Avant-projet de norme soumis à enquête probatoire jusqu au : 15 juin 2008

Transcription

1 Avant-projet de norme soumis à enquête probatoire jusqu au : 15 juin 2008 Pr NF ISO Indice de classement : X T1 Management du risque T2 Principes et lignes directrices de mise en oeuvre T3 E : Risk management Principles and guidelines on implementation D : Avant-projet de norme française homologuée Remplace : Correspondance Analyse Modifications

2 Commentaires : ISO Management du risque Principes et lignes directrices de mise en œuvre 1- Périmètre de la norme : La présente Norme internationale fournit des principes et des lignes directrices générales pour la mise en œuvre du management du risque. La présente Norme internationale peut être appliquée à toute entreprise publique, privée, individuelle ou sous forme de société, à toute association à but non lucratif, tout groupe ou individu. Elle est donc générique et n est pas spécifique à une industrie ou un secteur donné. La présente Norme internationale peut être appliquée tout au long de la vie d un organisme et à une large gamme d activités, de processus, de fonctions, de projets, de produits, de services, d actifs, d activités opérationnelles et de décisions. Bien que la présente Norme internationale fournisse des lignes directrices générales, elle ne vise pas à uniformiser le management du risque de tous les organismes. La conception et la mise en œuvre du management du risque dépendent des besoins propres de l organisme spécifique, de ses objectifs, contexte, structure, produits, services, projets particuliers, ainsi que des processus opérationnels et des pratiques spécifiques employées. En revanche, la présente Norme internationale vise à harmoniser les processus de management du risque dans les normes existantes et à venir. Elle offre une approche commune à l établissement des normes traitant de risques et/ou secteurs spécifiques, sans toutefois remplacer ces normes. La présente Norme internationale n a pas vocation à servir de base à une certification. 2 Historique relatif au développement de la norme ISO : En Juin 2004 AFNOR a été amenée, via l'iso/tmb, à se prononcer sur la reprise «Fasttrack» du document australien AS/NZS 4360 management du risque en tant que norme ISO. Compte-tenu du peu de temps pour consulter les instances normatives concernées et d autre part compte tenu de la sensibilité des acteurs économiques sur la thématique du management des risques, L AFNOR a voté contre la reprise «Fast-track» du document AS/NZS 4360 management du risque en tant que norme ISO. Suite à cette consultation les membres du TMB ont pris les décisions suivantes : «refusent la reprise de la norme AS/NZS4360 en tant que norme ISO au stade DIS (draft international standard), mais considère qu il y a un besoin d harmonisation des normes existantes dans le domaine du management du risque,

3 et par conséquent invite l Australie à fournir une proposition de structure pour développer une norme générique ISO sur le management du risque, pour considération lors de la prochaine réunion du TMB (septembre 2004).» Suite au refus de la position australienne, une nouvelle proposition conjointe entre au plan international, une proposition japonaise, de nouveau sujet d étude pour l élaboration de lignes directrices pour la gestion des risques, appuyée par les membres australien et britannique de l ISO, a été approuvée en juin Dans sa réponse à la consultation des membres de l ISO sur la proposition précitée, AFNOR approuvait le lancement de travaux normatifs sur le management des risques au sein de l ISO, aux conditions suivantes : la future norme doit fournir des lignes directrices, ou des recommandations, et non des exigences ; la future norme ne doit pas être destinée à des fins de certifications/enregistrement ; la future norme ne doit pas constituer une nouvelle norme de système de management. Les travaux ISO ont pris place dans un groupe de travail à animation japonaise, directement rattaché au Bureau de gestion technique (TMB) de l ISO. Les travaux ont officiellement débutés en septembre Formulation des commentaires Nous tenons à vous rappeler que la version de référence est la norme anglaise. Cependant, vous pouvez formuler vos commentaires d'ordre technique et éditorial soit en anglais, soit en français. Nous tenons également à souligner l importance de nous faire part des problèmes de traduction que vous auriez identifiés sur la version française. 4 - Présentation de l enquête probatoire Qu est ce que l enquête probatoire? L enquête probatoire constitue une large consultation, de l ensemble des partenaires économiques pour s assurer que le projet de norme est conforme à l'intérêt général et ne soulève aucune objection majeure. Elle doit permettre à chacun des destinataires ( les représentants des professionnels, des utilisateurs, et des pouvoirs publics ) d'apporter leurs commentaires sur le projet de norme. L enquête sera mise sur le site web AFNOR ( où le projet de norme sera accessible à tout public, et où sera mis à disposition le formulaire de réponse à l enquête. L avis d enquête probatoire est publié : au Journal Officiel ; dans la revue Enjeux, mensuel français de la normalisation ; auprès des adhérents d AFNOR, via la lettre «les exclusives».

