, an instruction, a registration
or improving the level of detail of existing ones?
It was kept in mind that documents that are too large or more detailed than necessary run the risk of being
completely ignored.
There was a determination of the processes (4.4) required for the management system and their
application throughout the organization, regardless of whether these processes are performed internally or
outsourced. For each process (internal or external) with a significant uncertainty, the project stated that it
was necessary to identify:
— activities that transform inputs into outputs;
— results to be achieved;
— potential effects, positive or negative, on downstream processes and on the final product;
— the controls, the monitoring, the measurements that should have been such as to be able to maximize
positive impacts (seizing opportunities for improvement) and minimizing negative ones (avoiding
unwanted events, nonconformities).
Documented information such as procedures, work instructions, specifications, etc. contained actions to
address risks in order to ensure that the QMS processes can achieve their intended results, enhance desirable
effects, prevent or reduce undesired effects, and achieve improvement.
There is a close relationship between risk management and decision-making that is clearly stated and
confirmed in many clauses throughout ISO 31000:2018. Therefore, the application of risk management
enables, among other things, the fulfilling of one of the quality management principles: evidence-based
decision-making.
© ISO 2020 – All rights reserved 7
---------------------- Page: 12 ----------------------
IWA 31:2020(E)
Also, the first part of Support (7.1, 7.2 and 7.3), although it does not contain explicit references to risk
management, was interpreted in this light in order to provide resources (personnel, infrastructures and
work environment) such as to make it possible to seize opportunities and avoid unwanted events, pursuing
the main objective of satisfying more and more customers, as well as other relevant interested parties. The
personnel must have the necessary competence and resources to keep the risks related to their activity
under control. All persons were made aware of all the kinds of risks they face and of their contribution to
the achievement of organization’s objectives.
The choice of monitoring and measuring resources (ISO 9001:2015, 7.1.5, and 9.1), their metrological
characteristics and the calibration intervals, etc. was established, taking into account all related risks,
results of previous monitoring and measurement activities, and taking into account not only threats and
dangers, but also opportunities to be seized. This concerns the importance of having or not having certain
measurements, the tolerances required, the acceptable measurement uncertainty, the possibility of an
instrument drift between one calibration and another, and the degree of detail for records. All aspects were
decided in the light
...
ACCORD IWA
INTERNATIONAL 31
D’ATELIER
Première édition
2020-03
Version corrigée
2020-07
Management du risque — Lignes
directices pour l'utilisation de
l'ISO 31000 dans les systèmes de
management
Risk management — Guidelines on using ISO 31000 in
management systems
Numéro de référence
IWA 31:2020(F)
©
ISO 2020
---------------------- Page: 1 ----------------------
IWA 31:2020(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2020
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2020 – Tous droits réservés
---------------------- Page: 2 ----------------------
IWA 31:2020(F)
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Utilisation du terme «risque» dans l’ISO 31000 et les autres normes .1
5 Recommandations relatives à l’ISO 31000 pour les utilisateurs de NSM .2
6 Systèmes de management intégrés et utilisation de l’ISO 31000 . 3
Annexe A (informative) Correspondance entre l’ISO 31000 et la structure-cadre des NSM .4
Annexe B (informative) Étude de cas sur l’incorporation de l’ISO 31000 dans un système de
management pluridisciplinaire . 6
Annexe C (informative) Contributeurs à l’atelier .14
Bibliographie .16
© ISO 2020 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
IWA 31:2020(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www .iso .org/ avant -propos.
L’Accord international d’atelier IWA 31 a été adopté lors d’un atelier virtuel organisé par la BSI via Zoom
en décembre 2019.
La présente version corrigée de l’IWA 31:2020 inclut les corrections suivantes:
— le numéro de référence de la page de couverture et le type de document à la page 1 ont été corrigés.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/ fr/ members .html.
iv © ISO 2020 – Tous droits réservés
---------------------- Page: 4 ----------------------
IWA 31:2020(F)
Introduction
Un nombre croissant d’organismes, de tous types et de toutes tailles, utilisent des systèmes de
1)
management fondés sur une norme de système de management (NSM) de l’ISO et de l’IEC . De
nouvelles NSM ISO et IEC continuent d’être élaborées pour traiter des aspects spécifiques des activités,
produits ou services d’un organisme. Les Directives ISO/IEC, Partie 1, spécifie la structure-cadre
des NSM. Cette structure générique spécifie un texte de base identique et des termes et définitions
de base communs pour toutes les NSM ISO et IEC. Un organisme peut intégrer les exigences ou les
recommandations de différentes NSM dans son système de management. La structure unifiée des NSM
peut permettre aux utilisateurs construire plus facilement un système de management intégré (SMI),
plutôt que de se retrouver avec un système de management fragmenté. Toutes ces NSM emploient le
concept d’approche fondée sur le management du risque, d’approche fondée sur le risque ou d’approche
risque (selon la terminologie utilisée dans le système de management en question), qui est au cœur
de tout système de management. Le principal avantage en est l’application holistique de systèmes
interreliés. L’ISO 31000:2018 peut être utilisée pour développer ou améliorer davantage un SMI grâce
à ses recommandations sur la manière de déterminer les risques qu’il est nécessaire de prendre en
compte pour donner l’assurance que le système de management peut atteindre les résultats escomptés,
renforcer les effets désirés, prévenir ou réduire les effets non désirés et permettre une amélioration
continue.
L’ISO 31000 représente les meilleures pratiques internationales en matière de management du risque.
Celles-ci sont largement acceptées, génériques et adaptées au management de tout type de risque.
Intégrer le management du risque dans son ou ses systèmes de management en utilisant l’ISO 31000
apporte de nombreux avantages à un organisme, qu’il s’agisse de traiter uniquement les effets négatifs
ou d’inclure les effets positifs. La finalité du management du risque, telle que décrite dans l’ISO 31000,
est la création et la préservation de la valeur. Il contribue à améliorer les décisions des propriétaires de
risques ou de processus et renforce le fonctionnement des processus et de toutes les autres activités de
l’organisme, y compris d’ordre stratégique et opérationnel. Cela peut conduire à de meilleurs résultats,
à une plus grande qualité des éléments de sortie, à des erreurs moins coûteuses et à la gestion de la
responsabilité.
