1、 ISO 2013 Management du risque Lignes directrices pour limplementation de lISO 31000 Risk management Guidance for the implementation of ISO 31000 Numro de rfrence ISO/TR 31004:2013(F) RAPPORT TECHNIQUE ISO/TR 31004 Premire dition 2013-10-15 ISO/TR 31004:2013(F)ii ISO 2013 Tous droits rservs DOCUMENT
2、 PROTG PAR COPYRIGHT ISO 2013 Droits de reproduction rservs. Sauf indication contraire, aucune partie de cette publication ne peut tre reproduite ni utilise sous quelque forme que ce soit et par aucun procd, lectronique ou mcanique, y compris la photocopie, laffichage sur linternet ou sur un Intrane
3、t, sans autorisation crite pralable. Les demandes dautorisation peuvent tre adresses lISO ladresse ci-aprs ou au comit membre de lISO dans le pays du demandeur. ISO copyright office Case postale 56 CH-1211 Geneva 20 Tel. + 41 22 749 01 11 Fax + 41 22 749 09 47 E-mail copyrightiso.org Web www.iso.org
4、 Version franaise parue en 2014 Publi en Suisse ISO/TR 31004:2013(F) ISO 2013 Tous droits rservs iii Sommaire Page Avant-propos iv Introduction v 1 Domaine dapplication . 1 2 Rfrences normatives . 1 3 Mise en uvre de lISO 31000 . 1 3.1 Gnralits 1 3.2 Comment mettre en uvre lISO 31000 . 2 3.3 Intgrat
5、ion de lISO 31000 aux processus de management de lorganisme 3 3.4 Amlioration continue 6 Annexe A (informative) Concepts et principes sous-jacents 8 Annexe B (informative) Application des principes de lISO 31000 11 Annexe C (informative) Comment exprimer mandat et engagement.22 Annexe D (informative
6、) Surveillance et revue .26 Annexe E (informative) Intgration du management du risque un systme de management .36 Bibliographie .39 ISO/TR 31004:2013(F) Avant-propos LISO (Organisation internationale de normalisation) est une fdration mondiale dorganismes nationaux de normalisation (comits membres d
7、e lISO). Llaboration des Normes internationales est en gnral confie aux comits techniques de lISO. Chaque comit membre intress par une tude a le droit de faire partie du comit technique cr cet effet. Les organisations internationales, gouvernementales et non gouvernementales, en liaison avec lISO pa
8、rticipent galement aux travaux. L ISO collabore troitement avec la Commission lectrotechnique internationale (CEI) en ce qui concerne la normalisation lectrotechnique. Les procdures utilises pour llaboration du prsent document et celles destines sa mise jour sont dcrites dans les Directives ISO/CEI,
9、 Partie 1. Il convient, en particulier, de prendre note des diffrents critres dapprobation requis pour les diffrents types de documents ISO. Le prsent document a t rdig conformment aux rgles de rdaction donnes dans les Directives ISO/CEI, Partie 2 (voir www. iso.org/directives). Lattention est appel
10、e sur le fait que certains des lments du prsent document peuvent faire lobjet de droits de proprit intellectuelle ou de droits analogues. LISO ne saurait tre tenue pour responsable de ne pas avoir identifi de tels droits de proprit et averti de leur existence. Les dtails concernant les rfrences aux
11、droits de proprit intellectuelle ou autres droits analogues identifis lors de llaboration du document sont indiqus dans lIntroduction et/ou sur la liste ISO des dclarations de brevets reues (voir www.iso.org/patents). Les ventuelles appellations commerciales utilises dans le prsent document sont don
12、nes pour information lattention des utilisateurs et ne constituent pas une approbation ou une recommandation. Pour une explication de la signification des termes et expressions spcifiques de lISO lis lvaluation de la conformit et pour toute information au sujet de ladhsion de lISO aux principes de l
13、OMC concernant les obstacles techniques au commerce (OTC), voir le lien suivant: Avant-propos Informations supplmentaires Foreword - Supplementary information Le Comit responsable du prsent document est le Comit technique ISO/TC 262, Management du risque.iv ISO 2013 Tous droits rservs ISO/TR 31004:2
14、013(F) Introduction 0.1 Gnralits Les organismes utilisent diffrentes mthodes pour grer les effets de lincertitude sur leurs objectifs, cest-dire pour grer le risque, en dtectant et comprenant le risque et en le modifiant au besoin. Le prsent Rapport technique est destin aider les organismes amliorer
15、 lefficacit de leurs actions de management du risque en les alignant sur lISO 31000:2009. LISO 31000 prsente une approche gnrique de management du risque qui peut tre applique tous les organismes pour leur permettre datteindre leurs objectifs. Le prsent Rapport technique est destin tre utilis par ce
16、ux qui, au sein des organismes, prennent les dcisions qui influent sur la ralisation de leurs objectifs, notamment les responsables de la gouvernance et ceux qui fournissent aux organismes conseils et accompagnement en matire de management du risque. Le prsent Rapport technique est galement destin t