4 Dépouillement de l enquête A l'issue de cette enquête, l ensemble des observations reçues par AFNOR sera synthétisé et classé par ordre des paragraphes du projet de norme. Les commentaires seront examinés par les commission de normalisation «Evaluation des risques» lors d une ou plusieurs réunions de dépouillement, où seront également invitées les personnes ayant formulé des commentaires pendant l enquête. L objectif de cette réunion de dépouillement est d'étudier et de statuer sur chaque commentaire sur le projet de norme : prise en compte ou non du commentaire ( dans ce cas, avec justification). Il s agit de donner suite à tous les commentaires. Date de la réunion de dépouillement La date de la réunion de dépouillement est fixée le mercredi 25 juin 2008 de 9h00 à 17h00, dans les locaux d AFNOR, 11 rue Francis de Pressensé, La Plaine Saint-Denis. 5- Prochaines étapes A l'issue de l'enquête lancée dans tous les pays membres de l'iso, le DIS pourra être approuvé en tant que projet final de norme internationale (FDIS) si une majorité des deux tiers des votes des membres actifs du comité technique ou du sous-comité se prononce en sa faveur et que le nombre de votes négatifs ne dépasse pas le quart du nombre total de votes exprimés Dans le cas où le DIS passe au stade FDIS, le projet final de norme internationale est diffusé auprès des membres de l ISO pour vote formel. Ainsi, si l organisme national de normalisation vote positivement, il ne doit pas soumettre de commentaires techniques. Par contre, si un organisme national juge inacceptable un projet final de Norme internationale, il doit voter négativement et il doit en donner les raisons techniques. Il ne doit pas émettre un vote positif sous réserve de modifications. Un projet final de norme internationale (FDIS) diffusé pour vote est approuvé si une majorité des deux tiers des votes exprimés par les membres actifs du comité technique ou du souscomité est favorable, et que le nombre de votes négatifs ne dépasse pas le quart du nombre total des votes exprimés. Finalement, si le projet final de norme internationale est approuvé, il doit passer au stade publication.

5 ISO 2008 Tous droits réservés ISO/TC TMB/SC Date: ISO/DIS ISO/TC TMB/SC /GT Secrétariat: JISC Management du risque Principes et lignes directrices de mise en œuvre Risk management Principles and guidelines on implementation Avertissement Ce document n est pas une Norme internationale de l ISO. Il est distribué pour examen et observations. Il est susceptible de modification sans préavis et ne peut être cité comme Norme internationale. Les destinataires du présent projet sont invités à présenter, avec leurs observations, notification des droits de propriété dont ils auraient éventuellement connaissance et à fournir une documentation explicative. Type du document: Norme internationale Sous-type du document: Stade du document: (40) Enquête Langue du document: F M:\dp\AA_Production\ISO\31000\03_TRAD_DIS\Doc traduit\iso_31000_(f).doc STD Version 2.2

6 Notice de droit d auteur Ce document de l ISO est un projet de Norme internationale qui est protégé par les droits d auteur de l ISO. Sauf autorisé par les lois en matière de droits d auteur du pays utilisateur, aucune partie de ce projet ISO ne peut être reproduite, enregistrée dans un système d extraction ou transmise sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, les enregistrements ou autres, sans autorisation écrite préalable. Les demandes d autorisation de reproduction doivent être envoyées à l ISO à l adresse ci-après ou au comité membre de l ISO dans le pays du demandeur. ISO copyright office Case postale 56 CH-1211 Geneva 20 Tel Fax copyright@iso.org Web Toute reproduction est soumise au paiement de droits ou à un contrat de licence. Les contrevenants pourront être poursuivis. ii ISO 2008 Tous droits réservés

7 Sommaire Page Avant-propos...iv Introduction...v 1 Domaine d application Références normatives Termes et définitions Principes de management du risque Cadre organisationnel de management du risque Généralités Mandat et engagement Conception du cadre organisationnel de management du risque Compréhension de l organisme et de son contexte Politique de management du risque Intégration aux processus organisationnels Responsabilité financière Ressources Établissement de mécanismes de communication et de consignation internes Établissement de mécanismes de communication et de consignation externes Mise en œuvre du management du risque Mise en œuvre du cadre organisationnel de management du risque Mise en œuvre du processus de management du risque Surveillance et revue du cadre organisationnel Amélioration continue du cadre organisationnel Processus de management du risque Généralités Communication et consultation Établissement du contexte Généralités Établissement du contexte externe Établissement du contexte interne Établissement du contexte du processus de management du risque Élaboration des critères de risque Appréciation du risque Généralités Identification du risque Analyse du risque Évaluation du risque Traitement du risque Généralités Sélection des options de traitement du risque Élaboration et mise en œuvre des plans de traitement du risque Surveillance et revue Documentation du processus de management du risque...15 Annexe A (informative) Attributs d un management du risque amélioré...16 A.1 Généralités...16 A.2 Attributs...16 Bibliographie...18 ISO 2008 Tous droits réservés iii

8 Avant-propos L ISO (Organisation internationale de normalisation) est une fédération mondiale d organismes nationaux de normalisation (comités membres de l ISO). L élaboration des Normes internationales est en général confiée aux comités techniques de l ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales, gouvernementales et non gouvernementales, en liaison avec l ISO participent également aux travaux. L ISO collabore étroitement avec la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique. Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI, Partie 2. La tâche principale des comités techniques est d élaborer les Normes internationales. Les projets de Normes internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur publication comme Normes internationales requiert l approbation de 75 % au moins des comités membres votants. La présente norme peut être révisée après cinq ans sur la base de l expérience acquise. Les comités qui élaborent des normes sont invités à informer le Secrétariat Central de l ISO de toute difficulté à laquelle ils pourraient se voir confrontés dans la mise en application des présentes dispositions. iv ISO 2008 Tous droits réservés