L’intégration du management du risque conformément à l’ISO 31000 permet de créer de la valeur et de
la préserver au sein des organismes en favorisant l’atteinte des objectifs et en rendant l’organisme plus
résilient face aux effets adverses. L’appréciation des risques permet leur traitement approprié et établit
une base pour accroître l’efficacité du système de management de l’organisme, obtenir de meilleurs
résultats et prévenir les conséquences négatives. Cependant, l’intégration du management du risque
dans un système de management peut poser des difficultés, qu’il est possible de réduire en suivant les
recommandations du présent document.
1) Une liste des NSM ISO et IEC est disponible à l’adresse suivante: https:// www .iso .org/ management -system
-standards -list .html.
© ISO 2020 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ACCORD INTERNATIONAL D’ATELIER IWA 31:2020(F)
Management du risque — Lignes directices pour
l'utilisation de l'ISO 31000 dans les systèmes de
management
1 Domaine d’application
Le présent document donne des lignes directrices pour l’intégration et l’utilisation de l’ISO 31000
dans les organismes ayant mis en œuvre une ou plusieurs normes de systèmes de management (NSM)
de l’ISO et de l’IEC, ou ayant décidé d’entreprendre un projet mettant en œuvre une ou plusieurs
NSM incorporant l’ISO 31000. Le présent document explique comment les articles de l’ISO 31000 se
rapportent à la structure-cadre des NSM.
Le présent document ne fournit pas de recommandations pour la mise en œuvre d’un système de
management en général. Il ne spécifie pas les exigences d’une NSM. Il ne fournit pas de résumé
de l’ISO 31000; cependant, comme expliqué ci-dessus, il fournit les grandes lignes permettant de
comprendre l’ISO 31000. L’utilisation du présent document ne dispense pas de la nécessité d’utiliser
d’autres normes pour traiter des aspects spécifiques du risque.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s’applique (y compris les
éventuels amendements).
ISO 31000:2018, Management du risque — Lignes directrices
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO 31000:2018 s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse http:// www .electropedia .org/
4 Utilisation du terme «risque» dans l’ISO 31000 et les autres normes
Il convient d’appréhender la terminologie dans le contexte dans lequel elle est appliquée. Concernant
le management du risque d’un organisme, l’ISO 31000:2018, 3.1, définit le «risque» comme l’«effet
de l’incertitude sur les objectifs». Certaines normes ne font pas référence aux objectifs, mais le texte
indique généralement qu’il est nécessaire de prendre en compte les risques afin de donner l’assurance
que le système de management peut atteindre les résultats escomptés. Un objectif peut être exprimé
sous la forme d’un résultat ou d’un effet escompté.
Le cadre organisationnel et le processus de management du risque de l’ISO 31000 sont ajustés et
proportionnés au contexte externe et interne de l’organisme ainsi qu’à ses objectifs. Cela inclut le point
de vue des parties intéressées.
Cela met en œuvre en général une compréhension du terme «risque» qui restreint le concept de risque
de l’ISO 31000 en ce sens que l’accent est mis sur l’impact négatif potentiel des écarts par rapport à ce
© ISO 2020 – Tous droits réservés 1
---------------------- Page: 6 ----------------------
IWA 31:2020(F)
qui est attendu. Cette approche peut être considérée comme faisant partie de la définition plus large du
risque de l’ISO 31000:2018, 3.1.
5 Recommandations relatives à l’ISO 31000 pour les utilisateurs de NSM
L’ISO 31000:2018 propose des recommandations applicables par tous les types d’organismes, quels que
soient leur type et leur taille, et s’adresse aux personnes qui, au sein des organismes, créent de la valeur
et la préservent par le management du risque, la prise de décision, l’établissement d’une finalité et d’une
stratégie, l’atteinte des objectifs et l’amélioration de la performance.
Les huit principes du management du risque servent de fondement à la création et à la préservation
de la valeur. Ils fournissent des recommandations sur les caractéristiques d’un management du risque
efficace et efficient, en communiquant sa valeur et en expliquant son intention et sa finalité. L’ISO 31000
fournit une approche commune permettant de gérer tout type de risque auquel un organisme est
confronté au cours de sa vie.
La finalité du cadre organisationnel de management du risque est d’aider l’organisme à intégrer le
management du risque dans les activités et les fonctions significatives. L’efficacité du management
du risque va dépendre de son intégration dans la gouvernance de l’organisme, y compris la prise de
décision.
Il convient d’ajuster le processus de management du risque tel que décrit dans l’ISO 31000 de façon
proportionnée au contexte externe et interne de l’organisme et de ses objectifs. Il convient de l’adapter
pour qu’il fasse partie intégrante du système de management et qu’il soit intégré dans la structure, le
fonctionnement et les processus de l’organisme.
En suivant les recommandations relatives aux principes et au cadre organisationnel, un organisme peut
choisir d’ajuster l’application des processus de management du risque à son système de management
pour tout type de risque auquel il est confronté au cours de sa vie. Ajouter les étapes du processus de
management du risque peut permettre d’améliorer le système de management. Dans ce contexte, il est
nécessaire de se rappeler que, bien que le processus de management du risque soit souvent présenté
comme séquentiel, dans la pratique, il est itératif.
Il convient d’appliquer le management du risque chaque fois qu’une information ou une estimation
quelconque initialise ou alimente un processus ou une activité, ou chaque fois qu’il y a un changement
dans le contexte de l’organisme.
Il peut exister un degré d’incertitude dans cette information ou estimation, ce qui peut avoir un effet
sur l’atteinte des objectifs. Un effet est expliqué dans l’ISO 31000:2018, 3.1, comme étant un écart par
rapport à un attendu, lequel peut être positif, négatif ou les deux à la fois. Par conséquent, il convient que
l’organisme revienne sur l’identification du risque chaque fois qu’il dispose de nouvelles informations
ou estimations pertinentes pour ses processus et activités.
La Figure 1 montre la correspondance entre les lignes directrices de l’ISO 31000 et le cadre
organisationnel des articles génériques de la structure-cadre des NSM. La ligne du haut renvoie
aux articles de la structure-cadre tandis que la colonne de gauche représente les articles du cadre
organisationnel de l’ISO 31000. Par exemple, si l’on regarde à l’intersection de l’ISO 31000:2018, 5.2,
portant sur le leadership et de l’article de la structure-cadre sur le leadership, la zone grise indique la
présence d’un processus faisant référence au management du risque. Ce tableau peut donc servir de
point de référence. Pour plus de détails sur les relations entre les articles, voir le Tableau A.1.
