Avant-projet de norme soumis à enquête probatoire jusqu au : 15 juin 2008

Transcription

1 Avant-projet de norme soumis à enquête probatoire jusqu au : 15 juin 2008 Pr NF ISO Indice de classement : X T1 Management du risque T2 Principes et lignes directrices de mise en oeuvre T3 E : Risk management Principles and guidelines on implementation D : Avant-projet de norme française homologuée Remplace : Correspondance Analyse Modifications

2 Commentaires : ISO Management du risque Principes et lignes directrices de mise en œuvre 1- Périmètre de la norme : La présente Norme internationale fournit des principes et des lignes directrices générales pour la mise en œuvre du management du risque. La présente Norme internationale peut être appliquée à toute entreprise publique, privée, individuelle ou sous forme de société, à toute association à but non lucratif, tout groupe ou individu. Elle est donc générique et n est pas spécifique à une industrie ou un secteur donné. La présente Norme internationale peut être appliquée tout au long de la vie d un organisme et à une large gamme d activités, de processus, de fonctions, de projets, de produits, de services, d actifs, d activités opérationnelles et de décisions. Bien que la présente Norme internationale fournisse des lignes directrices générales, elle ne vise pas à uniformiser le management du risque de tous les organismes. La conception et la mise en œuvre du management du risque dépendent des besoins propres de l organisme spécifique, de ses objectifs, contexte, structure, produits, services, projets particuliers, ainsi que des processus opérationnels et des pratiques spécifiques employées. En revanche, la présente Norme internationale vise à harmoniser les processus de management du risque dans les normes existantes et à venir. Elle offre une approche commune à l établissement des normes traitant de risques et/ou secteurs spécifiques, sans toutefois remplacer ces normes. La présente Norme internationale n a pas vocation à servir de base à une certification. 2 Historique relatif au développement de la norme ISO : En Juin 2004 AFNOR a été amenée, via l'iso/tmb, à se prononcer sur la reprise «Fasttrack» du document australien AS/NZS 4360 management du risque en tant que norme ISO. Compte-tenu du peu de temps pour consulter les instances normatives concernées et d autre part compte tenu de la sensibilité des acteurs économiques sur la thématique du management des risques, L AFNOR a voté contre la reprise «Fast-track» du document AS/NZS 4360 management du risque en tant que norme ISO. Suite à cette consultation les membres du TMB ont pris les décisions suivantes : «refusent la reprise de la norme AS/NZS4360 en tant que norme ISO au stade DIS (draft international standard), mais considère qu il y a un besoin d harmonisation des normes existantes dans le domaine du management du risque,

3 et par conséquent invite l Australie à fournir une proposition de structure pour développer une norme générique ISO sur le management du risque, pour considération lors de la prochaine réunion du TMB (septembre 2004).» Suite au refus de la position australienne, une nouvelle proposition conjointe entre au plan international, une proposition japonaise, de nouveau sujet d étude pour l élaboration de lignes directrices pour la gestion des risques, appuyée par les membres australien et britannique de l ISO, a été approuvée en juin Dans sa réponse à la consultation des membres de l ISO sur la proposition précitée, AFNOR approuvait le lancement de travaux normatifs sur le management des risques au sein de l ISO, aux conditions suivantes : la future norme doit fournir des lignes directrices, ou des recommandations, et non des exigences ; la future norme ne doit pas être destinée à des fins de certifications/enregistrement ; la future norme ne doit pas constituer une nouvelle norme de système de management. Les travaux ISO ont pris place dans un groupe de travail à animation japonaise, directement rattaché au Bureau de gestion technique (TMB) de l ISO. Les travaux ont officiellement débutés en septembre Formulation des commentaires Nous tenons à vous rappeler que la version de référence est la norme anglaise. Cependant, vous pouvez formuler vos commentaires d'ordre technique et éditorial soit en anglais, soit en français. Nous tenons également à souligner l importance de nous faire part des problèmes de traduction que vous auriez identifiés sur la version française. 4 - Présentation de l enquête probatoire Qu est ce que l enquête probatoire? L enquête probatoire constitue une large consultation, de l ensemble des partenaires économiques pour s assurer que le projet de norme est conforme à l'intérêt général et ne soulève aucune objection majeure. Elle doit permettre à chacun des destinataires ( les représentants des professionnels, des utilisateurs, et des pouvoirs publics ) d'apporter leurs commentaires sur le projet de norme. L enquête sera mise sur le site web AFNOR ( où le projet de norme sera accessible à tout public, et où sera mis à disposition le formulaire de réponse à l enquête. L avis d enquête probatoire est publié : au Journal Officiel ; dans la revue Enjeux, mensuel français de la normalisation ; auprès des adhérents d AFNOR, via la lettre «les exclusives».

4 Dépouillement de l enquête A l'issue de cette enquête, l ensemble des observations reçues par AFNOR sera synthétisé et classé par ordre des paragraphes du projet de norme. Les commentaires seront examinés par les commission de normalisation «Evaluation des risques» lors d une ou plusieurs réunions de dépouillement, où seront également invitées les personnes ayant formulé des commentaires pendant l enquête. L objectif de cette réunion de dépouillement est d'étudier et de statuer sur chaque commentaire sur le projet de norme : prise en compte ou non du commentaire ( dans ce cas, avec justification). Il s agit de donner suite à tous les commentaires. Date de la réunion de dépouillement La date de la réunion de dépouillement est fixée le mercredi 25 juin 2008 de 9h00 à 17h00, dans les locaux d AFNOR, 11 rue Francis de Pressensé, La Plaine Saint-Denis. 5- Prochaines étapes A l'issue de l'enquête lancée dans tous les pays membres de l'iso, le DIS pourra être approuvé en tant que projet final de norme internationale (FDIS) si une majorité des deux tiers des votes des membres actifs du comité technique ou du sous-comité se prononce en sa faveur et que le nombre de votes négatifs ne dépasse pas le quart du nombre total de votes exprimés Dans le cas où le DIS passe au stade FDIS, le projet final de norme internationale est diffusé auprès des membres de l ISO pour vote formel. Ainsi, si l organisme national de normalisation vote positivement, il ne doit pas soumettre de commentaires techniques. Par contre, si un organisme national juge inacceptable un projet final de Norme internationale, il doit voter négativement et il doit en donner les raisons techniques. Il ne doit pas émettre un vote positif sous réserve de modifications. Un projet final de norme internationale (FDIS) diffusé pour vote est approuvé si une majorité des deux tiers des votes exprimés par les membres actifs du comité technique ou du souscomité est favorable, et que le nombre de votes négatifs ne dépasse pas le quart du nombre total des votes exprimés. Finalement, si le projet final de norme internationale est approuvé, il doit passer au stade publication.

5 ISO 2008 Tous droits réservés ISO/TC TMB/SC Date: ISO/DIS ISO/TC TMB/SC /GT Secrétariat: JISC Management du risque Principes et lignes directrices de mise en œuvre Risk management Principles and guidelines on implementation Avertissement Ce document n est pas une Norme internationale de l ISO. Il est distribué pour examen et observations. Il est susceptible de modification sans préavis et ne peut être cité comme Norme internationale. Les destinataires du présent projet sont invités à présenter, avec leurs observations, notification des droits de propriété dont ils auraient éventuellement connaissance et à fournir une documentation explicative. Type du document: Norme internationale Sous-type du document: Stade du document: (40) Enquête Langue du document: F M:\dp\AA_Production\ISO\31000\03_TRAD_DIS\Doc traduit\iso_31000_(f).doc STD Version 2.2

6 Notice de droit d auteur Ce document de l ISO est un projet de Norme internationale qui est protégé par les droits d auteur de l ISO. Sauf autorisé par les lois en matière de droits d auteur du pays utilisateur, aucune partie de ce projet ISO ne peut être reproduite, enregistrée dans un système d extraction ou transmise sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, les enregistrements ou autres, sans autorisation écrite préalable. Les demandes d autorisation de reproduction doivent être envoyées à l ISO à l adresse ci-après ou au comité membre de l ISO dans le pays du demandeur. ISO copyright office Case postale 56 CH-1211 Geneva 20 Tel Fax [email protected] Web Toute reproduction est soumise au paiement de droits ou à un contrat de licence. Les contrevenants pourront être poursuivis. ii ISO 2008 Tous droits réservés

7 Sommaire Page Avant-propos...iv Introduction...v 1 Domaine d application Références normatives Termes et définitions Principes de management du risque Cadre organisationnel de management du risque Généralités Mandat et engagement Conception du cadre organisationnel de management du risque Compréhension de l organisme et de son contexte Politique de management du risque Intégration aux processus organisationnels Responsabilité financière Ressources Établissement de mécanismes de communication et de consignation internes Établissement de mécanismes de communication et de consignation externes Mise en œuvre du management du risque Mise en œuvre du cadre organisationnel de management du risque Mise en œuvre du processus de management du risque Surveillance et revue du cadre organisationnel Amélioration continue du cadre organisationnel Processus de management du risque Généralités Communication et consultation Établissement du contexte Généralités Établissement du contexte externe Établissement du contexte interne Établissement du contexte du processus de management du risque Élaboration des critères de risque Appréciation du risque Généralités Identification du risque Analyse du risque Évaluation du risque Traitement du risque Généralités Sélection des options de traitement du risque Élaboration et mise en œuvre des plans de traitement du risque Surveillance et revue Documentation du processus de management du risque...15 Annexe A (informative) Attributs d un management du risque amélioré...16 A.1 Généralités...16 A.2 Attributs...16 Bibliographie...18 ISO 2008 Tous droits réservés iii

8 Avant-propos L ISO (Organisation internationale de normalisation) est une fédération mondiale d organismes nationaux de normalisation (comités membres de l ISO). L élaboration des Normes internationales est en général confiée aux comités techniques de l ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales, gouvernementales et non gouvernementales, en liaison avec l ISO participent également aux travaux. L ISO collabore étroitement avec la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique. Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI, Partie 2. La tâche principale des comités techniques est d élaborer les Normes internationales. Les projets de Normes internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur publication comme Normes internationales requiert l approbation de 75 % au moins des comités membres votants. La présente norme peut être révisée après cinq ans sur la base de l expérience acquise. Les comités qui élaborent des normes sont invités à informer le Secrétariat Central de l ISO de toute difficulté à laquelle ils pourraient se voir confrontés dans la mise en application des présentes dispositions. iv ISO 2008 Tous droits réservés

9 Introduction Les organismes de tous types et de toutes tailles sont confrontés à divers risques susceptibles d affecter l atteinte de leurs objectifs. Ces objectifs peuvent concerner un ensemble d activités de l organisme, depuis ses initiatives stratégiques jusqu à ses activités opérationnelles, ses processus et ses projets, et se décliner en termes de résultats et d impacts stratégiques, opérationnels et financiers ainsi que de réputation. Toute activité d un organisme implique des risques. Le management du risque apporte une aide à la prise de décision par la prise en compte de l incertitude et de son effet sur l atteinte des objectifs, et à l évaluation de la nécessité de chaque action. Un processus de management du risque implique l utilisation de méthodes logiques et systématiques pour : la communication et la consultation tout au long du processus ; l établissement du contexte ; l identification, l analyse, l évaluation et le traitement du risque associé à toute activité, processus, fonction, projet, produit, service ou actif ; la surveillance et la revue du risque ; et l enregistrement et la consignation des résultats de manière appropriée. La présente Norme internationale reconnaît la diversité de nature, de niveau et de complexité des risques et fournit des lignes directrices sur les principes et la mise en œuvre du management du risque. Afin de faciliter l application de ces lignes directrices générales dans une situation donnée, la présente Norme internationale indique comment il convient qu un organisme comprenne le contexte spécifique dans lequel il doit mettre en œuvre le management du risque. Le management du risque peut être appliqué à l ensemble de l organisme, c est-à-dire à tous secteurs et niveaux, à tout moment, ainsi qu à des fonctions et activités spécifiques. La mise en œuvre et la maintenance du management du risque conformément à la présente Norme internationale permettent par exemple à un organisme : de promouvoir un management proactif plutôt que réactif ; de prendre conscience de la nécessité d identifier et de traiter le risque à travers tout l organisme ; de faciliter l identification des opportunités et des menaces ; de se conformer aux obligations légales et réglementaires ainsi qu aux normes internationales ; d améliorer la rédaction des rapports financiers ; d améliorer la gouvernance d entreprise ; d accroître l assurance et la confiance des parties prenantes ; d établir une base fiable pour la prise de décision et la planification ; ISO 2008 Tous droits réservés v