9 Introduction Les organismes de tous types et de toutes tailles sont confrontés à divers risques susceptibles d affecter l atteinte de leurs objectifs. Ces objectifs peuvent concerner un ensemble d activités de l organisme, depuis ses initiatives stratégiques jusqu à ses activités opérationnelles, ses processus et ses projets, et se décliner en termes de résultats et d impacts stratégiques, opérationnels et financiers ainsi que de réputation. Toute activité d un organisme implique des risques. Le management du risque apporte une aide à la prise de décision par la prise en compte de l incertitude et de son effet sur l atteinte des objectifs, et à l évaluation de la nécessité de chaque action. Un processus de management du risque implique l utilisation de méthodes logiques et systématiques pour : la communication et la consultation tout au long du processus ; l établissement du contexte ; l identification, l analyse, l évaluation et le traitement du risque associé à toute activité, processus, fonction, projet, produit, service ou actif ; la surveillance et la revue du risque ; et l enregistrement et la consignation des résultats de manière appropriée. La présente Norme internationale reconnaît la diversité de nature, de niveau et de complexité des risques et fournit des lignes directrices sur les principes et la mise en œuvre du management du risque. Afin de faciliter l application de ces lignes directrices générales dans une situation donnée, la présente Norme internationale indique comment il convient qu un organisme comprenne le contexte spécifique dans lequel il doit mettre en œuvre le management du risque. Le management du risque peut être appliqué à l ensemble de l organisme, c est-à-dire à tous secteurs et niveaux, à tout moment, ainsi qu à des fonctions et activités spécifiques. La mise en œuvre et la maintenance du management du risque conformément à la présente Norme internationale permettent par exemple à un organisme : de promouvoir un management proactif plutôt que réactif ; de prendre conscience de la nécessité d identifier et de traiter le risque à travers tout l organisme ; de faciliter l identification des opportunités et des menaces ; de se conformer aux obligations légales et réglementaires ainsi qu aux normes internationales ; d améliorer la rédaction des rapports financiers ; d améliorer la gouvernance d entreprise ; d accroître l assurance et la confiance des parties prenantes ; d établir une base fiable pour la prise de décision et la planification ; ISO 2008 Tous droits réservés v

10 d améliorer les contrôles ; d allouer et d utiliser efficacement les ressources pour le traitement du risque ; d améliorer l efficacité et la performance opérationnelles ; d améliorer la santé et la sécurité ; d améliorer la gestion et la prévention des incidents ; de réduire les pertes ; d améliorer l apprentissage organisationnel ; et d améliorer la résilience organisationnelle. Il convient que le management du risque permette de s assurer que les organismes apportent une réponse appropriée aux risques qui les affectent. Il convient par conséquent que le management du risque permette d écarter les réponses inefficaces qui pourraient empêcher des activités légitimes et/ou fausser l allocation nécessaire des ressources. Pour être efficace au sein d un organisme, il convient que le management du risque soit intégré à la gouvernance, au management, aux processus de consignation, aux politiques, à la philosophie et à la culture générales de l organisme. La même approche de management du risque peut être adoptée pour toutes les activités d un organisme, y compris les projets, les fonctions spécifiques, les actifs et les produits ou activités, renforçant ainsi la liaison entre ces activités et les objectifs globaux de l organisme. La présente Norme internationale est destinée à être utilisée par une grande diversité de parties prenantes, dont : les personnes responsables de la mise en œuvre du management du risque au sein de leur organisme ; les personnes chargées de s assurer qu un organisme gère le risque ; les personnes chargées de gérer le risque pour l organisme dans son ensemble ou dans un domaine ou pour une activité spécifique ; les personnes chargées d évaluer les pratiques d un organisme en matière de management du risque ; et les rédacteurs de normes, guides, procédures et bonnes pratiques qui, en totalité ou en partie, établissent la manière dont le risque doit être géré à travers ces documents particuliers. Pour nombre d organismes, les pratiques et processus de management existants comportent des éléments de management du risque, et beaucoup d organismes ont déjà adopté un processus formalisé de management du risque pour des types particuliers de risques ou de situations. Toutefois, la direction pourrait envisager de revoir sérieusement ses pratiques et processus existants à la lumière de la présente norme. Même si la pratique du management du risque s est développée au fil du temps et dans de nombreux secteurs pour répondre à différents besoins, une approche globale consistant en un cadre organisationnel regroupant un ensemble d éléments essentiels peut contribuer à garantir que le risque est géré de façon efficace et cohérente au sein d un organisme. L approche générique décrite dans la présente Norme internationale fournit des lignes directrices pour la mise en œuvre des principaux éléments de management du risque de manière transparente et fiable, quels que soient le domaine d application et le contexte. vi ISO 2008 Tous droits réservés

11 Chaque secteur ou application spécifique du management du risque s accompagne des besoins, publics, perceptions et critères qui lui sont propres. C est pourquoi, l un des points essentiels de la présente Norme internationale consiste à inclure «l établissement du contexte» comme activité placée au début du processus global de management du risque. Cette activité permet de saisir la diversité des critères ainsi que la nature et la complexité des risques et autres facteurs à prendre en compte et à gérer dans chaque cas. Certains domaines de management du risque, notamment en matière de sécurité, de santé des personnes et d environnement, imposent des critères reflétant un refus des conséquences négatives. Ces critères peuvent relever d obligations légales ou réglementaires ou de normes internationales. L application de l approche de management du risque décrite dans la présente Norme internationale permet de vérifier que ces critères sont bien identifiés et appliqués. Par conséquent, la présente Norme internationale peut également aider un organisme à remplir ses obligations légales et réglementaires ou vis-à-vis de normes internationales, ainsi qu à améliorer ses performances. La Figure 1 illustre les relations entre les principes de management du risque, le cadre organisationnel et le processus de management du risque décrits dans cette norme. Figure 1 Relations entre les principes, le cadre organisationnel et le processus de management du risque ISO 2008 Tous droits réservés vii