2 © ISO 2020 – Tous droits réservés
---------------------- Page: 7 ----------------------
IWA 31:2020(F)
Figure 1 — Relations entre l’ISO 31000 et les articles de la structure-cadre des NSM
6 Systèmes de management intégrés et utilisation de l’ISO 31000
L’application du management du risque peut se faire par l’approche processus d’un système de
management. Il convient de fusionner le cadre organisationnel de l’ISO 31000 avec le système
de management en appliquant une analyse des écarts pour inclure les composantes du cadre
organisationnel de l’ISO 31000. L’intégration du management du risque dans l’approche processus
permet d’éviter les doublons ou les conflits.
Afin de parvenir à une intégration et à une mise en œuvre efficaces et efficientes du cadre organisationnel
de l’ISO 31000 et de son processus dans d’autres NSM, il convient que l’organisme adopte les principes
de l’ISO 31000. La manuel de l’ISO intitulé The Integrated Use of Management Systems Standards (IUMSS)
[5]
peut être une référence utile à cet égard. Pour connaître les étapes détaillées permettant d’intégrer
l’utilisation des NSM, il est conseillé de se reporter à ce manuel.
L’Annexe A fournit des recommandations sur la manière dont un organisme peut aborder l’intégration
du management du risque dans ses NSM. L’Annexe B présente une étude de cas sur l’intégration de
l’ISO 31000 dans un système de management pluridisciplinaire.
© ISO 2020 – Tous droits réservés 3
---------------------- Page: 8 ----------------------
IWA 31:2020(F)
Annexe A
(informative)
Correspondance entre l’ISO 31000 et la structure-cadre des NSM
Le Tableau A.1 montre les liens entre les principaux articles de l’ISO 31000 et les articles corrélés les
plus importants de la structure-cadre des NSM. Les utilisateurs de l’ISO 31000 peuvent intégrer les
pratiques du management du risque dans le système de management de l’organisme là où les articles de
la structure-cadre sont traités.
Tableau A.1 — Correspondance entre l’ISO 31000 et la structure-cadre des NSM
Articles de l’ISO 31000:2018
Articles de la structure-cadre des NSM
5. Cadre
a
4. Principes 6. Processus
organisationnel
4.1 Compréhension de l’organisme 6.1, 6.3.1, 6.3.3,
0, a), c), e), f), g) 5.2, 5.4.1
et de son contexte 6.3.4, 6.6, 6.7
6.1, 6.2, 6.3.1,
4.2 Compréhension des besoins et
0, a), c), d), e), f), g) 5.2, 5.4.1, 5.4.5 6.3.3, 6.3.4, 6.6,
attentes des parties intéressées
6.7
4. Contexte de
l’organisme
4.3 Détermination du périmètre
d’application du système de 0, a), c), f) 5.1, 5.2, 5.4.1, 5.5 6.3.1, 6.3.3, 6.3.4
management XXX
5.1, 5.2, 5.3,
4.4 Système de management XXX 0, a), b), c), f) 6.3.1, 6.3.3, 6.3.4
5.4.1, 5.5
5.1, 5.2, 5.4.2,
5.1 Leadership et engagement 0, a), c), d), g) 6.2, 6.6, 6.7
5.4.4
5. Leadership 5.2 Politique 0, a), c), d), g) 5.2, 5.4.2 6.2, 6.6, 6.7
5.3 Rôles, responsabilités et
a), c), d), g) 5.2, 5.4.3 —
autorités au sein de l’organisme
6.1 Actions à mettre en œuvre
0, a), b), e), f) 5.1, 5.4.2, 5.7.1 6.1, 6.4, 6.5
face aux risques et opportunités
6. Planification
6.2 Objectifs XXX et planification
0, a), b) 5.4.2, 5.7.2 6.5
des actions pour les atteindre
7.1 Ressources 0, a), f), g) 5.1, 5.4.4 6.3.4, 6.5.2
7.2 Compétences 0, a), f), g) 5.1 —
7. Soutien 7.3 Sensibilisation 0, a), f), g) 5.1 —
7.4 Communication 0, a), d), f) 5.1, 5.4.5 6.1, 6.2, 6.3.4
7.5 Informations documentées 0, a), f) 5.1 6.1, 6.7
8. Réalisation
8.1 Planification et maîtrise 6.1, 6.4, 6.5, 6.6,
des activités 0, a), b), f) 5.1, 5.3, 5.5, 5.7
opérationnelles 6.7
opérationnelles
a
Le principe «0» renvoie au principe de base «création et préservation de la valeur».
NOTE Les numéros de paragraphe dans les cellules renvoient aux paragraphes de l’ISO 31000:2018 en fonction de l’intitulé
de la colonne pertinente.
4 © ISO 2020 – Tous droits réservés
---------------------- Page: 9 ----------------------
IWA 31:2020(F)
Tableau A.1 (suite)
Articles de l’ISO 31000:2018
Articles de la structure-cadre des NSM
5. Cadre
a
4. Principes 6. Processus
organisationnel
9.1 Surveillance, mesure, analyse 6.1, 6.3.3, 6.3.4,
a) 5.6
et évaluation 6.4.1, 6.6, 6.7
9. Évaluation des 6.1, 6.3, 6.4.1,
9.2 Audit interne a) 5.6
performances 6.6, 6.7
6.1, 6.3, 6.4.1,
9.3 Revue de direction 0, a), b), e), g) 5.6, 5.7
6.6, 6.7
10.1 Non-conformité et actions
0, a), h) 5.7 6.1, 6,4, 6.5, 6.6
correctives
10. Amélioration
10.2 Amélioration continue 0, a), h) 5.1, 5.2, 5.7 6.1, 6.4, 6.5, 6.6
a
Le principe «0» renvoie au principe de base «création et préservation de la valeur».
NOTE Les numéros de paragraphe dans les cellules renvoient aux paragraphes de l’ISO 31000:2018 en fonction de l’intitulé
de la colonne pertinente.
© ISO 2020 – Tous droits réservés 5
---------------------- Page: 10 ----------------------
IWA 31:2020(F)
Annexe B
(informative)
Étude de cas sur l’incorporation de l’ISO 31000 dans un système
de management pluridisciplinaire
B.1 Généralités
Cette étude de cas illustre une approche holistique du management du risque au sein d’un organisme
dans de multiples disciplines, basée sur les principes de l’ISO 31000 et la structure-cadre des NSM. Cette
étude de cas ne fournit aucune recommandation sur la manière d’aborder l’intégration de l’ISO 31000
dans le ou les systèmes de management d’un organisme. Elle n’inclut pas non plus les exigences relatives
à chacune des NSM citées.