10 d améliorer les contrôles ; d allouer et d utiliser efficacement les ressources pour le traitement du risque ; d améliorer l efficacité et la performance opérationnelles ; d améliorer la santé et la sécurité ; d améliorer la gestion et la prévention des incidents ; de réduire les pertes ; d améliorer l apprentissage organisationnel ; et d améliorer la résilience organisationnelle. Il convient que le management du risque permette de s assurer que les organismes apportent une réponse appropriée aux risques qui les affectent. Il convient par conséquent que le management du risque permette d écarter les réponses inefficaces qui pourraient empêcher des activités légitimes et/ou fausser l allocation nécessaire des ressources. Pour être efficace au sein d un organisme, il convient que le management du risque soit intégré à la gouvernance, au management, aux processus de consignation, aux politiques, à la philosophie et à la culture générales de l organisme. La même approche de management du risque peut être adoptée pour toutes les activités d un organisme, y compris les projets, les fonctions spécifiques, les actifs et les produits ou activités, renforçant ainsi la liaison entre ces activités et les objectifs globaux de l organisme. La présente Norme internationale est destinée à être utilisée par une grande diversité de parties prenantes, dont : les personnes responsables de la mise en œuvre du management du risque au sein de leur organisme ; les personnes chargées de s assurer qu un organisme gère le risque ; les personnes chargées de gérer le risque pour l organisme dans son ensemble ou dans un domaine ou pour une activité spécifique ; les personnes chargées d évaluer les pratiques d un organisme en matière de management du risque ; et les rédacteurs de normes, guides, procédures et bonnes pratiques qui, en totalité ou en partie, établissent la manière dont le risque doit être géré à travers ces documents particuliers. Pour nombre d organismes, les pratiques et processus de management existants comportent des éléments de management du risque, et beaucoup d organismes ont déjà adopté un processus formalisé de management du risque pour des types particuliers de risques ou de situations. Toutefois, la direction pourrait envisager de revoir sérieusement ses pratiques et processus existants à la lumière de la présente norme. Même si la pratique du management du risque s est développée au fil du temps et dans de nombreux secteurs pour répondre à différents besoins, une approche globale consistant en un cadre organisationnel regroupant un ensemble d éléments essentiels peut contribuer à garantir que le risque est géré de façon efficace et cohérente au sein d un organisme. L approche générique décrite dans la présente Norme internationale fournit des lignes directrices pour la mise en œuvre des principaux éléments de management du risque de manière transparente et fiable, quels que soient le domaine d application et le contexte. vi ISO 2008 Tous droits réservés

11 Chaque secteur ou application spécifique du management du risque s accompagne des besoins, publics, perceptions et critères qui lui sont propres. C est pourquoi, l un des points essentiels de la présente Norme internationale consiste à inclure «l établissement du contexte» comme activité placée au début du processus global de management du risque. Cette activité permet de saisir la diversité des critères ainsi que la nature et la complexité des risques et autres facteurs à prendre en compte et à gérer dans chaque cas. Certains domaines de management du risque, notamment en matière de sécurité, de santé des personnes et d environnement, imposent des critères reflétant un refus des conséquences négatives. Ces critères peuvent relever d obligations légales ou réglementaires ou de normes internationales. L application de l approche de management du risque décrite dans la présente Norme internationale permet de vérifier que ces critères sont bien identifiés et appliqués. Par conséquent, la présente Norme internationale peut également aider un organisme à remplir ses obligations légales et réglementaires ou vis-à-vis de normes internationales, ainsi qu à améliorer ses performances. La Figure 1 illustre les relations entre les principes de management du risque, le cadre organisationnel et le processus de management du risque décrits dans cette norme. Figure 1 Relations entre les principes, le cadre organisationnel et le processus de management du risque ISO 2008 Tous droits réservés vii

12

13 PROJET DE NORME INTERNATIONALE ISO/DIS Management du risque Principes et lignes directrices de mise en œuvre 1 Domaine d application La présente Norme internationale fournit des principes et des lignes directrices générales pour la mise en œuvre du management du risque. La présente Norme internationale peut être appliquée à toute entreprise publique, privée, individuelle ou sous forme de société, à toute association à but non lucratif, tout groupe ou individu. Elle est donc générique et n est pas spécifique à une industrie ou un secteur donné. NOTE Pour plus de facilité, les différentes entités auxquelles la présente Norme internationale est destinée sont désignées par le terme général d «organisme». La présente Norme internationale peut être appliquée tout au long de la vie d un organisme et à une large gamme d activités, de processus, de fonctions, de projets, de produits, de services, d actifs, d activités opérationnelles et de décisions. Bien que la présente Norme internationale fournisse des lignes directrices générales, elle ne vise pas à uniformiser le management du risque de tous les organismes. La conception et la mise en œuvre du management du risque dépendent des besoins propres de l organisme spécifique, de ses objectifs, contexte, structure, produits, services, projets particuliers, ainsi que des processus opérationnels et des pratiques spécifiques employées. En revanche, la présente Norme internationale vise à harmoniser les processus de management du risque dans les normes existantes et à venir. Elle offre une approche commune à l établissement des normes traitant de risques et/ou secteurs spécifiques, sans toutefois remplacer ces normes. La présente Norme internationale n a pas vocation à servir de base à une certification. 2 Références normatives Les documents de référence suivants sont indispensables pour l application du présent document. Pour les références datées, seule l édition citée s applique. Pour les références non datées, la dernière édition du document de référence s applique (y compris les éventuels amendements). ISO/CEI Guide 73, Management du risqué - Vocabulaire 1). 3 Termes et définitions Pour les besoins du présent document, les termes et définitions donnés dans le Guide ISO/CEI 73 s appliquent. 1) À publier. ISO 2008 Tous droits réservés 1

14 4 Principes de management du risque Pour optimiser l efficacité, il convient que le management du risque de tout organisme adhère aux principes suivants. a) Le management du risque crée de la valeur. Le management du risque contribue de façon démontrable à l atteinte des objectifs et à l amélioration, par exemple, de la santé et de la sécurité des personnes, de la conformité légale et réglementaire, de l acceptation par le public, de la protection environnementale, des performances financières, de la qualité des produits, de l efficacité opérationnelle, de la gouvernance d entreprise et de la réputation. b) Le management du risque est intégré aux processus organisationnels. Le management du risque relève de la responsabilité de la direction et doit être intégré aux processus de gestion courante de l organisme ainsi qu à tous les processus de management des projets et du changement. Le management du risque n est pas une activité indépendante séparée des principales activités et principaux processus de l organisme. c) Le management du risque est intégré au processus de prise de décision. Le management du risque éclaire les choix des décideurs. Le management du risque peut aider à l identification des priorités d actions et aux choix entre différents plans d action. Enfin, il peut aider à évaluer si un risque est inacceptable et si le traitement du risque sera approprié et efficace. d) Le management du risque traite explicitement de l incertitude. Le management du risque concerne tous les aspects de la prise de décision qui sont incertains, la nature des ces incertitudes, et comment celles-ci peuvent être traitées. e) Le management du risque est systématique, structuré et utilisé en temps utile. Une approche systématique, en temps utile et structurée du management du risque contribue à l efficacité de la démarche et permet d obtenir des résultats cohérents, comparables et fiables. f) Le management du risque s appuie sur la meilleure information disponible. Les données sur lesquelles repose le processus de management du risque sont recueillies à partir de diverses sources d information, telles que l historique des événements, les retours d expérience, l observation, les prévisions et les avis d experts. Toutefois, il convient que les décideurs soient informés et tiennent compte des éventuelles limites des données ou modèles utilisés ainsi que des éventuelles divergences entre experts. g) Le management du risque doit être taillé sur mesure. Le management du risque prend en compte le contexte externe et interne de l organisme et son profil de risque. h) Le management du risque intègre les facteurs humains et culturels. Le management du risque permet d identifier les aptitudes, les perceptions et les intentions des personnes externes et internes susceptibles de faciliter ou de gêner l atteinte des objectifs de l organisme. i) Le management du risque est transparent et participatif. L implication dans le management du risque de l ensemble des parties prenantes, et notamment des décideurs, à tous les niveaux de l organisme doit se faire de façon appropriée et mesurée. Elle permet également aux parties prenantes d être correctement représentées et de voir leur opinion prise en compte dans la détermination des critères de risque. 2 ISO 2008 Tous droits réservés

15 j) Le management du risque est dynamique, itératif et réactif au changement. La survenance d événements internes et externes, l évolution du contexte et des connaissances, l audit et la révision des résultats conduisent à l émergence de nouveaux risques, tandis que d autres sont modifiés ou disparaissent. Il convient donc que chaque organisme veille à ce que son management du risque soit évolutif et réactif au changement. k) Le management du risque facilite l amélioration et l évolution continues de l organisme. Il convient que les organismes élaborent et mettent en œuvre des stratégies visant à améliorer leur maturité pour le management du risque, comme pour tous les autres aspects de leur organisation. Pour plus d informations, voir l Annexe A «Attributs d un management du risque amélioré». 5 Cadre organisationnel de management du risque 5.1 Généralités Pour être efficace, il convient que le management du risque opère au sein d un cadre organisationnel fournissant les bases et les dispositions organisationnelles permettant son intégration à tous les niveaux de l organisme. Ce cadre organisationnel aide l organisme à gérer ses risques efficacement par l application du processus de management du risque (voir Article 6) à différents niveaux et dans des contextes spécifiques à l organisme. Il convient que le cadre organisationnel garantisse que les informations relatives aux risques générées par ces processus soient correctement consignées et servent de base à la prise de décision et à la détermination des responsabilités financières à tous les niveaux concernés au sein de l organisme. Cet article décrit les éléments du cadre organisationnel de management du risque qui sont nécessaires et la manière dont ils interagissent, comme illustré à la Figure 2. Figure 2 Éléments du cadre organisationnel de management du risque ISO 2008 Tous droits réservés 3

16 Ce cadre organisationnel n est pas destiné à décrire un système de management, mais plutôt à aider l organisme à intégrer le management du risque à son propre système global de management. Il convient par conséquent que chaque organisme adapte les éléments du cadre organisationnel en fonction de ses besoins spécifiques. Si les pratiques et processus de management existants au sein d un organisme incluent des éléments de management du risque, ou si l organisme a déjà adopté un processus formalisé de management du risque pour des types particuliers de risques ou de situations, il convient que ceux-ci soient sérieusement revus et évalués à la lumière de la présente Norme internationale en déterminant leur adéquation. 5.2 Mandat et engagement L introduction du management du risque et l assurance de son efficacité continue exigent un engagement fort et durable de la direction de l organisme ainsi que l établissement d un plan stratégique rigoureux. Il convient que la direction : articule et approuve la politique de management du risque ; définisse des indicateurs de performance du management du risque alignés sur les indicateurs de performance organisationnels ; s assure de l alignement des objectifs du management du risque sur les objectifs et stratégies de l organisme ; s assure de la conformité légale et réglementaire ; affecte les responsabilités, financières ou non, en matière de management aux niveaux appropriés de l organisme ; s assure que les ressources nécessaires sont allouées au management du risque ; communique les avantages du management du risque à l ensemble des parties prenantes ; et s assure que le cadre organisationnel de management du risque reste approprié. 5.3 Conception du cadre organisationnel de management du risque Compréhension de l organisme et de son contexte Préalablement à la conception et à la mise en œuvre du cadre organisationnel de management du risque, il est important de comprendre le contexte à la fois interne et externe de l organisme car celui-ci peut influencer la conception du cadre organisationnel de manière significative. Le contexte externe d un organisme comprend, entre autres, les aspects suivants : l environnement culturel, politique, légal, réglementaire, financier, technologique, économique, naturel et concurrentiel, au niveau international, national, régional ou local ; les facteurs et tendances ayant un impact déterminant sur l atteinte des objectifs de l organisme ; et les perceptions et valeurs des parties prenantes externes. 4 ISO 2008 Tous droits réservés