12

13 PROJET DE NORME INTERNATIONALE ISO/DIS Management du risque Principes et lignes directrices de mise en œuvre 1 Domaine d application La présente Norme internationale fournit des principes et des lignes directrices générales pour la mise en œuvre du management du risque. La présente Norme internationale peut être appliquée à toute entreprise publique, privée, individuelle ou sous forme de société, à toute association à but non lucratif, tout groupe ou individu. Elle est donc générique et n est pas spécifique à une industrie ou un secteur donné. NOTE Pour plus de facilité, les différentes entités auxquelles la présente Norme internationale est destinée sont désignées par le terme général d «organisme». La présente Norme internationale peut être appliquée tout au long de la vie d un organisme et à une large gamme d activités, de processus, de fonctions, de projets, de produits, de services, d actifs, d activités opérationnelles et de décisions. Bien que la présente Norme internationale fournisse des lignes directrices générales, elle ne vise pas à uniformiser le management du risque de tous les organismes. La conception et la mise en œuvre du management du risque dépendent des besoins propres de l organisme spécifique, de ses objectifs, contexte, structure, produits, services, projets particuliers, ainsi que des processus opérationnels et des pratiques spécifiques employées. En revanche, la présente Norme internationale vise à harmoniser les processus de management du risque dans les normes existantes et à venir. Elle offre une approche commune à l établissement des normes traitant de risques et/ou secteurs spécifiques, sans toutefois remplacer ces normes. La présente Norme internationale n a pas vocation à servir de base à une certification. 2 Références normatives Les documents de référence suivants sont indispensables pour l application du présent document. Pour les références datées, seule l édition citée s applique. Pour les références non datées, la dernière édition du document de référence s applique (y compris les éventuels amendements). ISO/CEI Guide 73, Management du risqué - Vocabulaire 1). 3 Termes et définitions Pour les besoins du présent document, les termes et définitions donnés dans le Guide ISO/CEI 73 s appliquent. 1) À publier. ISO 2008 Tous droits réservés 1

14 4 Principes de management du risque Pour optimiser l efficacité, il convient que le management du risque de tout organisme adhère aux principes suivants. a) Le management du risque crée de la valeur. Le management du risque contribue de façon démontrable à l atteinte des objectifs et à l amélioration, par exemple, de la santé et de la sécurité des personnes, de la conformité légale et réglementaire, de l acceptation par le public, de la protection environnementale, des performances financières, de la qualité des produits, de l efficacité opérationnelle, de la gouvernance d entreprise et de la réputation. b) Le management du risque est intégré aux processus organisationnels. Le management du risque relève de la responsabilité de la direction et doit être intégré aux processus de gestion courante de l organisme ainsi qu à tous les processus de management des projets et du changement. Le management du risque n est pas une activité indépendante séparée des principales activités et principaux processus de l organisme. c) Le management du risque est intégré au processus de prise de décision. Le management du risque éclaire les choix des décideurs. Le management du risque peut aider à l identification des priorités d actions et aux choix entre différents plans d action. Enfin, il peut aider à évaluer si un risque est inacceptable et si le traitement du risque sera approprié et efficace. d) Le management du risque traite explicitement de l incertitude. Le management du risque concerne tous les aspects de la prise de décision qui sont incertains, la nature des ces incertitudes, et comment celles-ci peuvent être traitées. e) Le management du risque est systématique, structuré et utilisé en temps utile. Une approche systématique, en temps utile et structurée du management du risque contribue à l efficacité de la démarche et permet d obtenir des résultats cohérents, comparables et fiables. f) Le management du risque s appuie sur la meilleure information disponible. Les données sur lesquelles repose le processus de management du risque sont recueillies à partir de diverses sources d information, telles que l historique des événements, les retours d expérience, l observation, les prévisions et les avis d experts. Toutefois, il convient que les décideurs soient informés et tiennent compte des éventuelles limites des données ou modèles utilisés ainsi que des éventuelles divergences entre experts. g) Le management du risque doit être taillé sur mesure. Le management du risque prend en compte le contexte externe et interne de l organisme et son profil de risque. h) Le management du risque intègre les facteurs humains et culturels. Le management du risque permet d identifier les aptitudes, les perceptions et les intentions des personnes externes et internes susceptibles de faciliter ou de gêner l atteinte des objectifs de l organisme. i) Le management du risque est transparent et participatif. L implication dans le management du risque de l ensemble des parties prenantes, et notamment des décideurs, à tous les niveaux de l organisme doit se faire de façon appropriée et mesurée. Elle permet également aux parties prenantes d être correctement représentées et de voir leur opinion prise en compte dans la détermination des critères de risque. 2 ISO 2008 Tous droits réservés