Pour les besoins de cette annexe, seuls les aspects de certains articles/exigences (ceux considérés
comme particulièrement efficaces) sont mis en avant pour montrer comment l’application des exigences
aux processus du système de management de la qualité (SMQ) de l’organisme a été passée en revue à la
lumière d’une approche fondée sur le management du risque.
Le texte utilisé dans l’étude de cas représente les éléments suivants:
— texte en italique: fournit le point de vue de l’organisme;
— texte normal: fournit des recommandations.
NOTE Dans cette annexe, le terme «partie intéressée» a été utilisé car il s’agit du terme employé par
l’organisme concerné, qui applique l’ISO 9001 depuis 1997. Conformément à la définition de «partie prenante»
dans l’ISO 31000:2018, 3.3, le terme «partie intéressée» peut être utilisé comme alternative.
B.2 Description et références de l’organisme
«XYZ» est un organisme fictif utilisé pour les besoins de cette annexe.
— Il compte environ 120 personnes.
— Ses activités concernent le développement, le commerce, l’assistance technique et la production, par
mélange de poudres et de liquides, de:
— produits chimiques pour le traitement de surface des matériaux;
— produits chimiques pour le traitement des eaux;
— lubrifiants pour les traitements mécaniques;
— produits chimiques auxiliaires;
— films de protection temporaire et systèmes adhésifs pour l’industrie aérospatiale.
— Il s’agit d’une société à but lucratif.
— Il est nécessaire pour l’organisme de considérer l’environnement réglementaire, par exemple
pour l’UE, le Canada et la Colombie, en ce qui concerne des sujets tels que les exigences en matière
d’élimination, de déchets chimiques, de transport, de sécurité, etc.
— Sa situation géographique est éclatée avec deux usines (Canada-Toronto et Colombie-Bogota) et un
siège social basé à Bruxelles.
6 © ISO 2020 – Tous droits réservés
---------------------- Page: 11 ----------------------
IWA 31:2020(F)
L’organisme est certifié ISO 9001 depuis 1998.
Depuis la certification ISO 9001, des exigences supplémentaires ont été formulées par les clients pour
travailler avec d’autres NSM afin de gérer les aspects environnementaux et les aspects liés à la santé et à la
sécurité, qui faisaient l’objet de systèmes distincts.
Fin décembre 2017, le responsable qualité (RQ) a pris conscience de la possibilité d’intégrer le management
du risque conformément à l’ISO 31000 dans le système de management de l’entreprise, en partant du SMQ
bien consolidé.
Après avoir discuté de l’étude et de ses avantages avec le PDG et avoir obtenu son accord de principe, le RQ
a suggéré au PDG de participer ensemble à un séminaire au cours duquel des organismes de trois secteurs
différents partageront leur propre expérience sur l’utilisation de l’ISO 31000, y compris la transition de
l’édition 2009 à celle de 2018. À la fin du séminaire, le PDG et le RQ ont réalisé l’intérêt de mettre en place un
cadre organisationnel de management du risque pour soutenir leurs systèmes de management et ont pris la
décision de franchir le pas.
Il convient d’intégrer l’approche du management du risque dans le système de management ISO 9001
existant. Le PDG et le conseil d’administration ont confié au RQ la responsabilité et l’autorité pour élaborer
un projet détaillé indiquant les intentions et les orientations de l’approche du management du risque,
conformément à l’ISO 31000. Ils ont également chargé tous les propriétaires de processus de coopérer
activement avec le RQ à la fois pour préparer et mettre en œuvre le projet.
Ces intentions et orientations ont ensuite été incorporées dans la politique elle-même intégrée. Quelques
exemples sont donnés ci-dessous:
— le risque est une composante inévitable qui fait partie intégrante de notre activité; chaque activité qui
aide l’organisme à poursuivre des objectifs introduit de nouveaux risques pour l’organisme;
— nous nous engageons à gérer tous les risques de manière proactive et efficace;
— l’appréciation du risque sera appliquée à tous les aspects de notre activité par l’encadrement, l’instance
dirigeante et les services opérationnels aux niveaux appropriés;
— nous favorisons la promotion d’une culture de conscience du risque dans toutes les prises de décision, de
manière à favoriser la diffusion d’une approche risque, visant à tirer parti des opportunités et à prévenir
les résultats indésirables;
— l’approche risque fait référence à cette culture de conscience du risque qui doit être bien établie à tous
les niveaux de notre organisme en tant qu’élément essentiel de la «connaissance de l’organisme»;
— la responsabilité du management du risque revient à chacun au sein de notre organisme, dans ses
domaines de compétence respectifs et dans les limites de l’autorité, de la responsabilité et de l’obligation
de rendre compte qui lui sont attribuées;
— les clients attendent de plus en plus de l’organisme qu’il agisse de manière éthique, et cela s’applique à
tous les aspects de nos processus, qui contribuent directement ou indirectement à la création de valeur;
— l’engagement en matière de management du risque s’étend à l’ensemble de nos fournisseurs;
— nos critères de risque (tant pour évaluer l’importance du risque que pour choisir parmi les options de
traitement) sont basés sur notre code éthique et notamment sur le bon équilibre entre les trois piliers
du développement durable (environnemental, social, économique): le coût et le bénéfice sont tous deux à
évaluer en termes de durabilité;
— nous appliquerons également le management du risque afin de maîtriser toute forme de risques
juridiques, ce qui nous aidera à remplir toutes nos obligations de conformité.
© ISO 2020 – Tous droits réservés 7
---------------------- Page: 12 ----------------------
IWA 31:2020(F)
B.3 Application du management du risque (de l’ISO 31000) dans le SMQ existant
Le RQ a réalisé que tous les articles auraient dû être impliqués dans une certaine mesure dans le projet
d’application du management du risque dans le SMQ existant (ci-après dénommé le «projet»).