17 Le contexte interne d un organisme comprend, entre autres, les aspects suivants : les aptitudes, en termes de ressources et de connaissances (par exemple, capital, temps, compétences, processus, systèmes et technologies) ; les systèmes d information, les flux d information et les processus de prise de décision (à la fois formels et informels) ; les parties prenantes internes ; les politiques, objectifs et les stratégies mises en place pour atteindre ces derniers ; les perceptions, les valeurs et la culture ; les normes et modèles de référence adoptés par l organisme ; et les structures (par exemple gouvernance, rôles, responsabilités financières) Politique de management du risque Il convient que la politique de management du risque clarifie les objectifs et l engagement de l organisme en matière de management du risque et spécifie ce qui suit : les liens entre la politique de management du risque et les objectifs et autres politiques de l organisme ; les motifs du management du risque ; les responsabilités, financières ou non, en matière de management du risque ; la manière dont les conflits d intérêts sont traités ; le goût ou l aversion de l organisme pour le risque ; les processus, méthodes et outils à utiliser pour le management du risque ; les ressources mises à la disposition des personnes responsables, financièrement ou non, du management du risque ; la manière dont les performances du management du risque seront mesurées et consignées ; l engagement d effectuer une revue et une vérification périodiques de la politique et du cadre organisationnel de management du risque et de veiller à son amélioration continue ; et Il convient que la politique de management du risque soit communiquée de manière appropriée Intégration aux processus organisationnels Afin d être pertinent, efficace et performant, il convient que le management du risque soit intégré à toutes les pratiques et tous les processus métier de l organisme. Pour ce faire, il convient que le processus de management du risque fasse partie intégrante et ne soit pas séparé des processus organisationnels. Il convient notamment que le management du risque soit pris en compte dans l élaboration de la politique, des plans d activité et stratégiques, et dans les processus de management du changement. Il convient d élaborer un plan global de management du risque afin de s assurer que la politique de management du risque est mise en œuvre et que le management du risque est intégré à l ensemble des pratiques et des processus métier de l organisme. ISO 2008 Tous droits réservés 5

18 5.3.4 Responsabilité financière Il convient que l organisme définisse les responsabilités financières et autorités nécessaires en matière de management du risque, y compris concernant la mise en œuvre et la maintenance du processus de management du risque, et s assure de l adéquation et de l efficacité des moyens de maîtrise du risque. Ceci peut être facilité par : la désignation des personnes responsables de l élaboration, de la mise en œuvre et de la maintenance du cadre organisationnel de management du risque ; la désignation des personnes responsables de la mise en œuvre du traitement du risque, de la maintenance des moyens de maîtrise du risque et de la consignation des informations pertinentes relatives au risque ; la définition de mesures de performance et de processus internes et/ou externes de consignation et d escalade ; et la mise en place de niveaux appropriés de reconnaissance, de récompense, d approbation et de sanction Ressources Il convient que l organisme définisse des moyens pratiques pour l allocation des ressources nécessaires au management du risque. Il convient que soient pris en compte : les personnes, les aptitudes, l expérience et les compétences ; les ressources nécessaires à chaque étape du processus de management du risque ; les processus et procédures documentés ; et les systèmes de gestion des informations et des connaissances Établissement de mécanismes de communication et de consignation internes Il convient que l organisme établisse des mécanismes de communication et de consignation internes afin de garantir : la communication appropriée des principaux composants du cadre organisationnel de management du risque, et toutes modifications ultérieures ; l existence de rapports internes appropriés sur le cadre organisationnel, son efficacité et les résultats ; la disponibilité des informations pertinentes issues de l application du management du risque aux niveaux et aux moments appropriés ; et l existence de processus de consultation des parties prenantes internes. Il convient que ces mécanismes soient conçus de façon à faciliter, le cas échéant, le rapprochement des informations relatives au risque provenant de différentes sources au sein de l organisme en tenant compte de leur caractère sensible. 6 ISO 2008 Tous droits réservés

19 5.3.7 Établissement de mécanismes de communication et de consignation externes Il convient que l organisme élabore et mette en œuvre un plan relatif à la manière de communiquer avec les parties prenantes externes. Il convient que cela implique : la participation des parties prenantes externes appropriées et l assurance d un échange efficace d informations ; l établissement de rapports externes afin de se conformer aux obligations légales, réglementaires et de la gouvernance d entreprise ; la divulgation des informations requises légalement ; la communication des retours d information et la consignation sur la communication et la consultation ; l utilisation de la communication pour accroître la confiance dans l organisme ; et la communication avec les parties prenantes en cas de crise ou d événement inattendu. 5.4 Mise en œuvre du management du risque Mise en œuvre du cadre organisationnel de management du risque Pour la mise en œuvre du cadre organisationnel de management du risque, il convient que l organisme : définisse un calendrier et une stratégie appropriés pour la mise en œuvre du cadre organisationnel ; applique la politique et le processus de management du risque aux processus organisationnels ; se conforme aux obligations légales et réglementaires ; documente la justification de ses prises de décision, y compris l élaboration et la détermination des objectifs alignés sur les résultats du processus de management du risque ; organise des séances d information et de formation ; et consulte et communique avec les parties prenantes afin de s assurer que son cadre organisationnel de management du risque reste approprié Mise en œuvre du processus de management du risque La mise en œuvre du management du risque consiste à s assurer que le processus de management du risque décrit à l Article 6 est intégré aux pratiques et aux processus métier de l organisme à tous les niveaux et à toutes les fonctions pertinents d un organisme. 5.5 Surveillance et revue du cadre organisationnel Afin de s assurer que le management du risque est efficace et contribue à l atteinte des performances organisationnelles, il convient que l organisme : établisse des mesures de performance ; mesure régulièrement les progrès et les écarts par rapport au plan de management du risque ; examine régulièrement si le cadre organisationnel, la politique et le plan de management du risque sont toujours appropriés dans le contexte interne et externe de l organisme ; ISO 2008 Tous droits réservés 7

20 établisse des rapports sur les risques, sur les avancées du plan de management du risque, et s assure de la manière dont la politique de management du risque est suivie ; et vérifie l efficacité du cadre organisationnel de management du risque. 5.6 Amélioration continue du cadre organisationnel Sur la base de cette revue, il convient que des décisions soient prises sur les possibilités d amélioration du cadre organisationnel, de la politique et du plan de management du risque. Il convient que ces décisions entraînent des améliorations dans le management du risque et la culture du management du risque de l organisme. 6 Processus de management du risque 6.1 Généralités Il convient que le processus de management du risque fasse partie intégrante du management de l organisme, soit intégré à sa culture et à ses pratiques, et soit adapté à ses processus métier. Cela comprend les activités décrites des paragraphes 6.2 à 6.7. Le processus de management du risque comprend cinq activités : communication et consultation, établissement du contexte, appréciation du risque, traitement du risque, surveillance et revue, comme illustré à la Figure 3. Ces activités, ainsi que la documentation du processus de management du risque, sont décrites dans cet article. Figure 3 Processus de management du risque 8 ISO 2008 Tous droits réservés

21 6.2 Communication et consultation Il convient que la communication et la consultation avec les parties prenantes internes et externes aient lieu, en fonction des besoins, à chaque étape du processus de management du risque. Par conséquent, il convient d élaborer un plan de communication et de consultation avec les parties prenantes à la fois internes et externes dès le début du processus. Il convient que ce plan aborde les questions relatives au risque lui-même, à ses conséquences (si elles sont connues), et aux mesures prises pour le gérer. Il convient que l efficacité de la communication et de la consultation internes et externes permette de s assurer que les parties prenantes et les personnes responsables de la mise en œuvre du processus de management du risque comprennent comment les décisions sont prises et pourquoi telle ou telle action est nécessaire. Une approche consultative en équipe est utile, entre autres, pour : définir correctement le contexte ; aider à s assurer que les intérêts des parties prenantes sont bien compris et pris en considération ; réunir différents domaines d expertise pour l analyse des risques ; s assurer que les risques sont correctement identifiés ; s assurer que différents points de vue sont pris en compte de manière appropriée dans l évaluation des risques ; promouvoir un management approprié du changement au cours du processus de management du risque ; conforter l approbation et l appui en faveur d un plan de traitement ; et élaborer un plan de communication et de consultation internes et externes approprié. La communication et la consultation avec les parties prenantes sont des processus déterminants car leur jugement sur le risque est basé sur leur propre perception du risque. La perception du risque peut varier selon les valeurs, besoins, hypothèses, concepts et préoccupations des parties prenantes. Leur opinion pouvant avoir un impact significatif sur les décisions prises, il est important que la perception des parties prenantes soit identifiée, consignée et prise en compte dans le processus de prise de décision. Il convient que le plan de communication et de consultation : permette un échange d informations entre les parties prenantes ; véhicule des messages honnêtes, précis, compréhensibles et reposant sur des preuves ; et soit utile ; et que la valeur des contributions soit évaluée. 6.3 Établissement du contexte Généralités En établissant le contexte, l organisme définit les paramètres internes et externes à prendre en compte dans le management du risque et dans la détermination du domaine d application et des critères de risque pour la suite du processus. Il convient que le contexte comporte à la fois des paramètres internes et externes pertinents pour l organisme. La plupart de ces paramètres sont semblables à ceux pris en compte dans la conception du cadre organisationnel de management du risque (voir 5.3.1). Toutefois, lors de l établissement du contexte pour le processus de management du risque, l analyse de ces paramètres doit être approfondie, notamment leur impact sur le domaine d application du processus particulier de management du risque. ISO 2008 Tous droits réservés 9

22 6.3.2 Établissement du contexte externe Le contexte externe est l environnement externe dans lequel l organisme cherche à atteindre ses objectifs. Il est important de comprendre le contexte externe afin de s assurer que les parties prenantes externes, leurs objectifs et leurs préoccupations sont pris en compte lors de l élaboration des critères de risque. Le contexte externe est basé sur le contexte élargi de l organisme, avec toutefois les détails spécifiques issus des obligations légales et réglementaires, des perceptions des parties prenantes et autres aspects des risques propres au domaine d application du processus de management du risque. Le contexte externe peut inclure, sans que la liste soit exhaustive : l environnement culturel, politique, légal, réglementaire, financier, technologique, économique, naturel et concurrentiel, au niveau international, national, régional ou local ; les facteurs et tendances ayant un impact déterminant sur les objectifs de l organisme ; et les perceptions et valeurs des parties prenantes externes Établissement du contexte interne Le contexte interne est l environnement interne dans lequel l organisme cherche à atteindre ses objectifs. Il convient que le processus de management du risque intègre la culture, les processus et la structure de l organisme. Le contexte interne comprend tous les éléments au sein de l organisme susceptibles d influencer la manière dont un organisme gère le risque. Il convient de l établir car : le management du risque s effectue dans le contexte des objectifs de l organisme ; les objectifs et les critères d un projet ou d une activité en particulier devraient être envisagés à la lumière des objectifs de l organisme dans son ensemble ; et un risque majeur pour certains organismes est de ne pas atteindre leurs objectifs stratégiques, d activité ou en termes de projets, et ce risque affecte la continuité de l engagement, de la crédibilité, de la confiance et des valeurs de l organisme. Il est nécessaire de comprendre le contexte interne notamment en termes de : aptitudes, ressources et savoir (par exemple, capital, temps, compétences, processus, systèmes et technologies) ; systèmes d information, flux d information et processus de prise de décision (à la fois formels et informels) ; parties prenantes internes ; politiques, objectifs et stratégies mises en place pour les atteindre ; perceptions, valeurs et culture ; normes et modèles de référence adoptés par l organisme ; et structures (par exemple gouvernance, rôles, responsabilités financières). 10 ISO 2008 Tous droits réservés