15 j) Le management du risque est dynamique, itératif et réactif au changement. La survenance d événements internes et externes, l évolution du contexte et des connaissances, l audit et la révision des résultats conduisent à l émergence de nouveaux risques, tandis que d autres sont modifiés ou disparaissent. Il convient donc que chaque organisme veille à ce que son management du risque soit évolutif et réactif au changement. k) Le management du risque facilite l amélioration et l évolution continues de l organisme. Il convient que les organismes élaborent et mettent en œuvre des stratégies visant à améliorer leur maturité pour le management du risque, comme pour tous les autres aspects de leur organisation. Pour plus d informations, voir l Annexe A «Attributs d un management du risque amélioré». 5 Cadre organisationnel de management du risque 5.1 Généralités Pour être efficace, il convient que le management du risque opère au sein d un cadre organisationnel fournissant les bases et les dispositions organisationnelles permettant son intégration à tous les niveaux de l organisme. Ce cadre organisationnel aide l organisme à gérer ses risques efficacement par l application du processus de management du risque (voir Article 6) à différents niveaux et dans des contextes spécifiques à l organisme. Il convient que le cadre organisationnel garantisse que les informations relatives aux risques générées par ces processus soient correctement consignées et servent de base à la prise de décision et à la détermination des responsabilités financières à tous les niveaux concernés au sein de l organisme. Cet article décrit les éléments du cadre organisationnel de management du risque qui sont nécessaires et la manière dont ils interagissent, comme illustré à la Figure 2. Figure 2 Éléments du cadre organisationnel de management du risque ISO 2008 Tous droits réservés 3

16 Ce cadre organisationnel n est pas destiné à décrire un système de management, mais plutôt à aider l organisme à intégrer le management du risque à son propre système global de management. Il convient par conséquent que chaque organisme adapte les éléments du cadre organisationnel en fonction de ses besoins spécifiques. Si les pratiques et processus de management existants au sein d un organisme incluent des éléments de management du risque, ou si l organisme a déjà adopté un processus formalisé de management du risque pour des types particuliers de risques ou de situations, il convient que ceux-ci soient sérieusement revus et évalués à la lumière de la présente Norme internationale en déterminant leur adéquation. 5.2 Mandat et engagement L introduction du management du risque et l assurance de son efficacité continue exigent un engagement fort et durable de la direction de l organisme ainsi que l établissement d un plan stratégique rigoureux. Il convient que la direction : articule et approuve la politique de management du risque ; définisse des indicateurs de performance du management du risque alignés sur les indicateurs de performance organisationnels ; s assure de l alignement des objectifs du management du risque sur les objectifs et stratégies de l organisme ; s assure de la conformité légale et réglementaire ; affecte les responsabilités, financières ou non, en matière de management aux niveaux appropriés de l organisme ; s assure que les ressources nécessaires sont allouées au management du risque ; communique les avantages du management du risque à l ensemble des parties prenantes ; et s assure que le cadre organisationnel de management du risque reste approprié. 5.3 Conception du cadre organisationnel de management du risque Compréhension de l organisme et de son contexte Préalablement à la conception et à la mise en œuvre du cadre organisationnel de management du risque, il est important de comprendre le contexte à la fois interne et externe de l organisme car celui-ci peut influencer la conception du cadre organisationnel de manière significative. Le contexte externe d un organisme comprend, entre autres, les aspects suivants : l environnement culturel, politique, légal, réglementaire, financier, technologique, économique, naturel et concurrentiel, au niveau international, national, régional ou local ; les facteurs et tendances ayant un impact déterminant sur l atteinte des objectifs de l organisme ; et les perceptions et valeurs des parties prenantes externes. 4 ISO 2008 Tous droits réservés

17 Le contexte interne d un organisme comprend, entre autres, les aspects suivants : les aptitudes, en termes de ressources et de connaissances (par exemple, capital, temps, compétences, processus, systèmes et technologies) ; les systèmes d information, les flux d information et les processus de prise de décision (à la fois formels et informels) ; les parties prenantes internes ; les politiques, objectifs et les stratégies mises en place pour atteindre ces derniers ; les perceptions, les valeurs et la culture ; les normes et modèles de référence adoptés par l organisme ; et les structures (par exemple gouvernance, rôles, responsabilités financières) Politique de management du risque Il convient que la politique de management du risque clarifie les objectifs et l engagement de l organisme en matière de management du risque et spécifie ce qui suit : les liens entre la politique de management du risque et les objectifs et autres politiques de l organisme ; les motifs du management du risque ; les responsabilités, financières ou non, en matière de management du risque ; la manière dont les conflits d intérêts sont traités ; le goût ou l aversion de l organisme pour le risque ; les processus, méthodes et outils à utiliser pour le management du risque ; les ressources mises à la disposition des personnes responsables, financièrement ou non, du management du risque ; la manière dont les performances du management du risque seront mesurées et consignées ; l engagement d effectuer une revue et une vérification périodiques de la politique et du cadre organisationnel de management du risque et de veiller à son amélioration continue ; et Il convient que la politique de management du risque soit communiquée de manière appropriée Intégration aux processus organisationnels Afin d être pertinent, efficace et performant, il convient que le management du risque soit intégré à toutes les pratiques et tous les processus métier de l organisme. Pour ce faire, il convient que le processus de management du risque fasse partie intégrante et ne soit pas séparé des processus organisationnels. Il convient notamment que le management du risque soit pris en compte dans l élaboration de la politique, des plans d activité et stratégiques, et dans les processus de management du changement. Il convient d élaborer un plan global de management du risque afin de s assurer que la politique de management du risque est mise en œuvre et que le management du risque est intégré à l ensemble des pratiques et des processus métier de l organisme. ISO 2008 Tous droits réservés 5