Dans un premier temps, le projet reposait sur l’idée qu’il convenait d’enraciner les composantes du cadre
organisationnel de management du risque dans les politiques et les pratiques stratégiques et opérationnelles
globales de l’organisme. Cela signifie que la première étape a consisté à passer en revue chaque élément
du SMQ afin d’identifier et d’évaluer les éventuelles lacunes dans les pratiques de management du risque
existantes. La deuxième étape a consisté à combler ces lacunes en intégrant les composantes du cadre
organisationnel de management du risque dans les éléments en liaison et en interaction du SMQ (c’est-à-
dire la structure de l’organisme, ses rôles et responsabilités, la planification et les processus pour atteindre
ses objectifs).
En dehors des articles de l’ISO 9001:2015 où le risque (associé à l’opportunité et à la menace) est
explicitement mentionné, il existe des références implicites directes ou indirectes au risque et au
management du risque dans presque tous les articles et les exigences correspondantes.
Les considérations ci-dessous ont été prises en compte par l’organisme.
La planification (Article 6) a été considérée comme un article essentiel pour le management du risque, car
elle est inhérente au concept d’influence de l’incertitude vis-à-vis des objectifs.
La compréhension de l’organisme et de son contexte (4.1) a servi de base pour établir les processus du
système de management ainsi que le cadre organisationnel et le processus de management du risque. La
détermination des parties intéressées pertinentes et de leurs besoins
...
ACCORDS ISO
INTERNATIONAUX 31
D’ATELIER
Première édition
2020-03
Management du risque — Lignes
directices pour l'utilisation de
l'ISO 31000 dans les systèmes de
management
Risk management — Guidelines on using ISO 31000 in
management systems
Numéro de référence
IWA 31:2020(F)
©
ISO 2020
---------------------- Page: 1 ----------------------
IWA 31:2020(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2020
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2020 – Tous droits réservés
---------------------- Page: 2 ----------------------
IWA 31:2020(F)
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Utilisation du terme «risque» dans l’ISO 31000 et les autres normes .1
5 Recommandations relatives à l’ISO 31000 pour les utilisateurs de NSM .2
6 Systèmes de management intégrés et utilisation de l’ISO 31000 . 3
Annexe A (informative) Correspondance entre l’ISO 31000 et la structure-cadre des NSM .4
Annexe B (informative) Étude de cas sur l’incorporation de l’ISO 31000 dans un système de
management pluridisciplinaire . 6
Annexe C (informative) Contributeurs à l’atelier .14
Bibliographie .16
© ISO 2020 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
IWA 31:2020(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www .iso .org/ avant -propos.
L’Accord international d’atelier IWA 31 a été adopté lors d’un atelier virtuel organisé par la BSI via Zoom
en décembre 2019.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/ fr/ members .html.
iv © ISO 2020 – Tous droits réservés
---------------------- Page: 4 ----------------------
IWA 31:2020(F)
Introduction
Un nombre croissant d’organismes, de tous types et de toutes tailles, utilisent des systèmes de
1)
management fondés sur une norme de système de management (NSM) de l’ISO et de l’IEC . De
nouvelles NSM ISO et IEC continuent d’être élaborées pour traiter des aspects spécifiques des activités,
produits ou services d’un organisme. Les Directives ISO/IEC, Partie 1, spécifie la structure-cadre
des NSM. Cette structure générique spécifie un texte de base identique et des termes et définitions
de base communs pour toutes les NSM ISO et IEC. Un organisme peut intégrer les exigences ou les
recommandations de différentes NSM dans son système de management. La structure unifiée des NSM
peut permettre aux utilisateurs construire plus facilement un système de management intégré (SMI),
plutôt que de se retrouver avec un système de management fragmenté. Toutes ces NSM emploient le
concept d’approche fondée sur le management du risque, d’approche fondée sur le risque ou d’approche
risque (selon la terminologie utilisée dans le système de management en question), qui est au cœur
de tout système de management. Le principal avantage en est l’application holistique de systèmes
interreliés. L’ISO 31000:2018 peut être utilisée pour développer ou améliorer davantage un SMI grâce
à ses recommandations sur la manière de déterminer les risques qu’il est nécessaire de prendre en
compte pour donner l’assurance que le système de management peut atteindre les résultats escomptés,
renforcer les effets désirés, prévenir ou réduire les effets non désirés et permettre une amélioration
continue.
L’ISO 31000 représente les meilleures pratiques internationales en matière de management du risque.
Celles-ci sont largement acceptées, génériques et adaptées au management de tout type de risque.
Intégrer le management du risque dans son ou ses systèmes de management en utilisant l’ISO 31000
apporte de nombreux avantages à un organisme, qu’il s’agisse de traiter uniquement les effets négatifs
ou d’inclure les effets positifs. La finalité du management du risque, telle que décrite dans l’ISO 31000,
est la création et la préservation de la valeur. Il contribue à améliorer les décisions des propriétaires de
risques ou de processus et renforce le fonctionnement des processus et de toutes les autres activités de
l’organisme, y compris d’ordre stratégique et opérationnel. Cela peut conduire à de meilleurs résultats,
à une plus grande qualité des éléments de sortie, à des erreurs moins coûteuses et à la gestion de la
responsabilité.
L’intégration du management du risque conformément à l’ISO 31000 permet de créer de la valeur et de
la préserver au sein des organismes en favorisant l’atteinte des objectifs et en rendant l’organisme plus
résilient face aux effets adverses. L’appréciation des risques permet leur traitement approprié et établit
une base pour accroître l’efficacité du système de management de l’organisme, obtenir de meilleurs
résultats et prévenir les conséquences négatives. Cependant, l’intégration du management du risque
dans un système de management peut poser des difficultés, qu’il est possible de réduire en suivant les
recommandations du présent document.
1) Une liste des NSM ISO et IEC est disponible à l’adresse suivante: https:// www .iso .org/ management -system
-standards -list .html.
© ISO 2020 – Tous droits réservés v
---------------------- Page: 5 ----------------------
NORME INTERNATIONALE IWA 31:2020(F)
Management du risque — Lignes directices pour
l'utilisation de l'ISO 31000 dans les systèmes de
management
1 Domaine d’application
Le présent document donne des lignes directrices pour l’intégration et l’utilisation de l’ISO 31000
dans les organismes ayant mis en œuvre une ou plusieurs normes de systèmes de management (NSM)
de l’ISO et de l’IEC, ou ayant décidé d’entreprendre un projet mettant en œuvre une ou plusieurs
NSM incorporant l’ISO 31000. Le présent document explique comment les articles de l’ISO 31000 se
rapportent à la structure-cadre des NSM.