17、re utilis par toute personne intresse par le risque et son management, y compris les enseignants, les tudiants, les lgislateurs et les rgulateurs. Le prsent Rapport technique est destin tre lu conjointement avec lISO 31000 et sapplique tous les types et toutes les tailles dorganismes. Les concepts f
18、ondamentaux et les dfinitions qui sont essentiels la comprhension de lISO 31000 sont expliqus lAnnexe A. LArticle 3 propose une mthodologie gnrique pour permettre aux organismes daligner leurs propres dispositions de management du risque sur lISO 31000, de manire planifie et structure. Elle propose
19、galement un mcanisme dajustement dynamique lorsque des modifications surviennent dans lenvironnement intrieur et extrieur de lorganisme. Dautres annexes fournissent des conseils, des exemples et une explication concernant la mise en uvre daspects choisis de lISO 31000, afin dassister les utilisateur
20、s du prsent Rapport technique en fonction de leur expertise et de leurs besoins particuliers. Les exemples figurant dans le prsent Rapport technique peuvent ou non tre directement applicables des situations ou des organismes donns. Ils sont fournis titre dexemple uniquement. 0.2 Concepts et principe
21、s sous-jacents Certains mots et concepts sont fondamentaux pour comprendre tant lISO 31000 que le prsent Rapport technique: ils sont expliqus dans lISO 31000:2009, Article 2, ainsi qu lAnnexe A du prsent Rapport technique. LISO 31000 numre onze principes sous-tendant un management du risque efficace
22、. Ces principes servent dfinir et clairer tous les aspects de lapproche du management du risque de lorganisme. Les principes dcrivent les caractristiques dun management du risque efficace. Plutt que de se limiter mettre en uvre ces principes, il est important que lorganisme les incorpore tous les as
23、pects du management. Ils servent dindicateurs de performance du management du risque et renforcent la valeur pour lorganisme dun management efficace du risque. Ils influencent galement tous les lments du processus de transition dcrit dans le prsent Rapport technique et les points techniques qui font
24、 lobjet de ses annexes. Dautres conseils sont donns dans lAnnexe B. Dans le prsent Rapport technique, les termes direction gnrale et organe de surveillance sont tous deux utiliss: direction gnrale se rfre la personne ou au groupe de personnes qui dirige et pilote un organisme au plus haut niveau, al
25、ors que organe de surveillance se rapporte la personne ou au groupe de personnes qui gouverne un organisme, dfinit des orientations et qui la direction rend des comptes. NOTE Dans de nombreux organismes, lorgane de surveillance peut tre dnomm conseil dadministration, conseil des administrateurs, con
26、seil de surveillance, etc. ISO 2013 Tous droits rservs v Management du risque Lignes directrices pour limplementation de lISO 31000 1 Domaine dapplication Le prsent Rapport technique propose aux organismes des lignes directrices de management efficace du risque par la mise en uvre de lISO 31000:2009
27、. Il prsente: une approche structure permettant aux organismes dadapter leurs dispositions en matire de management du risque pour les rendre conformes lISO 31000, tout en tenant compte des caractristiques de lorganisme; une explication des concepts sous-jacents de lISO 31000; des lignes directrices
28、sur les aspects des principes et du cadre organisationnel de management du risque qui sont dcrits dans lISO 31000. Le prsent Rapport technique peut tre appliqu par tout public, toute entreprise publique ou prive, toute collectivit, toute association, tout groupe ou individu. NOTE Pour plus de facili
29、t, les diffrents utilisateurs de la prsente Norme internationale sont dsigns par le terme gnrique organisme. Le prsent Rapport technique nest pas spcifique une industrie ou un secteur, ni un type de risque en particulier: il peut sappliquer toutes les activits et toutes les composantes de tous les o
30、rganismes. 2 Rfrences normatives Les documents ci-aprs, dans leur intgralit ou non, sont des rfrences normatives indispensables lapplication du prsent document. Pour les rfrences dates, seule ldition cite sapplique. Pour les rfrences non dates, la dernire dition du document de rfrence sapplique (y c
31、ompris les ventuels amendements). ISO 31000:2009, Management du risque Principes et lignes directrices 3 Mise en uvre de lISO 31000 3.1 Gnralits Le prsent article propose des lignes directrices aux organismes souhaitant aligner leur approche et leurs pratiques de management du risque sur lISO 31000
32、et maintenir cet alignement de manire constante. Il propose une mthodologie gnrale pouvant tre applique, de manire planifie, par tout organisme quelle que soit la nature de ses dispositions du moment en matire de management du risque. Cette mthodologie implique de: comparer les pratiques du moment a