23 6.3.4 Établissement du contexte du processus de management du risque Il convient de définir les objectifs, stratégies, domaines d application et paramètres des activités de l organisme ou des parties de l organisme auxquelles le processus de management du risque est appliqué. Il convient que la mise en place du management du risque suppose la mobilisation de ressources dont il faudra justifier l utilité. Cela suppose de recenser avec précision les ressources nécessaires, de définir les responsabilités et autorités, et de préciser la documentation à conserver. Le contexte du processus de management du risque varie selon les besoins de l organisme. Il peut inclure, sans toutefois s y limiter : la définition des responsabilités relatives au processus de management du risque ; la définition du domaine d application ainsi que du degré et de l étendue des activités de management du risque à entreprendre, y compris les inclusions et exclusions spécifiques ; la définition de l activité, du processus, de la fonction, du projet, du produit, du service ou de l actif en termes de temps et de lieu, ainsi que son but et ses objectifs ; la définition des relations entre un projet ou une activité donnée et les autres projets ou activités de l organisme ; la définition des méthodes d appréciation du risque ; la définition de la méthode d évaluation des performances en management du risque ; l identification et la spécification des décisions à prendre ; et l identification, le domaine d application ou le cadre organisationnel des études requises, leur étendue et leurs objectifs, ainsi que les ressources nécessaires à leur réalisation. La prise en compte de ces facteurs et autres facteurs pertinents permet de s assurer que l approche de management du risque adoptée est adaptée à la situation de l organisme et aux risques affectant l atteinte de ses objectifs Élaboration des critères de risque Il convient que l organisme définisse des critères permettant d évaluer l importance du risque. Ces critères peuvent refléter les valeurs, les objectifs et les ressources de l organisme. Certains critères peuvent résulter d obligations légales et réglementaires, ou d autres exigences auxquelles l organisme se soumet volontairement. Il convient que les critères de risque accompagnent et promeuvent la politique de management du risque de l organisme (voir 5.3.2). C est pourquoi, il convient de les définir dès le début de tout processus de management du risque et de les réviser périodiquement. Lors de la définition des critères de risque, il convient de tenir compte, entre autres, des facteurs suivants : nature et types des conséquences éventuelles et méthode d estimation ; méthode de définition de la vraisemblance ; périodes de la vraisemblance et/ou de la conséquence ; méthode de détermination du niveau de risque ; niveau à partir duquel le risque devient acceptable ou tolérable ; niveau de risque nécessitant un traitement ; et prise en compte ou non des combinaisons de plusieurs risques. ISO 2008 Tous droits réservés 11

24 6.4 Appréciation du risque Généralités L appréciation du risque est le processus global comprenant l identification, l analyse et l évaluation du risque Identification du risque Il convient que l organisme identifie les sources de risque, les domaines d impact, les événements ainsi que leurs causes et conséquences potentielles. Cette étape a pour objectif de dresser une liste exhaustive des risques basée sur les événements susceptibles de faciliter, d empêcher, de gêner ou de différer l atteinte des objectifs. Il est également important d identifier les risques liés à la non-saisie d une opportunité. Il est essentiel de procéder à une identification exhaustive car si un risque spécifique n est pas identifié à ce stade, il ne sera inclus dans aucune analyse ultérieure. Il convient que l identification inclue les risques que leur source soit sous contrôle de l organisme ou non (endogène ou exogène). Il convient que l organisme utilise des outils et techniques d identification des risques adaptés à ses objectifs et ses aptitudes, et aux risques auxquels il est exposé. Il est essentiel que les informations utilisées dans l identification des risques soient pertinentes et à jour. Il convient autant que possible qu elles soient accompagnées d une documentation appropriée. Il convient que les personnes participant à l identification des risques aient les connaissances appropriées. Après avoir identifié ce qui pourrait se passer, il est nécessaire d étudier les causes possibles et les scénarios montrant les conséquences potentielles. Il convient que toutes les causes significatives soient prises en compte Analyse du risque L analyse du risque vise à développer une compréhension du risque. L analyse du risque offre une base pour l évaluation du risque et pour déterminer si les risques doivent faire l objet d un traitement et quelles stratégies et méthodes de traitement sont les plus appropriées. L analyse du risque implique la prise en compte des causes et sources de risque, de leurs conséquences positives et négatives, et de la vraisemblance que ces conséquences surviennent. Il convient que les facteurs affectant les conséquences et leur vraisemblance soient identifiés. Le risque est analysé en déterminant les conséquences et leur vraisemblance, ainsi que tout autre attribut du risque. Un événement peut entraîner plusieurs conséquences et affecter plusieurs objectifs. Il convient de prendre en compte les moyens existants de maîtrise du risque ainsi que leur efficacité. La façon dont les conséquences et leur vraisemblance sont exprimées ainsi que la manière dont elles sont combinées afin de déterminer un niveau de risque varient selon le type de risque, les informations disponibles et ce à quoi l appréciation du risque doit servir. Il convient de veiller à la cohérence avec les critères de risque. Il est également important de tenir compte de l interdépendance des différents risques et de leurs sources. Il convient que le degré de confiance dans la détermination du risque et sa sensibilité aux conditions préalables et aux hypothèses soient pris en compte dans l analyse et communiqués de manière efficace aux décideurs et autres parties prenantes si nécessaire. En particulier, il convient que les éventuelles divergences d opinion entre experts ou les limites des modélisations soient mentionnées, voire soulignées. L analyse du risque peut être menée à différents niveaux de détail en fonction du risque, de la finalité de l analyse et des informations, données et ressources disponibles. L analyse peut être qualitative, semi-quantitative, quantitative, ou une combinaison des trois, selon les circonstances. En pratique, une analyse qualitative est souvent utilisée dans un premier temps afin d obtenir une indication générale du niveau de risque et de faire ressortir les principaux risques. Lorsque c est possible et pertinent, il convient d entreprendre dans un deuxième temps une analyse plus spécifique et quantitative des risques. 12 ISO 2008 Tous droits réservés

25 Les conséquences peuvent être déterminées en modélisant les résultats d un événement ou d un ensemble d événements, ou par extrapolation d études expérimentales ou des données disponibles. Elles peuvent être exprimées en termes d impacts tangibles et intangibles. Dans certains cas, plusieurs valeurs numériques ou descripteurs sont nécessaires pour préciser les conséquences pour différents moments, lieux, groupes ou situations Évaluation du risque Sur la base des résultats de l analyse du risque, l évaluation du risque vise à déterminer quels risques nécessitent un traitement et à définir un ordre de priorité dans la mise en œuvre du traitement. L évaluation du risque consiste à comparer le niveau de risque déterminé au cours du processus d analyse aux critères de risque établis lors de l établissement du contexte. Si le niveau de risque ne satisfait pas les critères de risque «acceptable», il convient que le risque fasse l objet d un traitement. Il convient que les décisions tiennent compte du contexte plus large du risque et de la tolérance «au risque» des parties autres que l organisme affectées par le risque. En outre, il convient que les décisions respectent les obligations légales, réglementaires et autres. Dans certains cas, l évaluation du risque peut déboucher sur la décision d entreprendre une analyse approfondie. L évaluation du risque peut également conduire à une décision de statu quo, en maintenant les moyens de maîtrise du risque existants. Cette décision dépend de l appétit de risque de l organisme ou de son attitude face au risque, ainsi que des critères de risque qui ont été retenus. 6.5 Traitement du risque Généralités Le traitement du risque implique le choix et la mise en œuvre d une ou de plusieurs options de modification des risques. Le traitement du risque implique un processus itératif d appréciation du traitement du risque, qui vise à décider si les niveaux résiduels de risque sont tolérables ou non. S ils ne sont pas tolérables, il convient de trouver un nouveau traitement du risque et d évaluer l effet de ce traitement jusqu à ce que le risque résiduel atteint corresponde aux critères de risque de l organisme. Les options de traitement du risque ne sont pas nécessairement mutuellement exclusives ou appropriées en toutes circonstances. Ces options peuvent inclure : éviter le risque en décidant de ne pas démarrer ou continuer l activité générant le risque ; rechercher une opportunité en décidant de démarrer ou de continuer une activité susceptible de créer ou d accroître le risque ; supprimer la source du risque ; changer la nature et l importance de la vraisemblance ; modifier les conséquences ; partager le risque avec une ou plusieurs autres parties ; et prendre volontairement le risque. ISO 2008 Tous droits réservés 13

26 6.5.2 Sélection des options de traitement du risque La sélection de l option de traitement du risque la plus appropriée implique de comparer les coûts et les efforts de mise en œuvre par rapport aux avantages obtenus eu égard aux obligations légales, réglementaires et autres, à la responsabilité sociale et à la protection de l environnement naturel. Il convient également que les décisions tiennent compte des risques dont le traitement n est pas justifiable au plan économique pur, comme certains risques graves (conséquences hautement négatives) mais rares (faible vraisemblance). Un certain nombre d options de traitement peuvent être examinées et appliquées individuellement ou en combinaison. Il peut être plus efficace de retenir une combinaison d options de traitement. Lors du choix des options de traitement du risque, il convient que l organisme tienne compte des valeurs et perceptions des parties prenantes et examine les moyens les plus appropriés de communiquer avec elles. Lorsque les options de traitement du risque sont susceptibles d avoir un impact ailleurs au sein de l organisme, il convient que cet impact soit pris en compte dans la décision. À efficacité égale, certains traitements du risque peuvent être plus acceptables que d autres pour les parties prenantes. Si les ressources disponibles pour le traitement du risque sont limitées, il convient que le plan de traitement identifie clairement les priorités pour la mise en œuvre des traitements individuels. Le traitement lui-même peut engendrer des risques. Un risque significatif est la défaillance ou l inefficacité des mesures de traitement envisagées. Il est nécessaire que le plan de traitement du risque s accompagne d une revue périodique pour s assurer que les mesures restent efficaces. Le traitement du risque peut également engendrer des risques secondaires qui doivent être eux-mêmes évalués, traités, surveillés et revus. Il convient que ces risques secondaires soient intégrés au même plan de traitement que le risque original et non pas traités en tant que nouveaux risques, de plus, le lien entre les deux risques doit être clairement identifié. Il convient que les décideurs et autres parties prenantes soient informés de la nature et de l étendue du risque résiduel après le traitement du risque. Il convient que le risque résiduel soit documenté et intégré à la revue périodique et, le cas échéant, fasse l objet d un traitement supplémentaire Élaboration et mise en œuvre des plans de traitement du risque Les plans de traitement du risque sont destinés à documenter la manière dont les options de traitement choisies sont mises en œuvre. Il convient que les informations fournies dans ces plans incluent : les retombées positives attendues ; les mesures et contraintes de performance ; les personnes responsables de l approbation du plan et celles responsables de sa mise en œuvre ; les actions proposées ; les exigences en matière de consignation et de surveillance ; les besoins en ressources ; et le calendrier et le séquencement. Il convient que les plans de traitement soient intégrés aux processus de management de l organisme et soient discutés avec les parties prenantes appropriées. 6.6 Surveillance et revue Il convient que la surveillance et la revue fassent partie du processus de management du risque. 14 ISO 2008 Tous droits réservés