Le présent document ne fournit pas de recommandations pour la mise en œuvre d’un système de
management en général. Il ne spécifie pas les exigences d’une NSM. Il ne fournit pas de résumé
de l’ISO 31000; cependant, comme expliqué ci-dessus, il fournit les grandes lignes permettant de
comprendre l’ISO 31000. L’utilisation du présent document ne dispense pas de la nécessité d’utiliser
d’autres normes pour traiter des aspects spécifiques du risque.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s’applique (y compris les
éventuels amendements).
ISO 31000:2018, Management du risque — Lignes directrices
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO 31000:2018 s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse http:// www .electropedia .org/
4 Utilisation du terme «risque» dans l’ISO 31000 et les autres normes
Il convient d’appréhender la terminologie dans le contexte dans lequel elle est appliquée. Concernant
le management du risque d’un organisme, l’ISO 31000:2018, 3.1, définit le «risque» comme l’«effet
de l’incertitude sur les objectifs». Certaines normes ne font pas référence aux objectifs, mais le texte
indique généralement qu’il est nécessaire de prendre en compte les risques afin de donner l’assurance
que le système de management peut atteindre les résultats escomptés. Un objectif peut être exprimé
sous la forme d’un résultat ou d’un effet escompté.
Le cadre organisationnel et le processus de management du risque de l’ISO 31000 sont ajustés et
proportionnés au contexte externe et interne de l’organisme ainsi qu’à ses objectifs. Cela inclut le point
de vue des parties intéressées.
Cela met en œuvre en général une compréhension du terme «risque» qui restreint le concept de risque
de l’ISO 31000 en ce sens que l’accent est mis sur l’impact négatif potentiel des écarts par rapport à ce
© ISO 2020 – Tous droits réservés 1
---------------------- Page: 6 ----------------------
IWA 31:2020(F)
qui est attendu. Cette approche peut être considérée comme faisant partie de la définition plus large du
risque de l’ISO 31000:2018, 3.1.
5 Recommandations relatives à l’ISO 31000 pour les utilisateurs de NSM
L’ISO 31000:2018 propose des recommandations applicables par tous les types d’organismes, quels que
soient leur type et leur taille, et s’adresse aux personnes qui, au sein des organismes, créent de la valeur
et la préservent par le management du risque, la prise de décision, l’établissement d’une finalité et d’une
stratégie, l’atteinte des objectifs et l’amélioration de la performance.
Les huit principes du management du risque servent de fondement à la création et à la préservation
de la valeur. Ils fournissent des recommandations sur les caractéristiques d’un management du risque
efficace et efficient, en communiquant sa valeur et en expliquant son intention et sa finalité. L’ISO 31000
fournit une approche commune permettant de gérer tout type de risque auquel un organisme est
confronté au cours de sa vie.
La finalité du cadre organisationnel de management du risque est d’aider l’organisme à intégrer le
management du risque dans les activités et les fonctions significatives. L’efficacité du management
du risque va dépendre de son intégration dans la gouvernance de l’organisme, y compris la prise de
décision.
Il convient d’ajuster le processus de management du risque tel que décrit dans l’ISO 31000 de façon
proportionnée au contexte externe et interne de l’organisme et de ses objectifs. Il convient de l’adapter
pour qu’il fasse partie intégrante du système de management et qu’il soit intégré dans la structure, le
fonctionnement et les processus de l’organisme.
En suivant les recommandations relatives aux principes et au cadre organisationnel, un organisme peut
choisir d’ajuster l’application des processus de management du risque à son système de management
pour tout type de risque auquel il est confronté au cours de sa vie. Ajouter les étapes du processus de
management du risque peut permettre d’améliorer le système de management. Dans ce contexte, il est
nécessaire de se rappeler que, bien que le processus de management du risque soit souvent présenté
comme séquentiel, dans la pratique, il est itératif.
Il convient d’appliquer le management du risque chaque fois qu’une information ou une estimation
quelconque initialise ou alimente un processus ou une activité, ou chaque fois qu’il y a un changement
dans le contexte de l’organisme.
Il peut exister un degré d’incertitude dans cette information ou estimation, ce qui peut avoir un effet
sur l’atteinte des objectifs. Un effet est expliqué dans l’ISO 31000:2018, 3.1, comme étant un écart par
rapport à un attendu, lequel peut être positif, négatif ou les deux à la fois. Par conséquent, il convient que
l’organisme revienne sur l’identification du risque chaque fois qu’il dispose de nouvelles informations
ou estimations pertinentes pour ses processus et activités.
La Figure 1 montre la correspondance entre les lignes directrices de l’ISO 31000 et le cadre
organisationnel des articles génériques de la structure-cadre des NSM. La ligne du haut renvoie
aux articles de la structure-cadre tandis que la colonne de gauche représente les articles du cadre
organisationnel de l’ISO 31000. Par exemple, si l’on regarde à l’intersection de l’ISO 31000:2018, 5.2,
portant sur le leadership et de l’article de la structure-cadre sur le leadership, la zone grise indique la
présence d’un processus faisant référence au management du risque. Ce tableau peut donc servir de
point de référence. Pour plus de détails sur les relations entre les articles, voir le Tableau A.1.
2 © ISO 2020 – Tous droits réservés
---------------------- Page: 7 ----------------------
IWA 31:2020(F)
Figure 1 — Relations entre l’ISO 31000 et les articles de la structure-cadre des NSM
6 Systèmes de management intégrés et utilisation de l’ISO 31000
L’application du management du risque peut se faire par l’approche processus d’un système de
management. Il convient de fusionner le cadre organisationnel de l’ISO 31000 avec le système
de management en appliquant une analyse des écarts pour inclure les composantes du cadre
organisationnel de l’ISO 31000. L’intégration du management du risque dans l’approche processus
permet d’éviter les doublons ou les conflits.
Afin de parvenir à une intégration et à une mise en œuvre efficaces et efficientes du cadre organisationnel
de l’ISO 31000 et de son processus dans d’autres NSM, il convient que l’organisme adopte les principes
de l’ISO 31000. La manuel de l’ISO intitulé The Integrated Use of Management Systems Standards (IUMSS)
[5]
peut être une référence utile à cet égard. Pour connaître les étapes détaillées permettant d’intégrer
l’utilisation des NSM, il est conseillé de se reporter à ce manuel.