33、vec celles dcrites dans lISO 31000; identifier les changements ncessaires, prparer et mettre en uvre un plan de ralisation de ces changements; maintenir une surveillance et des revues constantes pour veiller lactualisation et lamlioration continue. RAPPORT TECHNIQUE ISO/TR 31004:2013(F) ISO 2013 Tou
34、s droits rservs 1 ISO/TR 31004:2013(F) Ceci permettra lorganisme de bnficier dune comprhension immdiate et exhaustive de ses risques et de sassurer que ces risques sont cohrents avec son attitude face au risque et ses critres de risque. Indpendamment des raisons motivant la mise en uvre de lISO 3100
35、0, celle-ci est suppose permettre un organisme de mieux grer ses risques afin de raliser ses objectifs. Tous les organismes grent des risques dans une certaine mesure. Il convient que la stratgie de mise en uvre de lISO 31000 identifie la faon dont lorganisme gre dj le risque. Le processus de mise e
36、n uvre, tel que dcrit en 3.2, value les dispositions existantes et, si ncessaire, les adapte et les modifie pour les aligner sur lISO 31000. LISO 31000 dfinit les divers lments dun cadre organisationnel de management du risque. Plusieurs avantages peuvent dcouler de lintgration des lments de ce cadr
37、e organisationnel la gouvernance, aux fonctions et aux processus de lorganisme. Ils touchent lefficacit organisationnelle, la prise de dcisions judicieuses et lefficience. a) Il convient de raliser le cadre organisationnel de management du risque en intgrant ses lments au systme global de management
38、 et de prise de dcision de lorganisme, que ce systme soit formel ou informel; les processus de management existants peuvent tre amliors la lumire de lISO 31000. b) La comprhension et le management de lincertitude deviennent un lment part entire du (des) systme(s) de management, permettant lorganisme
39、 dadopter une approche commune. c) La mise en uvre du processus de management du risque peut tre adapte proportionnellement la taille et aux exigences de lorganisme. d) La gouvernance (cest-dire la direction et la surveillance) de la politique de management du risque, du cadre organisationnel et du
40、(des) processus peut tre intgre aux dispositions existantes de lorganisme en matire de gouvernance. e) Le rapport de management du risque est intgr aux autres rapports de management. f) La performance du management du risque devient partie intgrante de lapproche globale des performances. g) Linterac
41、tion et la connexion entre les domaines de management du risque souvent spars dun organisme (par exemple le management du risque dentreprise, le management du risque financier, le management du risque projet, le management de la sant et de la scurit, le management de la poursuite de lactivit, le man
42、agement des assurances) peuvent tre assures ou amliores, car dornavant lattention se cristallisera avant tout sur une dfinition et une ralisation des objectifs de lorganisme tenant compte du risque. h) La communication sur lincertitude et le risque entre les quipes de management et entre les niveaux
43、 hirarchiques est amliore. i) Les diffrents silos de lactivit de management du risque dun organisme se concentrent sur la ralisation des objectifs organisationnels dans un but commun. Il peut se dgager des avantages socitaux indirects, les parties prenantes externes lorganisme pouvant tre encourages
44、 amliorer leur propre activit de management du risque. j) Le traitement du risque et les moyens de matrise du risque peuvent devenir partie intgrante des actions quotidiennes. 3.2 Comment mettre en uvre lISO 31000 Bien que lISO 31000 explique comment grer efficacement le risque, elle nexplique pas c
45、omment intgrer le management du risque aux processus de management de lorganisme. Mme si les organismes sont diffrents, mme si leur situation de dpart diffre, il existe une approche gnrique et systmatique de mise en uvre applicable tous les cas. Il convient que lorganisme dtermine sil est ncessaire
46、dapporter des changements son cadre organisationnel de management du risque existant, avant de planifier et de mettre en uvre ces 2 ISO 2013 Tous droits rservs ISO/TR 31004:2013(F) changements, puis de surveiller la constance de lefficacit du nouveau cadre organisationnel. Cela permettra lorganisme:
47、 daligner ses activits de management du risque sur les principes de management efficace du risque dcrits dans lISO 31000:2009, Article 3; dappliquer le processus de management du risque dcrit dans lISO 31000:2009, Article 5; de satisfaire aux attributs dun management de risque lev de lISO 31000:2009, Article A.3; et ainsi datteindre les points principaux de lISO 31000:2009, Article A.2. Cette approche sapplique galement aux organismes qui sont dj en phase avec lISO 31000, mais qui souhaitent amliorer