27 Il convient que les responsabilités relatives à la surveillance et à la revue soient clairement définies. Il convient que les processus de surveillance et de revue de l organisme s appliquent à tous les aspects du processus de management du risque afin de pouvoir : analyser et tirer des leçons des événements, changements et tendances ; détecter les changements dans le contexte interne et externe, y compris les changements concernant le risque lui-même et susceptibles de nécessiter une révision des traitements du risque et des priorités ; s assurer que les mesures de maîtrise et de traitement du risque sont efficaces aussi bien en théorie qu en pratique ; et identifier les risques émergents. L avancement réel de la mise en œuvre des plans de traitement du risque fournit une mesure de performance et peut être intégré au management des performances de l organisme et à sa mesure, ainsi qu à ses activités de consignations internes et externes. La surveillance et la revue peuvent impliquer une vérification ou une observation régulière de ce qui existe déjà, ou peuvent être périodiques ou ad hoc. Il convient de prévoir les deux aspects. Il convient que les résultats de la surveillance et de la revue soient consignés et fassent l objet de rapports internes ou externes selon les besoins, et servent de base à la revue du cadre organisationnel de management du risque (voir 5.5). 6.7 Documentation du processus de management du risque Il convient que les activités de management du risque soient traçables. Dans le processus de management du risque, les enregistrements fournissent la base pour l amélioration des méthodes et des outils ainsi que du processus dans son ensemble. Il convient que les décisions relatives à la création des enregistrements tiennent compte : des avantages de réutiliser les informations pour les besoins du management ; des coûts et efforts liés à la création et à la maintenance des enregistrements ; des besoins d enregistrements légaux, réglementaires et opérationnels ; de la méthode d accès, de la facilité de consultation et des moyens de stockage ; de la période de conservation ; et du caractère sensible des informations. ISO 2008 Tous droits réservés 15

28 Annexe A (informative) Attributs d un management du risque amélioré A.1 Généralités L aptitude à gérer le risque est l une des compétences clé de tout organisme et de ses collaborateurs. Les méthodes et outils de management du risque permettent d aider tout organisme à planifier et mettre en œuvre des actions et programmes concrets afin d optimiser ses opportunités et de maîtriser les menaces. L organisme maîtrise mieux sa propre croissance et son propre développement lorsque le management du risque est appliqué. Il convient que tous les organismes visent le plus haut niveau de performance pour leur cadre organisationnel de management du risque, en fonction du caractère critique des décisions à prendre. La liste des attributs cidessous représente un haut niveau de performance dans le management du risque. Afin d aider les organismes à mesurer leurs propres performances par rapport à ces critères, quelques indicateurs tangibles sont donnés pour chaque attribut. A.2 Attributs A.2.1 Amélioration continue du management du risque par l établissement d objectifs de performance organisationnelle, le mesurage, la revue des performances, et la modification ultérieure des processus, systèmes, ressources, aptitudes et compétences. Cela peut être indiqué par l existence d objectifs explicites de performance permettant de mesurer les performances de l organisme et de ses responsables. Les performances de l organisme peuvent être publiées et communiquées. Normalement, il convient d effectuer au moins une revue annuelle des performances, puis une révision des processus, et d établir de nouveaux objectifs de performance pour la période suivante. Cette évaluation des performances du management du risque fait partie intégrante du système global d évaluation et de mesurage des performances de l organisme pour les départements et les individus. A.2.2 Responsabilité financière complète pleinement définie et acceptée pour les risques, les moyens de maîtrise du risque et les tâches de traitement du risque. Les individus désignés ont les compétences nécessaires et disposent des ressources indispensables pour contrôler les moyens de maîtrise du risque, surveiller les risques, améliorer les moyens de maîtrise du risque et communiquer efficacement sur les risques et leur management avec les parties prenantes internes et externes, et en acceptent pleinement la responsabilité. Tous les membres d un organisme doivent donc avoir une bonne connaissance des risques, des moyens de maîtrise du risque et des tâches dont ils ont la responsabilité. En principe, cela devrait figurer dans la description de poste, les bases de données ou systèmes d information. Il convient que la définition des rôles et des responsabilités, financières ou non, en matière de management du risque fasse partie des processus d accueil des nouveaux salariés au sein de l organisme. L organisme s assure que les personnes responsables soient en mesure de remplir ce rôle en leur fournissant l autorité, le temps, la formation, les ressources et les compétences nécessaires pour assumer leurs responsabilités financières. 16 ISO 2008 Tous droits réservés

29 A.2.3 Toutes les prises de décision au sein de l organisme, quel que soit leur importance et leur portée, impliquent la prise en compte explicite des risques et l application du management du risque dans une mesure appropriée. C est pourquoi les rapports de réunion et de décision doivent démontrer que des discussions explicites sur les risques ont eu lieu. Par ailleurs, il convient de pouvoir démontrer que tous les éléments de management du risque sont représentés dans les processus clé de prise de décision de l organisme ; par exemple, pour les décisions relatives à l allocation du capital, aux projets importants et aux restructurations et changements organisationnels. C est pour cela qu un management du risque performant est considéré comme la base d une gouvernance efficace et prudente. A.2.4 Un bonne gouvernance implique une communication continue avec les parties prenantes internes et externes, y compris l établissement de rapports complets et fréquents sur les performances du management du risque. La communication avec les parties prenantes doit donc apparaître comme partie intégrante et essentielle du management du risque, de manière à ce que la communication avec les parties prenantes puisse s effectuer au cours de chaque activité du processus de management du risque. La communication est considérée à juste titre comme un processus allant dans les deux sens et permettant des prises de décisions correctement informées concernant le niveau de risque et la nécessité d un traitement du risque en fonction de critères de risque complets et correctement établis. Des rapports internes et externes complets et fréquents à la fois sur les risques significatifs et sur les performances du management du risque contribuent de manière substantielle à une gouvernance efficace au sein de l organisme. A.2.5 Le management du risque est considéré comme central dans les processus de management de l organisme, de sorte que les risques sont envisagés en termes d effet de l incertitude sur les objectifs. La structure et le processus de gouvernance de l organisme reposent sur le management du risque. Un management du risque efficace est considéré comme essentiel par les dirigeants pour l atteinte des objectifs de l organisme. Cela doit ressortir des discours tenus par les des dirigeants ainsi que la documentation de l organisme utilisant le terme «incertitude» en rapport avec les risques. En général, cela ressort également des déclarations de politique de l organisme, notamment celles concernant le management du risque. Cette qualité doit être vérifiée lors des entretiens avec les dirigeants et prouvée par leurs actions et leurs déclarations. ISO 2008 Tous droits réservés 17

30 Bibliographie [1] ISO/CEI Guide 73, Management du risqué - Vocabulaire. [2] ISO/CEI Guide 51 :1999, Safety aspects Guidelines for their inclusion in standards. [3] ISO 9000:2005, Systèmes de management de la qualité Principes essentials et vocabulaire. [4] ISO 13702:1999, Industries du pétrole et du gaz naturel Contrôle et atténuation des feux et des explosions dans les installations en mer Exigences et lignes directrices. [5] ISO 14050:2002, Environmental management Vocabulary. [6] ISO :2007, Sécurité des machines Appréciation du risque Partie 1 : Principes. [7] ISO :2007, Sécurité des machines Appréciation du risque Partie 2 : Lignes directrices pratiques et exemples de méthodes. [8] ISO 14971:2007, Dispositifs médicaux Application de la gestion des risques aux dispositifs médicaux. [9] ISO 15265:2004, Ergonomie des ambiances thermiques Stratégie d évaluation du risque pour la prévention de contraintes ou d inconfort dans des conditions de travail thermiques. [10] ISO 15544:2000, Industries du pétrole et du gaz naturel Installations de production en mer Exigences et lignes directrices pour les réactions d urgence. [11] ISO 17776:2000, Industries du pétrole et du gaz naturel Installations des plates-formes en mer Lignes directrices relatives aux outils et techniques pour l identification et l évaluation des risques. [12] ISO :2003, Sécurité des machines Notions fondamentales, principes généraux de conception Partie 1 : Terminologie de base, métrodologie. [13] ISO :2005, Véhicules routiers Réduction du risque de mauvaise utilisation des systèmes de retenue pour enfants Partie 3 : Prédiction et évaluation des mauvaises utilisations par MMEA Analyse des modes de mauvaise utilisation et de leurs effets. [14] ISO :2005, Motocycles Méthodes d essai et d analyse de l évaluation par la recherche des dispositifs, montés sur les motocycles, visant à la protection des motocyclistes contre les collisions Partie 5 : Indice de blessure et analyse risque/bénéfice. [15] ISO/CEI :2005, Technologies de l information Techniques de sécurité Critères d évaluation pour la sécurité TI Partie 1 : Introduction et modèle général. [16] ISO/CEI :2005, Technologies de l information Techniques de sécurité Critères d évaluation pour la sécurité TI Partie 2 : Exigences fonctionnelles de sécurité. [17] ISO/CEI :2005, Technologies de l information Techniques de sécurité Critères d évaluation pour la sécurité TI Partie 3 : Exigences d assurance de sécurité. [18] ISO/CEI 31010, Risk management Risk assessment guidelines, to be published. [19] ISO :2006, Lignes directrices pour évaluer la validité des modèles de feu physiques pour l obtention des données sur les effluents du feu en vue de l évaluation des risques et dangers Partie 1 : Critères. 18 ISO 2008 Tous droits réservés

31 [20] CEI 60812:2006, Techniques d analyse de la fiabilité du système Procédure d analyse des modes de défaillance et de leurs effets (AMDE). [21] CEI :2003, Gestion de la sûreté de fonctionnement Partie 1 : Gestion du programme de sûreté de fonctionnement. [22] CEI :2004, Gestion de la sûreté de fonctionnement Partie 2 : Lignes directrices pour la gestion de la sûreté de fonctionnement. [23] CEI :2000, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables relatifs à la sécurité Partie 2 : Prescription pour les systèmes électriques/électroniques/électroniques programmables relatifs à la sécurité. [24] CEI 61882:2001, Etudes de danger et d exploitabilité (études HAZOP) Guide d application. [25] CEI 62198:2001, Gestion des risques liés à un projet Lignes directrices pour l application. [26] CEI :2006, Protection contre la foudre Partie 2 : Evaluation des risques. ISO 2008 Tous droits réservés 19

32 DRAFT INTERNATIONAL STANDARD ISO/DIS ISO/PC 992 Voting begins on: Secretariat: TMB Voting terminates on: INTERNATIONAL ORGANIZATION FOR STANDARDIZATION МЕЖДУНАРОДНАЯ ОРГАНИЗАЦИЯ ПО СТАНДАРТИЗАЦИИ ORGANISATION INTERNATIONALE DE NORMALISATION Risk management Principles and guidelines on implementation Management du risque Principes et lignes directrices de mise en application ICS In accordance with the provisions of Council Resolution 15/1993 this document is circulated in the English language only. Conformément aux dispositions de la Résolution du Conseil 15/1993, ce document est distribué en version anglaise seulement. To expedite distribution, this document is circulated as received from the committee secretariat. ISO Central Secretariat work of editing and text composition will be undertaken at publication stage. Pour accélérer la distribution, le présent document est distribué tel qu'il est parvenu du secrétariat du comité. Le travail de rédaction et de composition de texte sera effectué au Secrétariat central de l'iso au stade de publication. THIS DOCUMENT IS A DRAFT CIRCULATED FOR COMMENT AND APPROVAL. IT IS THEREFORE SUBJECT TO CHANGE AND MAY NOT BE REFERRED TO AS AN INTERNATIONAL STANDARD UNTIL PUBLISHED AS SUCH. IN ADDITION TO THEIR EVALUATION AS BEING ACCEPTABLE FOR INDUSTRIAL, TECHNOLOGICAL, COMMERCIAL AND USER PURPOSES, DRAFT INTERNATIONAL STANDARDS MAY ON OCCASION HAVE TO BE CONSIDERED IN THE LIGHT OF THEIR POTENTIAL TO BECOME STANDARDS TO WHICH REFERENCE MAY BE MADE IN NATIONAL REGULATIONS. RECIPIENTS OF THIS DRAFT ARE INVITED TO SUBMIT, WITH THEIR COMMENTS, NOTIFICATION OF ANY RELEVANT PATENT RIGHTS OF WHICH THEY ARE AWARE AND TO PROVIDE SUPPORTING DOCUMENTATION. International Organization for Standardization, 2008