L’Annexe A fournit des recommandations sur la manière dont un organisme peut aborder l’intégration
du management du risque dans ses NSM. L’Annexe B présente une étude de cas sur l’intégration de
l’ISO 31000 dans un système de management pluridisciplinaire.
© ISO 2020 – Tous droits réservés 3
---------------------- Page: 8 ----------------------
IWA 31:2020(F)
Annexe A
(informative)
Correspondance entre l’ISO 31000 et la structure-cadre des NSM
Le Tableau A.1 montre les liens entre les principaux articles de l’ISO 31000 et les articles corrélés les
plus importants de la structure-cadre des NSM. Les utilisateurs de l’ISO 31000 peuvent intégrer les
pratiques du management du risque dans le système de management de l’organisme là où les articles de
la structure-cadre sont traités.
Tableau A.1 — Correspondance entre l’ISO 31000 et la structure-cadre des NSM
Articles de l’ISO 31000:2018
Articles de la structure-cadre des NSM
5. Cadre
a
4. Principes 6. Processus
organisationnel
4.1 Compréhension de l’organisme 6.1, 6.3.1, 6.3.3,
0, a), c), e), f), g) 5.2, 5.4.1
et de son contexte 6.3.4, 6.6, 6.7
6.1, 6.2, 6.3.1,
4.2 Compréhension des besoins et
0, a), c), d), e), f), g) 5.2, 5.4.1, 5.4.5 6.3.3, 6.3.4, 6.6,
attentes des parties intéressées
6.7
4. Contexte de
l’organisme
4.3 Détermination du périmètre
d’application du système de 0, a), c), f) 5.1, 5.2, 5.4.1, 5.5 6.3.1, 6.3.3, 6.3.4
management XXX
5.1, 5.2, 5.3,
4.4 Système de management XXX 0, a), b), c), f) 6.3.1, 6.3.3, 6.3.4
5.4.1, 5.5
5.1, 5.2, 5.4.2,
5.1 Leadership et engagement 0, a), c), d), g) 6.2, 6.6, 6.7
5.4.4
5. Leadership 5.2 Politique 0, a), c), d), g) 5.2, 5.4.2 6.2, 6.6, 6.7
5.3 Rôles, responsabilités et
a), c), d), g) 5.2, 5.4.3 —
autorités au sein de l’organisme
6.1 Actions à mettre en œuvre
0, a), b), e), f) 5.1, 5.4.2, 5.7.1 6.1, 6.4, 6.5
face aux risques et opportunités
6. Planification
6.2 Objectifs XXX et planification
0, a), b) 5.4.2, 5.7.2 6.5
des actions pour les atteindre
7.1 Ressources 0, a), f), g) 5.1, 5.4.4 6.3.4, 6.5.2
7.2 Compétences 0, a), f), g) 5.1 —
7. Soutien 7.3 Sensibilisation 0, a), f), g) 5.1 —
7.4 Communication 0, a), d), f) 5.1, 5.4.5 6.1, 6.2, 6.3.4
7.5 Informations documentées 0, a), f) 5.1 6.1, 6.7
8. Réalisation
8.1 Planification et maîtrise 6.1, 6.4, 6.5, 6.6,
des activités 0, a), b), f) 5.1, 5.3, 5.5, 5.7
opérationnelles 6.7
opérationnelles
a
Le principe «0» renvoie au principe de base «création et préservation de la valeur».
NOTE Les numéros de paragraphe dans les cellules renvoient aux paragraphes de l’ISO 31000:2018 en fonction de l’intitulé
de la colonne pertinente.
4 © ISO 2020 – Tous droits réservés
---------------------- Page: 9 ----------------------
IWA 31:2020(F)
Tableau A.1 (suite)
Articles de l’ISO 31000:2018
Articles de la structure-cadre des NSM
5. Cadre
a
4. Principes 6. Processus
organisationnel
9.1 Surveillance, mesure, analyse 6.1, 6.3.3, 6.3.4,
a) 5.6
et évaluation 6.4.1, 6.6, 6.7
9. Évaluation des 6.1, 6.3, 6.4.1,
9.2 Audit interne a) 5.6
performances 6.6, 6.7
6.1, 6.3, 6.4.1,
9.3 Revue de direction 0, a), b), e), g) 5.6, 5.7
6.6, 6.7
10.1 Non-conformité et actions
0, a), h) 5.7 6.1, 6,4, 6.5, 6.6
correctives
10. Amélioration
10.2 Amélioration continue 0, a), h) 5.1, 5.2, 5.7 6.1, 6.4, 6.5, 6.6
a
Le principe «0» renvoie au principe de base «création et préservation de la valeur».
NOTE Les numéros de paragraphe dans les cellules renvoient aux paragraphes de l’ISO 31000:2018 en fonction de l’intitulé
de la colonne pertinente.
© ISO 2020 – Tous droits réservés 5
---------------------- Page: 10 ----------------------
IWA 31:2020(F)
Annexe B
(informative)
Étude de cas sur l’incorporation de l’ISO 31000 dans un système
de management pluridisciplinaire
B.1 Généralités
Cette étude de cas illustre une approche holistique du management du risque au sein d’un organisme
dans de multiples disciplines, basée sur les principes de l’ISO 31000 et la structure-cadre des NSM. Cette
étude de cas ne fournit aucune recommandation sur la manière d’aborder l’intégration de l’ISO 31000
dans le ou les systèmes de management d’un organisme. Elle n’inclut pas non plus les exigences relatives
à chacune des NSM citées.
Pour les besoins de cette annexe, seuls les aspects de certains articles/exigences (ceux considérés
comme particulièrement efficaces) sont mis en avant pour montrer comment l’application des exigences
aux processus du système de management de la qualité (SMQ) de l’organisme a été passée en revue à la
lumière d’une approche fondée sur le management du risque.
Le texte utilisé dans l’étude de cas représente les éléments suivants:
— texte en italique: fournit le point de vue de l’organisme;
— texte normal: fournit des recommandations.
NOTE Dans cette annexe, le terme «partie intéressée» a été utilisé car il s’agit du terme employé par
l’organisme concerné, qui applique l’ISO 9001 depuis 1997. Conformément à la définition de «partie prenante»
dans l’ISO 31000:2018, 3.3, le terme «partie intéressée» peut être utilisé comme alternative.
B.2 Description et références de l’organisme
«XYZ» est un organisme fictif utilisé pour les besoins de cette annexe.
— Il compte environ 120 personnes.