18 5.3.4 Responsabilité financière Il convient que l organisme définisse les responsabilités financières et autorités nécessaires en matière de management du risque, y compris concernant la mise en œuvre et la maintenance du processus de management du risque, et s assure de l adéquation et de l efficacité des moyens de maîtrise du risque. Ceci peut être facilité par : la désignation des personnes responsables de l élaboration, de la mise en œuvre et de la maintenance du cadre organisationnel de management du risque ; la désignation des personnes responsables de la mise en œuvre du traitement du risque, de la maintenance des moyens de maîtrise du risque et de la consignation des informations pertinentes relatives au risque ; la définition de mesures de performance et de processus internes et/ou externes de consignation et d escalade ; et la mise en place de niveaux appropriés de reconnaissance, de récompense, d approbation et de sanction Ressources Il convient que l organisme définisse des moyens pratiques pour l allocation des ressources nécessaires au management du risque. Il convient que soient pris en compte : les personnes, les aptitudes, l expérience et les compétences ; les ressources nécessaires à chaque étape du processus de management du risque ; les processus et procédures documentés ; et les systèmes de gestion des informations et des connaissances Établissement de mécanismes de communication et de consignation internes Il convient que l organisme établisse des mécanismes de communication et de consignation internes afin de garantir : la communication appropriée des principaux composants du cadre organisationnel de management du risque, et toutes modifications ultérieures ; l existence de rapports internes appropriés sur le cadre organisationnel, son efficacité et les résultats ; la disponibilité des informations pertinentes issues de l application du management du risque aux niveaux et aux moments appropriés ; et l existence de processus de consultation des parties prenantes internes. Il convient que ces mécanismes soient conçus de façon à faciliter, le cas échéant, le rapprochement des informations relatives au risque provenant de différentes sources au sein de l organisme en tenant compte de leur caractère sensible. 6 ISO 2008 Tous droits réservés

19 5.3.7 Établissement de mécanismes de communication et de consignation externes Il convient que l organisme élabore et mette en œuvre un plan relatif à la manière de communiquer avec les parties prenantes externes. Il convient que cela implique : la participation des parties prenantes externes appropriées et l assurance d un échange efficace d informations ; l établissement de rapports externes afin de se conformer aux obligations légales, réglementaires et de la gouvernance d entreprise ; la divulgation des informations requises légalement ; la communication des retours d information et la consignation sur la communication et la consultation ; l utilisation de la communication pour accroître la confiance dans l organisme ; et la communication avec les parties prenantes en cas de crise ou d événement inattendu. 5.4 Mise en œuvre du management du risque Mise en œuvre du cadre organisationnel de management du risque Pour la mise en œuvre du cadre organisationnel de management du risque, il convient que l organisme : définisse un calendrier et une stratégie appropriés pour la mise en œuvre du cadre organisationnel ; applique la politique et le processus de management du risque aux processus organisationnels ; se conforme aux obligations légales et réglementaires ; documente la justification de ses prises de décision, y compris l élaboration et la détermination des objectifs alignés sur les résultats du processus de management du risque ; organise des séances d information et de formation ; et consulte et communique avec les parties prenantes afin de s assurer que son cadre organisationnel de management du risque reste approprié Mise en œuvre du processus de management du risque La mise en œuvre du management du risque consiste à s assurer que le processus de management du risque décrit à l Article 6 est intégré aux pratiques et aux processus métier de l organisme à tous les niveaux et à toutes les fonctions pertinents d un organisme. 5.5 Surveillance et revue du cadre organisationnel Afin de s assurer que le management du risque est efficace et contribue à l atteinte des performances organisationnelles, il convient que l organisme : établisse des mesures de performance ; mesure régulièrement les progrès et les écarts par rapport au plan de management du risque ; examine régulièrement si le cadre organisationnel, la politique et le plan de management du risque sont toujours appropriés dans le contexte interne et externe de l organisme ; ISO 2008 Tous droits réservés 7

20 établisse des rapports sur les risques, sur les avancées du plan de management du risque, et s assure de la manière dont la politique de management du risque est suivie ; et vérifie l efficacité du cadre organisationnel de management du risque. 5.6 Amélioration continue du cadre organisationnel Sur la base de cette revue, il convient que des décisions soient prises sur les possibilités d amélioration du cadre organisationnel, de la politique et du plan de management du risque. Il convient que ces décisions entraînent des améliorations dans le management du risque et la culture du management du risque de l organisme. 6 Processus de management du risque 6.1 Généralités Il convient que le processus de management du risque fasse partie intégrante du management de l organisme, soit intégré à sa culture et à ses pratiques, et soit adapté à ses processus métier. Cela comprend les activités décrites des paragraphes 6.2 à 6.7. Le processus de management du risque comprend cinq activités : communication et consultation, établissement du contexte, appréciation du risque, traitement du risque, surveillance et revue, comme illustré à la Figure 3. Ces activités, ainsi que la documentation du processus de management du risque, sont décrites dans cet article. Figure 3 Processus de management du risque 8 ISO 2008 Tous droits réservés