33 PDF disclaimer This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat accepts no liability in this area. Adobe is a trademark of Adobe Systems Incorporated. Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below. Copyright notice This ISO document is a Draft International Standard and is copyright-protected by ISO. Except as permitted under the applicable laws of the user's country, neither this ISO draft nor any extract from it may be reproduced, stored in a retrieval system or transmitted in any form or by any means, electronic, photocopying, recording or otherwise, without prior written permission being secured. Requests for permission to reproduce should be addressed to either ISO at the address below or ISO's member body in the country of the requester. ISO copyright office Case postale 56 CH-1211 Geneva 20 Tel Fax [email protected] Web Reproduction may be subject to royalty payments or a licensing agreement. Violators may be prosecuted. ii ISO 2008 All rights reserved

34 16 Contents Page Foreword...iv Introduction...v 1 Scope Normative references Terms and definitions Principles for managing risk Framework for managing risk General Mandate and commitment Design of framework for managing risk Understanding the organization and its context Risk management policy Integration into organizational processes Accountability Resources Establishing internal communication and reporting mechanisms Establishing external communication and reporting mechanisms Implementing risk management Implementing the framework for managing risk Implementing the risk management process Monitoring and review of the framework Continual improvement of the framework Process for managing risk General Communication and consultation Establishing the context General Establishing the external context Establishing the internal context Establishing the context of the risk management process Developing risk criteria Risk assessment General Risk identification Risk analysis Risk evaluation Risk treatment General Selection of risk treatment options Preparing and implementing risk treatment plans Monitoring and review Recording the risk management process...14 Annex A (Informative) Attributes of enhanced risk management...15 A.1 General...15 A.2 Attributes...15 Bibliography...17 ISO 2008 All rights reserved iii

35 Foreword ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO member bodies). The work of preparing International Standards is normally carried out through ISO technical committees. Each member body interested in a subject for which a technical committee has been established has the right to be represented on that committee. International organizations, governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization. International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2. The main task of technical committees is to prepare International Standards. Draft International Standards adopted by the technical committees are circulated to the member bodies for voting. Publication as an International Standard requires approval by at least 75 % of the member bodies casting a vote. This standard may be revised after 5 years on the basis of practical experience. Committees writing standards are invited to inform the ISO Central Secretariat of any difficulties encountered with the implementation of its provisions. iv ISO 2008 All rights reserved

36 Introduction Organizations of all types and sizes face a range of risks that can affect the achievement of their objectives. These objectives can relate to a range of the organization's activities, from strategic initiatives to its operations, processes and projects, and be reflected in terms of strategic, operational, financial and reputational outcomes and impacts. All activities of an organization involve risks. Risk management aids decision making by taking account of uncertainty and its effect on achieving objectives and assessing the need for any actions. Risk management process involves applying logical and systematic methods for: communication and consultation throughout the process; establishing the context; identifying, analyzing, evaluating and treating risk associated with any activity, process, function, project, product, service or asset; monitoring and reviewing risk; and recording and reporting the results appropriately. This International Standard recognizes the variety of the nature, level and complexity of risks and provides generic guidelines on principles and implementation of risk management. To apply these generic guidelines in a specific situation, this International Standard sets out how an organization should understand the specific context in which it implements risk management. Risk management can be applied to the entire organization, across its many areas and levels, at any time as well as to specific functions and activities. When implemented and maintained in accordance with this International Standard, risk management enables an organization to, for example: encourage proactive rather than reactive management; be aware of the need to identify and treat risk throughout the organization; improve identification of opportunities and threats; comply with relevant legal and regulatory requirements and international norms; improve financial reporting; improve corporate governance; improve stakeholder confidence and trust; establish a reliable basis for decision making and planning; improve controls; ISO 2008 All rights reserved v

37 effectively allocate and use resources for risk treatment; improve operational effectiveness and efficiency; enhance health and safety; improve incident management and prevention; minimize loss; Improve organizational learning; and Improve organizational resilience. Risk management should ensure that organizations have an appropriate response to the risks affecting them. Risk management should thus help avoid ineffective and inefficient responses to risk that can unnecessarily prevent legitimate activities and/or distort resource allocation. To be effective within an organization, risk management should be an integrated part of the organization's overall governance, management, reporting processes, policies, philosophy and culture. The same risk management approach can be adopted for all activities of an organization including projects, defined functions, assets, and products or activities and will in turn strengthen the linkages between these activities and the organization s overall objectives. This International Standard is intended to be used by a wide range of stakeholders including: those responsible for implementing risk management within their organization; those who need to ensure that an organization manages risk; those who need to manage risk for the organization as a whole or within a specific area or activity; those needing to evaluate an organization s practices in managing risk; and developers of standards, guides, procedures, and codes of practice that in whole or in part set out how risk is to be managed within the specific context of these documents. Many organizations' existing management practices and processes include components of risk management and many organizations have already adopted a formal risk management process for particular types of risk or circumstances. Management can decide to critically review their existing practices and processes in light of this standard. Although the practice of risk management has been developed over time and within many sectors to meet diverse needs, a generic approach consisting of a framework of essential components can help to ensure that risk is managed effectively and coherently across an organization. The generic approach described in this International Standard provides guidelines on implementing essential components for managing risk in a transparent and credible manner within any scope and context. Each specific sector or application of risk management brings with it individual needs, audiences, perceptions and criteria. Therefore a key feature of this International Standard is the inclusion of establishing the context as an activity at the start of this generic process of risk management. This feature will capture the diversity of criteria as well as the nature and complexity of risk and other factors that need to be considered and managed in each case. Some areas of risk management within, for example, the areas of safety, human health and environment, impose criteria that reflect an aversion to negative consequences. Such criteria can be contained in legal and regulatory requirements and international norms. The application of the risk management approach described in this International Standard helps to ensure that those criteria are identified and applied. Therefore, this vi ISO 2008 All rights reserved

38 International Standard can also help an organization to comply with legal and regulatory requirements and international norms as well as to improve an organization s performance. The relationship between the principles for managing risk, the risk management framework and the risk management process described in this standard is shown in Figure Figure 1 Relationship between the risk management principles, framework and process ISO 2008 All rights reserved vii

39

40 DRAFT INTERNATIONAL STANDARD ISO/DIS Risk management Principles and guidelines on implementation Scope This International Standard provides principles and generic guidelines on implementation of risk management. This International Standard can be applied to any public, private or community enterprise, association, group or individual. Therefore, this International Standard is generic and not specific to any industry or sector. NOTE For convenience, all the different addressees of this International Standard are referred to by the general term organization. This International Standard can be applied throughout the life of an organization, and to a wide range of activities, processes, functions, projects, products, services, assets, operations and decisions. Although this International Standard provides generic guidelines, it is not intended to impose uniformity of risk management across organizations. The design and implementation of risk management will depend on the varying needs of a specific organization, its particular objectives, context, structure, products, services, projects, the operational processes and specific practices employed. This International Standard intends to harmonize risk management processes in existing and future standards. It provides a common approach in support of standards dealing with specific risks and/or sectors, and does not replace those standards. This International Standard is not intended to be used for the purpose of certification Normative references The following referenced document is indispensable for the application of this document. For dated reference, only the edition cited applies. ISO/IEC Guide 73, Risk management Vocabulary Terms and definitions For the purposes of this document, the terms and definitions given in ISO/IEC Guide 73 apply Principles for managing risk To be most effective, an organization s risk management should adhere to the following principles. a) Risk management creates value. 1 To be published. ISO 2008 All rights reserved 1

41 Risk management contributes to the demonstrable achievement of objectives and improvement of, for example, human health and safety, legal and regulatory compliance, public acceptance, environmental protection, financial performance, product quality, efficiency in operations, corporate governance and reputation. b) Risk management is an integral part of organizational processes. Risk management is part of the responsibilities of management and an integral part of the normal organizational processes as well as of all project and change management processes. Risk management is not a stand-alone activity which is separate from the main activities and processes of the organization. c) Risk management is part of decision making. Risk management helps decision makers make informed choices. Risk management can help prioritize actions and distinguish among alternative courses of action. Ultimately, risk management can help with decisions on whether a risk is unacceptable and whether risk treatment will be adequate and effective. d) Risk management explicitly addresses uncertainty. Risk management deals with those aspects of decision making that are uncertain, the nature of that uncertainty, and how it can be addressed. e) Risk management is systematic, structured and timely. A systematic, timely and structured approach to risk management contributes to efficiency and consistent, comparable and reliable results. f) Risk management is based on the best available information. The inputs to the process of managing risk are based on information sources such as experience, feedback, observation, forecasts and expert judgement. However, decision makers should be informed of and should take into account any limitations of the data or modelling used or the possibility of divergence among experts. g) Risk management is tailored. Risk management is aligned with the organization s external and internal context and risk profile. h) Risk management takes human and cultural factors into account. The organization s risk management recognizes the capabilities, perceptions and intentions of external and internal people that can facilitate or hinder achievement of the organization s objectives. i) Risk management is transparent and inclusive. Appropriate and timely involvement of stakeholders and, in particular, decision makers at all levels of the organization, ensures that risk management remains relevant and up-to-date. Involvement also allows stakeholders to be properly represented and to have their views taken into account in determining risk criteria. j) Risk management is dynamic, iterative and responsive to change. As internal and external events occur, context and knowledge change, monitoring and review take place, new risks emerge, some change, and others disappear. Therefore an organization should ensure that risk management continually senses and responds to change. k) Risk management facilitates continual improvement and enhancement of the organization. Organizations should develop and implement strategies to improve their risk management maturity alongside all other aspects of their organization. Annex A "Attributes of enhanced risk management" provides further information. 2 ISO 2008 All rights reserved

42 221 5 Framework for managing risk General To be successful, risk management should function within a risk management framework which provides the foundations and organizational arrangements that will embed it throughout the organization at all levels. The framework assists an organization in managing its risks effectively through the application of the risk management process (see Clause 6) at varying levels and within specific contexts of the organization. The framework should ensure that risk information derived from these processes is adequately reported and used as a basis for decision making and accountability at all relevant organizational levels. This clause describes the components of the framework for managing risk that are necessary and the way in which they interrelate as shown in Figure Figure 2 Components of the framework for managing risk This framework is not intended to describe a management system; but rather, it is to assist the organization to integrate risk management within its overall management system. Therefore, organizations should adapt the components of the framework to their specific needs. If an organization s existing management practices and processes include components of risk management or if the organization has already adopted a formal risk management process for particular types of risk or situations, then these should be critically reviewed and assessed against this International Standard as the basis for determining their adequacy. ISO 2008 All rights reserved 3