— Ses activités concernent le développement, le commerce, l’assistance technique et la production, par
mélange de poudres et de liquides, de:
— produits chimiques pour le traitement de surface des matériaux;
— produits chimiques pour le traitement des eaux;
— lubrifiants pour les traitements mécaniques;
— produits chimiques auxiliaires;
— films de protection temporaire et systèmes adhésifs pour l’industrie aérospatiale.
— Il s’agit d’une société à but lucratif.
— Il est nécessaire pour l’organisme de considérer l’environnement réglementaire, par exemple
pour l’UE, le Canada et la Colombie, en ce qui concerne des sujets tels que les exigences en matière
d’élimination, de déchets chimiques, de transport, de sécurité, etc.
— Sa situation géographique est éclatée avec deux usines (Canada-Toronto et Colombie-Bogota) et un
siège social basé à Bruxelles.
6 © ISO 2020 – Tous droits réservés
---------------------- Page: 11 ----------------------
IWA 31:2020(F)
L’organisme est certifié ISO 9001 depuis 1998.
Depuis la certification ISO 9001, des exigences supplémentaires ont été formulées par les clients pour
travailler avec d’autres NSM afin de gérer les aspects environnementaux et les aspects liés à la santé et à la
sécurité, qui faisaient l’objet de systèmes distincts.
Fin décembre 2017, le responsable qualité (RQ) a pris conscience de la possibilité d’intégrer le management
du risque conformément à l’ISO 31000 dans le système de management de l’entreprise, en partant du SMQ
bien consolidé.
Après avoir discuté de l’étude et de ses avantages avec le PDG et avoir obtenu son accord de principe, le RQ
a suggéré au PDG de participer ensemble à un séminaire au cours duquel des organismes de trois secteurs
différents partageront leur propre expérience sur l’utilisation de l’ISO 31000, y compris la transition de
l’édition 2009 à celle de 2018. À la fin du séminaire, le PDG et le RQ ont réalisé l’intérêt de mettre en place un
cadre organisationnel de management du risque pour soutenir leurs systèmes de management et ont pris la
décision de franchir le pas.
Il convient d’intégrer l’approche du management du risque dans le système de management ISO 9001
existant. Le PDG et le conseil d’administration ont confié au RQ la responsabilité et l’autorité pour élaborer
un projet détaillé indiquant les intentions et les orientations de l’approche du management du risque,
conformément à l’ISO 31000. Ils ont également chargé tous les propriétaires de processus de coopérer
activement avec le RQ à la fois pour préparer et mettre en œuvre le projet.
Ces intentions et orientations ont ensuite été incorporées dans la politique elle-même intégrée. Quelques
exemples sont donnés ci-dessous:
— le risque est une composante inévitable qui fait partie intégrante de notre activité; chaque activité qui
aide l’organisme à poursuivre des objectifs introduit de nouveaux risques pour l’organisme;
— nous nous engageons à gérer tous les risques de manière proactive et efficace;
— l’appréciation du risque sera appliquée à tous les aspects de notre activité par l’encadrement, l’instance
dirigeante et les services opérationnels aux niveaux appropriés;
— nous favorisons la promotion d’une culture de conscience du risque dans toutes les prises de décision, de
manière à favoriser la diffusion d’une approche risque, visant à tirer parti des opportunités et à prévenir
les résultats indésirables;
— l’approche risque fait référence à cette culture de conscience du risque qui doit être bien établie à tous
les niveaux de notre organisme en tant qu’élément essentiel de la «connaissance de l’organisme»;
— la responsabilité du management du risque revient à chacun au sein de notre organisme, dans ses
domaines de compétence respectifs et dans les limites de l’autorité, de la responsabilité et de l’obligation
de rendre compte qui lui sont attribuées;
— les clients attendent de plus en plus de l’organisme qu’il agisse de manière éthique, et cela s’applique à
tous les aspects de nos processus, qui contribuent directement ou indirectement à la création de valeur;
— l’engagement en matière de management du risque s’étend à l’ensemble de nos fournisseurs;
— nos critères de risque (tant pour évaluer l’importance du risque que pour choisir parmi les options de
traitement) sont basés sur notre code éthique et notamment sur le bon équilibre entre les trois piliers
du développement durable (environnemental, social, économique): le coût et le bénéfice sont tous deux à
évaluer en termes de durabilité;
— nous appliquerons également le management du risque afin de maîtriser toute forme de risques
juridiques, ce qui nous aidera à remplir toutes nos obligations de conformité.
© ISO 2020 – Tous droits réservés 7
---------------------- Page: 12 ----------------------
IWA 31:2020(F)
B.3 Application du management du risque (de l’ISO 31000) dans le SMQ existant
Le RQ a réalisé que tous les articles auraient dû être impliqués dans une certaine mesure dans le projet
d’application du management du risque dans le SMQ existant (ci-après dénommé le «projet»).
Dans un premier temps, le projet reposait sur l’idée qu’il convenait d’enraciner les composantes du cadre
organisationnel de management du risque dans les politiques et les pratiques stratégiques et opérationnelles
globales de l’organisme. Cela signifie que la première étape a consisté à passer en revue chaque élément
du SMQ afin d’identifier et d’évaluer les éventuelles lacunes dans les pratiques de management du risque
existantes. La deuxième étape a consisté à combler ces lacunes en intégrant les composantes du cadre
organisationnel de management du risque dans les éléments en liaison et en interaction du SMQ (c’est-à-
dire la structure de l’organisme, ses rôles et responsabilités, la planification et les processus pour atteindre
ses objectifs).
En dehors des articles de l’ISO 9001:2015 où le risque (associé à l’opportunité et à la menace) est
explicitement mentionné, il existe des références implicites directes ou indirectes au risque et au
management du risque dans presque tous les articles et les exigences correspondantes.
Les considérations ci-dessous ont été prises en compte par l’organisme.
La planification (Article 6) a été considérée comme un article essentiel pour le management du risque, car
elle est inhérente au concept d’influence de l’incertitude vis-à-vis des objectifs.
La compréhension de l’organisme et de son contexte (4.1) a servi de base pour établir les processus du
système de management ainsi que le cadre organisationnel et le processus de management du risque. La
détermination des parties intéressées pertinentes et de leurs besoins et attentes a servi de base à la mise
en place du système de management et de ses processus ainsi qu’à l’établissement des critères de risque. Les
exigences relatives à la communication (voir ISO
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.