21 6.2 Communication et consultation Il convient que la communication et la consultation avec les parties prenantes internes et externes aient lieu, en fonction des besoins, à chaque étape du processus de management du risque. Par conséquent, il convient d élaborer un plan de communication et de consultation avec les parties prenantes à la fois internes et externes dès le début du processus. Il convient que ce plan aborde les questions relatives au risque lui-même, à ses conséquences (si elles sont connues), et aux mesures prises pour le gérer. Il convient que l efficacité de la communication et de la consultation internes et externes permette de s assurer que les parties prenantes et les personnes responsables de la mise en œuvre du processus de management du risque comprennent comment les décisions sont prises et pourquoi telle ou telle action est nécessaire. Une approche consultative en équipe est utile, entre autres, pour : définir correctement le contexte ; aider à s assurer que les intérêts des parties prenantes sont bien compris et pris en considération ; réunir différents domaines d expertise pour l analyse des risques ; s assurer que les risques sont correctement identifiés ; s assurer que différents points de vue sont pris en compte de manière appropriée dans l évaluation des risques ; promouvoir un management approprié du changement au cours du processus de management du risque ; conforter l approbation et l appui en faveur d un plan de traitement ; et élaborer un plan de communication et de consultation internes et externes approprié. La communication et la consultation avec les parties prenantes sont des processus déterminants car leur jugement sur le risque est basé sur leur propre perception du risque. La perception du risque peut varier selon les valeurs, besoins, hypothèses, concepts et préoccupations des parties prenantes. Leur opinion pouvant avoir un impact significatif sur les décisions prises, il est important que la perception des parties prenantes soit identifiée, consignée et prise en compte dans le processus de prise de décision. Il convient que le plan de communication et de consultation : permette un échange d informations entre les parties prenantes ; véhicule des messages honnêtes, précis, compréhensibles et reposant sur des preuves ; et soit utile ; et que la valeur des contributions soit évaluée. 6.3 Établissement du contexte Généralités En établissant le contexte, l organisme définit les paramètres internes et externes à prendre en compte dans le management du risque et dans la détermination du domaine d application et des critères de risque pour la suite du processus. Il convient que le contexte comporte à la fois des paramètres internes et externes pertinents pour l organisme. La plupart de ces paramètres sont semblables à ceux pris en compte dans la conception du cadre organisationnel de management du risque (voir 5.3.1). Toutefois, lors de l établissement du contexte pour le processus de management du risque, l analyse de ces paramètres doit être approfondie, notamment leur impact sur le domaine d application du processus particulier de management du risque. ISO 2008 Tous droits réservés 9

22 6.3.2 Établissement du contexte externe Le contexte externe est l environnement externe dans lequel l organisme cherche à atteindre ses objectifs. Il est important de comprendre le contexte externe afin de s assurer que les parties prenantes externes, leurs objectifs et leurs préoccupations sont pris en compte lors de l élaboration des critères de risque. Le contexte externe est basé sur le contexte élargi de l organisme, avec toutefois les détails spécifiques issus des obligations légales et réglementaires, des perceptions des parties prenantes et autres aspects des risques propres au domaine d application du processus de management du risque. Le contexte externe peut inclure, sans que la liste soit exhaustive : l environnement culturel, politique, légal, réglementaire, financier, technologique, économique, naturel et concurrentiel, au niveau international, national, régional ou local ; les facteurs et tendances ayant un impact déterminant sur les objectifs de l organisme ; et les perceptions et valeurs des parties prenantes externes Établissement du contexte interne Le contexte interne est l environnement interne dans lequel l organisme cherche à atteindre ses objectifs. Il convient que le processus de management du risque intègre la culture, les processus et la structure de l organisme. Le contexte interne comprend tous les éléments au sein de l organisme susceptibles d influencer la manière dont un organisme gère le risque. Il convient de l établir car : le management du risque s effectue dans le contexte des objectifs de l organisme ; les objectifs et les critères d un projet ou d une activité en particulier devraient être envisagés à la lumière des objectifs de l organisme dans son ensemble ; et un risque majeur pour certains organismes est de ne pas atteindre leurs objectifs stratégiques, d activité ou en termes de projets, et ce risque affecte la continuité de l engagement, de la crédibilité, de la confiance et des valeurs de l organisme. Il est nécessaire de comprendre le contexte interne notamment en termes de : aptitudes, ressources et savoir (par exemple, capital, temps, compétences, processus, systèmes et technologies) ; systèmes d information, flux d information et processus de prise de décision (à la fois formels et informels) ; parties prenantes internes ; politiques, objectifs et stratégies mises en place pour les atteindre ; perceptions, valeurs et culture ; normes et modèles de référence adoptés par l organisme ; et structures (par exemple gouvernance, rôles, responsabilités financières). 10 ISO 2008 Tous droits réservés