43 Mandate and commitment The introduction of risk management and ensuring its on-going effectiveness requires strong and sustained commitment by management of the organization as well as strategic and rigorous planning. Management should: articulate and endorse the risk management policy; determine risk management performance indicators that align with organizational performance indicators; ensure alignment of risk management objectives with the objectives and strategies of the organization; ensure legal and regulatory compliance; assign management accountabilities and responsibilities at appropriate levels within the organization; ensure that the necessary resources are allocated to risk management; communicate the benefits of risk management to all stakeholders; and ensure that the framework for managing risk continues to remain appropriate. 5.3 Design of framework for managing risk Understanding the organization and its context Before starting the design and implementation of the framework for managing risk, it is important to understand both the internal and external context of the organization since these can influence significantly the design of the framework. Aspects of the organization s external context include, but not limited to: the cultural, political, legal, regulatory, financial, technological, economic, natural and competitive environment, whether international, national, regional or local; key drivers and trends having impact on the objectives of the organization; and perceptions and values of external stakeholders. Aspects of the organization s internal context include, but not limited to: the capabilities, understood in terms of resources and knowledge (e.g. capital, time, people, processes, systems and technologies); information systems, information flows, and decision making processes (both formal and informal); internal stakeholders; policies, objectives, and the strategies that are in place to achieve them; perceptions, values and culture; standards and reference models adopted by the organization; and structures (e.g. governance, roles and accountabilities). 4 ISO 2008 All rights reserved

44 Risk management policy The risk management policy should clarify the organization's objectives for and commitment to risk management and should specify the following: links between the risk management policy and the organization s objectives and other policies; the organization's rationale for managing risk; accountabilities and responsibilities for managing risk; the way in which conflicting interests are dealt with; the organization s risk appetite or risk aversion; processes, methods and tools to be used for managing risk; resources available to assist those accountable or responsible for managing risk; the way in which risk management performance will be measured and reported; commitment to the periodic review and verification of the risk management policy and framework and its continual improvement; and The risk management policy should be communicated appropriately Integration into organizational processes Risk management should be embedded in all the organization s practices and business processes so that it is relevant, effective and efficient. The risk management process should become part of and not separate from those organizational processes. In particular, risk management should be embedded into the policy development, business and strategic planning and change management processes. There should be an organization-wide risk management plan to ensure that the risk management policy is implemented and that risk management is embedded in all the organization s practices and business processes Accountability The organization should ensure that there is accountability and authority for managing risks, including the implementation and maintenance of the risk management process and ensure the adequacy and effectiveness of any risk controls. This can be facilitated by: specifying who is accountable for the development, implementation and maintenance of the framework for managing risk; specifying risk owners for implementing risk treatment, maintaining risk controls and reporting of relevant risk information; establishing performance measurement and internal and/or external reporting and escalation processes; and ensuring appropriate levels of recognition, reward, approval and sanction Resources The organization should develop the practical means to allocate appropriate resources for risk management. ISO 2008 All rights reserved 5

45 Consideration should be given to the following: people, skills, experience and competences; resources needed for each step of the risk management process; documented processes and procedures; and information and knowledge management systems Establishing internal communication and reporting mechanisms The organization should establish internal communication and reporting mechanisms. These should ensure that: key components of the risk management framework, and any subsequent modifications, are communicated appropriately; there is adequate internal reporting on the framework, its effectiveness and the outcomes; relevant information derived from the application of risk management is available at appropriate levels and times; and there are processes for consultation with internal stakeholders. These mechanisms should include processes to consolidate risk information where appropriate from a variety of sources within the organization taking into account its sensitivity Establishing external communication and reporting mechanisms The organization should develop and implement a plan as to how it will communicate with external stakeholders. This should involve: engaging appropriate external stakeholders and ensuring an effective exchange of information; external reporting to comply with legal, regulatory, and corporate governance requirements; making legally required disclosures; providing feedback and reporting on communication and consultation; using communication to build confidence in the organization; and communicating with stakeholders in the event of a crisis or contingency. 5.4 Implementing risk management Implementing the framework for managing risk In implementing the organization s framework for managing risk, the organization should: define an appropriate timing and strategy for implementing the framework; apply the risk management policy and process to the organizational processes; comply with legal and regulatory requirements; 6 ISO 2008 All rights reserved

46 document justified decision making, including the development and setting of objectives which are aligned with the outcomes of the risk management process; hold information and training sessions; and communicate and consult with stakeholders to ensure that its risk management framework remains appropriate Implementing the risk management process Risk management is implemented by ensuring that the risk management process outlined in Clause 6 is applied at all relevant levels and functions of an organization as part of the organization s practices and business processes. 5.5 Monitoring and review of the framework To ensure that risk management is effective and continues to support organizational performance, the organization should: establish performance measures; periodically measure progress against, and deviation from the risk management plan; periodically review whether the risk management framework, policy, and plan are still appropriate given the organizations internal and external context; report on risks, progress with the risk management plan and ensure how well the risk management policy is being followed; and review the effectiveness of the risk management framework. 5.6 Continual improvement of the framework Based on the review, decisions should be made on how the risk management framework, policy and plan can be improved. These decisions should lead to improvements in the organization s risk management, and risk management culture Process for managing risk 6.1 General The risk management process should be an integral part of management, be embedded in culture and practices and tailored to the business processes of the organization. It comprises the activities described from 6.2 to 6.7. The risk management process includes five activities: communication and consultation, establishing the context, risk assessment, risk treatment, monitoring and review as shown in Figure 3. These activities, as well as recording the risk management process, are described in this clause. ISO 2008 All rights reserved 7

47 Figure 3 Risk management process Communication and consultation Communication and consultation with internal and external stakeholders as far as necessary should take place at each stage of the risk management process. Therefore, a plan to communicate and consult with both internal and external stakeholders should be developed at an early stage. This plan should address issues relating to the risk itself, its consequences (if known), and the measures being taken to manage it. Effective internal and external communication and consultation should take place to ensure that those accountable for implementing the risk management process and stakeholders understand the basis on which decisions are made, and the reason why particular actions are required. A consultative team approach is useful to, but not limited to: help define the context appropriately; ensure that the interests of stakeholders are understood and considered; bring different areas of expertise together for analyzing risks; help ensure that risks are adequately identified; ensure that different views are appropriately considered in evaluating risks; enhance appropriate change management during the risk management process; secure endorsement and support for a treatment plan; and develop an appropriate internal and external communication and consultation plan. 8 ISO 2008 All rights reserved

48 Communication and consultation with stakeholders is important as they make judgements about risk based on their perceptions of risk. Perceptions of risk can vary due to differences in values, needs, assumptions, concepts and concerns of stakeholders. As their views can have a significant impact on the decisions made, it is important that the stakeholders perception is identified, recorded, and taken into account in the decision making process. The communication and consultation plan should: be an exchange of information between stakeholders; convey messages which are honest, accurate, understandable and based on evidence; and be useful; and the value of the contributions be assessed. 6.3 Establishing the context General By establishing the context the organization defines the internal and external parameters to be taken into account when managing risk, and setting the scope and risk criteria for the remaining process. The context should include both internal and external parameters relevant for the organization. While many of these parameters are similar to those considered in the design of the risk management framework (see 5.3.1), when establishing the context for the risk management process, they need to be considered in greater detail and particularly how they relate to the scope of the particular risk management process Establishing the external context External context is the external environment in which the organization seeks to achieve its objectives. Understanding the external context is important to ensure that external stakeholders, their objectives and concerns are considered when developing risk criteria. It is based on the organization wide context but with specific details of legal and regulatory requirements, stakeholder perceptions, and other aspects of risks specific to the scope of the risk management process. The external context can include, but is not limited to: the cultural, political, legal, regulatory, financial, technological, economic, natural and competitive environment, whether international, national, regional or local; key drivers and trends having impact on the objectives of the organization; and perceptions and values of external stakeholders Establishing the internal context Internal context is the internal environment in which the organization seeks to achieve its objectives. The risk management process should be aligned with the organization s culture, processes and structure. Internal context is anything within the organization that can influence the way in which an organization will manage risk. It should be established because: risk management takes place in the context of the objectives of the organization; objectives and criteria of a particular project or activity should be considered in the light of objectives of the organization as a whole; and a major risk for some organizations is failure to achieve their strategic, project or business objectives, and this risk affects ongoing organizational commitment, credibility, trust and value. ISO 2008 All rights reserved 9

49 It is necessary to understand the internal context, in terms of, for example: the capabilities, understood in terms of resources and knowledge (e.g. capital, time, people, processes, systems and technologies); information systems, information flows, and decision making processes (both formal and informal) ; internal stakeholders; policies, objectives, and the strategies that are in place to achieve them; perceptions, values and culture; and standards and reference models adopted by the organization. structures (e.g. governance, roles and accountabilities) Establishing the context of the risk management process The objectives, strategies, scope and parameters of the activities of the organization or those parts of the organization where the risk management process is being applied should be established. The management of risk should be undertaken with full consideration of the need to justify the resources used in carrying out risk management. The resources required, responsibilities and authorities, and the records to be kept should also be specified. The context of the risk management process will vary according to the needs of an organization. It can involve, but is not limited to: defining responsibilities for the risk management process; defining the scope, as well as the depth and breadth of the risk management activities to be carried out, including specific inclusions and exclusions; defining the activity, process, function, project, product, service or asset in terms of time and location as well as its goal and objectives; defining the relationships between a particular project or activity and other projects or activities of the organization; defining the risk assessment methodologies; defining the way performance is evaluated in the management of risk; identifying and specifying the decisions that have to be made; and identifying, scoping or framing studies needed, their extent and objectives, and the resources required for such studies. Attention to these and other relevant factors should help ensure that the risk management approach adopted is appropriate to the situation of the organization and to the risks affecting the achievement of its objectives Developing risk criteria The organization should develop criteria that are used to evaluate the significance of risk. The criteria can reflect the organizations values, objectives and resources. Some criteria can be imposed by, or derived from, legal and regulatory requirements and other requirements to which the organization subscribes. Risk criteria should be consistent with the organization s risk management policy (see 5.3.2). Risk criteria should be developed at the beginning of any risk management process and continually be reviewed. 10 ISO 2008 All rights reserved

50 When defining risk criteria, factors to be considered should include the following: nature and types of consequences that can occur and how they will be measured; how likelihood will be defined; the time frame(s) of the likelihood and/or consequence; how the level of risk is to be determined; the level at which risk becomes acceptable or tolerable; what level of risk requires treatment; and whether combinations of multiple risks should be taken into account. 6.4 Risk assessment General Risk assessment is the overall process of risk identification, risk analysis and risk evaluation Risk identification The organization should identify sources of risk, areas of impacts, events and their causes and their potential consequences. The aim of this step is to generate a comprehensive list of risks based on those events that might enhance, prevent, degrade or delay the achievement of the objectives. It is also important to identify the risks associated with not pursuing an opportunity. Comprehensive identification is critical, because a risk that is not identified at this stage will not be included in further analysis. Identification should include risks whether or not their source is under control of the organization. The organization should apply risk identification tools and techniques which are suited to its objectives and capabilities, and to the risks faced. Relevant and up-to-date information is important in identifying risks. This should include suitable background information where possible. People with appropriate knowledge should be involved in identifying risks. After identifying what might happen, it is necessary to consider possible causes and scenarios that show what consequences can occur. All significant causes should be considered Risk analysis Risk analysis is about developing an understanding of the risk. Risk analysis provides an input to risk evaluation and to decisions on whether risks need to be treated and on the most appropriate risk treatment strategies and methods. Risk analysis involves consideration of the causes and sources of risk, their positive and negative consequences, and the likelihood that those consequences can occur. Factors that affect consequences and likelihood should be identified. Risk is analyzed by determining consequences and their likelihood, and other attributes of the risk. An event can have multiple consequences and can affect multiple objectives. Existing risk controls and their effectiveness should be taken into account. The way in which consequences and likelihood are expressed and the way in which they are combined to determine a level of risk will vary according to the type of risk, the information available and the purpose for which the risk assessment output is to be used. These should all be consistent with the risk criteria. It is also important to consider the interdependence of different risks and their sources. The confidence in determination of risk and their sensitivity to preconditions and assumptions should be considered in the analysis, and communicated effectively to decision makers and other stakeholders if ISO 2008 All rights reserved 11

51 required. Factors such as divergence of opinion among experts or limitations on modelling should be stated and may be highlighted. Risk analysis can be undertaken with varying degrees of detail depending on the risk, the purpose of the analysis, and the information, data and resources available. Analysis can be qualitative, semi-quantitative or quantitative, or a combination of these, depending on the circumstances. In practice, qualitative analysis is often used first to obtain a general indication of the level of risk and to reveal the major risks. When possible and appropriate, one should undertake more specific and quantitative analysis of the risks as a following step. Consequences can be determined by modelling the outcomes of an event or set of events, or by extrapolation from experimental studies or from available data. Consequences can be expressed in terms of tangible and intangible impacts. In some cases, more than one numerical value or descriptor is required to specify consequences for different times, places, groups or situations Risk evaluation The purpose of risk evaluation is to assist in making decisions, based on the outcomes of risk analysis, about which risks need treatment to prioritize treatment implementation. Risk evaluation involves comparing the level of risk found during the analysis process with risk criteria established when the context was considered. If the level of risk does not meet risk criteria, the risk should be treated. Decisions should take account of the wider context of the risk and include consideration of the tolerance of the risks borne by parties other than the organization that benefit from the risk. Decisions should be made in accordance with legal, regulatory and other requirements. In some circumstances, the risk evaluation can lead to a decision to undertake further analysis. The risk evaluation can also lead to a decision not to treat the risk in any way other than maintaining existing risk controls. This decision will be influenced by the organization s risk appetite or risk attitude and the risk criteria that have been established. 6.5 Risk treatment General Risk treatment involves selecting one or more options for modifying risks, and implementing those options. Risk treatment involves a cyclical process of assessing a risk treatment; deciding whether residual risk levels are tolerable or not; if not tolerable generating a new risk treatment; and assessing the effect of that treatment until the residual risk reached complies with the organization s risk criteria. Risk treatment options are not necessarily mutually exclusive or appropriate in all circumstances. The options can include the following: avoiding the risk by deciding not to start or continue with the activity that gives rise to the risk; seeking an opportunity by deciding to start or continue with an activity likely to create or enhance the risk; removing the source of the risk; changing the nature and magnitude of likelihood; changing the consequences; sharing the risk with another party or parties; and retaining the risk by choice. 12 ISO 2008 All rights reserved

52 Selection of risk treatment options Selecting the most appropriate risk treatment option involves balancing the costs and efforts of implementation against the benefits derived having regard to legal, regulatory, and other requirements, social responsibility and the protection of the natural environment. Decisions should also take into account risks that can warrant risk treatment actions that are not justifiable on economic grounds e.g. severe (high negative consequence) but rare (low likelihood) risks. A number of treatment options can be considered an applied either individually or in combination. The organization can benefit from the adoption of a combination of treatment options. When selecting risk treatment options, the organization should consider the values and perceptions of stakeholders and the most appropriate ways to communicate with them. Where risk treatment options can impact on risk elsewhere in the organization, these areas should be involved in the decision. Though equally effective, some risk treatments can be more acceptable to stakeholders than others. If the resources for risk treatment are limited, the treatment plan should clearly identify the priority order in which individual risk treatments should be implemented. Risk treatment itself can introduce risks. A significant risk can be the failure or ineffectiveness of the risk treatment measures. Monitoring needs to be an integral part of the risk treatment plan to give assurance that the measures remain effective. Risk treatment can also introduce secondary risks that need to be assessed, treated, monitored and reviewed. These secondary risks should be incorporated into the same treatment plan as the original risk and not treated as a new risk, and the link between the two risks should be identified. Decision makers and other stakeholders should be aware of the nature and extent of the residual risk after risk treatment. The residual risk should be documented and subjected to monitoring, review and, where appropriate, further treatment Preparing and implementing risk treatment plans The purpose of risk treatment plans is to document how the chosen treatment options will be implemented. The information provided in treatment plans should include: expected benefit to be gained; performance measures and constraints; persons who are accountable for approving the plan and those responsible for implementing the plan; proposed actions; reporting and monitoring requirements; resource requirements; and timing and schedule. Treatment plans should be integrated with the management processes of the organization and discussed with appropriate stakeholders. 6.6 Monitoring and review Monitoring and review should be a planned part of the risk management process. Responsibilities for monitoring and review should be clearly defined. ISO 2008 All rights reserved 13

53 The organization s monitoring and review processes should encompass all aspects of the risk management process for the purposes of: analyzing and learning lessons from events, changes and trends; detecting changes in the external and internal context including changes to the risk itself which can require revision of risk treatments and priorities; ensuring that the risk control and treatment measures are effective in both design and operation; and identifying emerging risks. Actual progress in implementing risk treatment plans provides a performance measure and can be incorporated into the organization s performance management, measurement and internal and external reporting activities. Monitoring and review can involve regular checking or surveillance of what is already present or can be periodic or ad hoc. Both aspects should be planned. The results of monitoring and review should be recorded and internally or externally reported as appropriate and should also be used as an input to the review of the risk management framework (see 5.5). 6.7 Recording the risk management process Risk management activities should be traceable. In the risk management process, records provide the foundation for improvement in methods and tools as well as the overall process. Decisions concerning the creation of records should take into account: benefits of re-using information for management purposes; costs and efforts involved in creating and maintaining records; legal, regulatory, and operational needs for records; method of access, ease of retrievability and storage media; retention period; and sensitivity of information. 14 ISO 2008 All rights reserved

54 Annex A (Informative) Attributes of enhanced risk management A.1 General The ability to manage risk is one of the core competencies of any organization and its employees. Risk management methods and tools assist any organization to plan and implement concrete actions and programs to maximize their opportunities and to control their threats. The organization has greater control of its own growth and development when risk management is applied. All organizations should aim at the highest level of performance of their risk management framework in line with the criticality of the decisions that are to be made. The list of attributes below represents a high level of performance in managing risk. To assist organizations in measuring their own performance against these criteria, some tangible indicators are given for each attribute. A.2 Attributes A.2.1 An emphasis on continual improvement in risk management through the setting of organizational performance goals, measurement, review and the subsequent modification of processes, systems, resources, capability and skills. This would be indicated by the existence of explicit performance goals against which the organization s and individual manager s performance is measured. The organization s performance could be published and communicated. Normally, there would be at least an annual review of performance and then a revision of processes, and the setting of revised performance objectives for the following period. This risk management performance assessment is an integral part of the overall organization s performance assessment and measurement system for departments and individuals. A.2.2 Comprehensive, fully defined and fully accepted accountability for risks, risk controls and risk treatment tasks. Designated individuals fully accept, are appropriately skilled and have adequate resources to check risk controls, monitor risks, improve risk controls and communicate effectively about risks and their management to internal and external stakeholders. This would be indicated by all members of an organization being fully aware of the risks, risk controls and tasks for which they are accountable. Normally this will be recorded in job/position descriptions, databases or information systems. The definition of risk management roles, accountabilities and responsibilities should be part of all the organization s introduction programs. The organization ensures that those who are accountable are equipped to fulfill that role by providing them with the authority, time, training, resources and skills sufficient to assume their accountabilities. A.2.3 All decision making within the organization, whatever the level of importance and significance, involves the explicit consideration of risks and the application of risk management to some appropriate degree. This is indicated through the examination of the records of meetings and decisions to show that explicit discussions on risks took place. Also, it should be possible to see that all components of risk management are represented within key processes for decision making in the organization; for example, for decisions on the allocation of capital, on major projects and on re-structuring and organizational changes. For these reasons, soundly based risk management is seen within the organization as providing the basis for effective and prudent governance. ISO 2008 All rights reserved 15

55 A.2.4 Continual communications with internal and external stakeholders including comprehensive and frequent reporting of risk management performance is part of good governance. This is indicated by communication with stakeholders being clearly regarded as an integral and essential component of risk management so that communication with stakeholders can take place as part of each activity of the risk management process. Communication is rightly seen as a two way process so that properly informed decisions can be made about the level of risks and the need for risk treatment against properly established and comprehensive risk criteria. Comprehensive and frequent internal and external reporting on both significant risks and on risk management performance contributes substantially to effective governance within an organization. A.2.5 Risk management is viewed as central to the organization's management processes so that risks are considered in terms of effect of uncertainty on objectives. The organization s governance structure and process are based on the management of risk. Effective risk management is regarded by managers as essential for the achievement of the organization s objectives. This is indicated by managers language and important written materials in the organization using the term uncertainty in connection with risks. This statement is also normally reflected in the organization s statements of policy, particularly that relating to risk management. Normally, this attribute would be verified through interviews with managers and through the evidence of their actions and statements ISO 2008 All rights reserved

56 661 Bibliography [1] ISO/IEC Guide 73, Risk management Vocabulary [2] ISO/IEC Guide 51:1999, Safety aspects Guidelines for their inclusion in standards [3] ISO 9000:2005, Quality management systems Fundamentals and vocabulary [4] ISO 13702:1999, Petroleum and natural gas industries Control and mitigation of fires and explosions on offshore production installations Requirements and guidelines [5] ISO 14050:2002, Environmental management Vocabulary [6] ISO :2007, Safety of machinery Risk assessment Part 1: Principles [7] ISO/TR :2007, Safety of machinery Risk assessment Part 2: Practical guidance and examples of methods [8] ISO 14971:2007, Medical devices Application of risk management to medical devices [9] ISO 15265:2004, Ergonomics of the thermal environment Risk assessment strategy for the prevention of stress or discomfort in thermal working conditions [10] ISO 15544:2000, Petroleum and natural gas industries Offshore production installations Requirements and guidelines for emergency response [11] ISO 17776:2000, Petroleum and natural gas industries Offshore production installations Guidelines on tools and techniques for hazard identification and risk assessment [12] ISO :2003, Safety of machinery Basic concepts, general principles for design Part 1: Basic terminology, methodology [13] ISO :2005, Road vehicles Reduction of misuse risk of child restraint systems Part 3: Prediction and assessment of misuse by Misuse Mode and Effect Analysis (MMEA) [14] ISO :2005, Motorcycles Test and analysis procedures for research evaluation of rider crash protective devices fitted to motorcycles Part 5: Injury indices and risk/benefit analysis [15] ISO/IEC :2005, Information technology Security techniques Evaluation criteria for IT security Part 1: Introduction and general model [16] ISO/IEC :2005, Information technology Security techniques Evaluation criteria for IT security Part 2: Security functional requirements [17] ISO/IEC :2005, Information technology Security techniques Evaluation criteria for IT security Part 3: Security assurance requirements [18] ISO/IEC Risk management Risk assessment guidelines, to be published [19] ISO :2006, Guidance for assessing the validity of physical fire models for obtaining fire effluent toxicity data for fire hazard and risk assessment Part 1: Criteria [20] IEC 60812:2006, Analysis techniques for system reliability Procedure for failure mode and effects analysis (FMEA) [21] IEC :2003, Dependability management Part 1: Dependability management systems ISO 2008 All rights reserved 17

57 [22] IEC :2004, Dependability management Part 2: Guidelines for dependability management [23] IEC :2000, Functional safety of electrical/electronic/programmable electronic safety-related systems Part 2: Requirements for electrical/electronic/programmable electronic safety-related systems [24] IEC 61882:2001, Hazard and operability studies (HAZOP studies) Application guide [25] IEC 62198:2001, Project risk management Application guidelines [26] IEC :2006, Protection against lightning Part 2: Risk management 18 ISO 2008 All rights reserved