23 6.3.4 Établissement du contexte du processus de management du risque Il convient de définir les objectifs, stratégies, domaines d application et paramètres des activités de l organisme ou des parties de l organisme auxquelles le processus de management du risque est appliqué. Il convient que la mise en place du management du risque suppose la mobilisation de ressources dont il faudra justifier l utilité. Cela suppose de recenser avec précision les ressources nécessaires, de définir les responsabilités et autorités, et de préciser la documentation à conserver. Le contexte du processus de management du risque varie selon les besoins de l organisme. Il peut inclure, sans toutefois s y limiter : la définition des responsabilités relatives au processus de management du risque ; la définition du domaine d application ainsi que du degré et de l étendue des activités de management du risque à entreprendre, y compris les inclusions et exclusions spécifiques ; la définition de l activité, du processus, de la fonction, du projet, du produit, du service ou de l actif en termes de temps et de lieu, ainsi que son but et ses objectifs ; la définition des relations entre un projet ou une activité donnée et les autres projets ou activités de l organisme ; la définition des méthodes d appréciation du risque ; la définition de la méthode d évaluation des performances en management du risque ; l identification et la spécification des décisions à prendre ; et l identification, le domaine d application ou le cadre organisationnel des études requises, leur étendue et leurs objectifs, ainsi que les ressources nécessaires à leur réalisation. La prise en compte de ces facteurs et autres facteurs pertinents permet de s assurer que l approche de management du risque adoptée est adaptée à la situation de l organisme et aux risques affectant l atteinte de ses objectifs Élaboration des critères de risque Il convient que l organisme définisse des critères permettant d évaluer l importance du risque. Ces critères peuvent refléter les valeurs, les objectifs et les ressources de l organisme. Certains critères peuvent résulter d obligations légales et réglementaires, ou d autres exigences auxquelles l organisme se soumet volontairement. Il convient que les critères de risque accompagnent et promeuvent la politique de management du risque de l organisme (voir 5.3.2). C est pourquoi, il convient de les définir dès le début de tout processus de management du risque et de les réviser périodiquement. Lors de la définition des critères de risque, il convient de tenir compte, entre autres, des facteurs suivants : nature et types des conséquences éventuelles et méthode d estimation ; méthode de définition de la vraisemblance ; périodes de la vraisemblance et/ou de la conséquence ; méthode de détermination du niveau de risque ; niveau à partir duquel le risque devient acceptable ou tolérable ; niveau de risque nécessitant un traitement ; et prise en compte ou non des combinaisons de plusieurs risques. ISO 2008 Tous droits réservés 11

24 6.4 Appréciation du risque Généralités L appréciation du risque est le processus global comprenant l identification, l analyse et l évaluation du risque Identification du risque Il convient que l organisme identifie les sources de risque, les domaines d impact, les événements ainsi que leurs causes et conséquences potentielles. Cette étape a pour objectif de dresser une liste exhaustive des risques basée sur les événements susceptibles de faciliter, d empêcher, de gêner ou de différer l atteinte des objectifs. Il est également important d identifier les risques liés à la non-saisie d une opportunité. Il est essentiel de procéder à une identification exhaustive car si un risque spécifique n est pas identifié à ce stade, il ne sera inclus dans aucune analyse ultérieure. Il convient que l identification inclue les risques que leur source soit sous contrôle de l organisme ou non (endogène ou exogène). Il convient que l organisme utilise des outils et techniques d identification des risques adaptés à ses objectifs et ses aptitudes, et aux risques auxquels il est exposé. Il est essentiel que les informations utilisées dans l identification des risques soient pertinentes et à jour. Il convient autant que possible qu elles soient accompagnées d une documentation appropriée. Il convient que les personnes participant à l identification des risques aient les connaissances appropriées. Après avoir identifié ce qui pourrait se passer, il est nécessaire d étudier les causes possibles et les scénarios montrant les conséquences potentielles. Il convient que toutes les causes significatives soient prises en compte Analyse du risque L analyse du risque vise à développer une compréhension du risque. L analyse du risque offre une base pour l évaluation du risque et pour déterminer si les risques doivent faire l objet d un traitement et quelles stratégies et méthodes de traitement sont les plus appropriées. L analyse du risque implique la prise en compte des causes et sources de risque, de leurs conséquences positives et négatives, et de la vraisemblance que ces conséquences surviennent. Il convient que les facteurs affectant les conséquences et leur vraisemblance soient identifiés. Le risque est analysé en déterminant les conséquences et leur vraisemblance, ainsi que tout autre attribut du risque. Un événement peut entraîner plusieurs conséquences et affecter plusieurs objectifs. Il convient de prendre en compte les moyens existants de maîtrise du risque ainsi que leur efficacité. La façon dont les conséquences et leur vraisemblance sont exprimées ainsi que la manière dont elles sont combinées afin de déterminer un niveau de risque varient selon le type de risque, les informations disponibles et ce à quoi l appréciation du risque doit servir. Il convient de veiller à la cohérence avec les critères de risque. Il est également important de tenir compte de l interdépendance des différents risques et de leurs sources. Il convient que le degré de confiance dans la détermination du risque et sa sensibilité aux conditions préalables et aux hypothèses soient pris en compte dans l analyse et communiqués de manière efficace aux décideurs et autres parties prenantes si nécessaire. En particulier, il convient que les éventuelles divergences d opinion entre experts ou les limites des modélisations soient mentionnées, voire soulignées. L analyse du risque peut être menée à différents niveaux de détail en fonction du risque, de la finalité de l analyse et des informations, données et ressources disponibles. L analyse peut être qualitative, semi-quantitative, quantitative, ou une combinaison des trois, selon les circonstances. En pratique, une analyse qualitative est souvent utilisée dans un premier temps afin d obtenir une indication générale du niveau de risque et de faire ressortir les principaux risques. Lorsque c est possible et pertinent, il convient d entreprendre dans un deuxième temps une analyse plus spécifique et quantitative des risques. 12 ISO 2008 Tous droits réservés