Risk management — Guidelines on using ISO 31000 in management systems

This document gives guidelines for integrating and using ISO 31000 in organizations that have implemented one or more ISO and IEC Management System Standards (MSS), or that have decided to undertake a project implementing one or more MSS incorporating ISO 31000. This document explains how the clauses of ISO 31000 relate to the high level structure (HLS) for MSS. This document does not provide guidance on implementing a management system in general. It does not specify requirements of a MSS. It does not provide a summary of ISO 31000; however, it does, as explained above, provide the background for understanding ISO 31000. Using this document does not remove the need to use other standards to address specific aspects of risk.

Management du risque — Lignes directices pour l'utilisation de l'ISO 31000 dans les systèmes de management

Le présent document donne des lignes directrices pour l'intégration et l'utilisation de l'ISO 31000 dans les organismes ayant mis en œuvre une ou plusieurs normes de systèmes de management (NSM) de l'ISO et de l'IEC, ou ayant décidé d'entreprendre un projet mettant en œuvre une ou plusieurs NSM incorporant l'ISO 31000. Le présent document explique comment les articles de l'ISO 31000 se rapportent à la structure-cadre des NSM. Le présent document ne fournit pas de recommandations pour la mise en œuvre d'un système de management en général. Il ne spécifie pas les exigences d'une NSM. Il ne fournit pas de résumé de l'ISO 31000; cependant, comme expliqué ci-dessus, il fournit les grandes lignes permettant de comprendre l'ISO 31000. L'utilisation du présent document ne dispense pas de la nécessité d'utiliser d'autres normes pour traiter des aspects spécifiques du risque.

General Information

Status

Published

Publication Date

30-Mar-2020

ICS

03.100.01 - Company organization and management in general

Technical Committee

ISO/TC 262 - Risk management

Drafting Committee

ISO/TC 262 - Risk management

Current Stage

6060 - International Standard published

Start Date

31-Mar-2020

Due Date

22-Jan-2022

Completion Date

31-Mar-2020

Ref Project

Buy Standard

IWA 31:2020 - Risk management -- Guidelines on using ISO 31000 in management systems

Standard

IWA 31:2020 - Risk management -- Guidelines on using ISO 31000 in management systems

English language

14 pages

sale 15% off

Preview

sale 15% off

Preview

IWA 31:2020 - Management du risque -- Lignes directices pour l'utilisation de l'ISO 31000 dans les systèmes de management

Standard

IWA 31:2020 - Management du risque -- Lignes directices pour l'utilisation de l'ISO 31000 dans les systèmes de management

French language

16 pages

sale 15% off

Preview

sale 15% off

Preview

IWA 31:2020 - Management du risque -- Lignes directices pour l'utilisation de l'ISO 31000 dans les systemes de management

Standard

IWA 31:2020 - Management du risque -- Lignes directices pour l'utilisation de l'ISO 31000 dans les systemes de management

French language

16 pages

sale 15% off

Preview

sale 15% off

Preview

Standards Content (Sample)

INTERNATIONAL IWA
WORKSHOP 31
AGREEMENT
First edition
2020-03
Risk management — Guidelines on
using ISO 31000 in management
systems
Reference number
IWA 31:2020(E)
ISO 2020
---------------------- Page: 1 ----------------------
IWA 31:2020(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2020

be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting

on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address

below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2020 – All rights reserved
---------------------- Page: 2 ----------------------
IWA 31:2020(E)
Contents Page

Foreword ........................................................................................................................................................................................................................................iv

Introduction ..................................................................................................................................................................................................................................v

1 Scope ................................................................................................................................................................................................................................. 1

2 Normative references ...................................................................................................................................................................................... 1

3 Terms and definitions ..................................................................................................................................................................................... 1

4 The use of the term “risk” in ISO 31000 and other standards .............................................................................. 1

5 Guidance on ISO 31000 for users of MSS ..................................................................................................................................... 2

6 Integrated management systems and using ISO 31000 ............................................................................................... 3

Annex A (informative) Correspondence between ISO 31000 and the HLS for MSS ..............................................4

Annex B (informative) Case study incorporating ISO 31000 into a multidiscipline

management system ......................................................................................................................................................................................... 5

Annex C (informative) Workshop contributors ......................................................................................................................................12

Bibliography .............................................................................................................................................................................................................................14

ISO (the International Organization for Standardization) is a worldwide federation of national standards

bodies (ISO member bodies). The work of preparing International Standards is normally carried out

through ISO technical committees. Each member body interested in a subject for which a technical

committee has been established has the right to be represented on that committee. International

organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.

ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of

electrotechnical standardization.

The procedures used to develop this document and those intended for its further maintenance are

described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the

different types of ISO documents should be noted. This document was drafted in accordance with the

editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).

Attention is drawn to the possibility that some of the elements of this document may be the subject of

patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of

any patent rights identified during the development of the document will be in the Introduction and/or

on the ISO list of patent declarations received (see www .iso .org/ patents).

Any trade name used in this document is information given for the convenience of users and does not

constitute an endorsement.

For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and

expressions related to conformity assessment, as well as information about ISO’s adherence to the

World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso .org/

iso/ foreword .html.

International Workshop Agreement IWA 31 was approved at a workshop hosted by BSI, held virtually

by Zoom in December 2019.

Any feedback or questions on this document should be directed to the user’s national standards body. A

complete listing of these bodies can be found at www .iso .org/ members .html.
iv © ISO 2020 – All rights reserved
---------------------- Page: 4 ----------------------
IWA 31:2020(E)
Introduction

There is a steady growth in the number of organizations, of all types and sizes, that are using

management systems based on an ISO and IEC Management System Standard (MSS) . New ISO and IEC

MSS continue to be developed to address specific aspects of an organization’s activities, products or

services. The ISO/IEC Directives, Part 1 specifies the high level structure (HLS) for MSS. This generic

structure prescribes identical core text, common terms and core definitions for all ISO and IEC MSS. An

organization can integrate requirements or recommendations of different MSS into their management

system. The unified structure of MSS can make it easier for users to construct an integrated

management system (IMS), rather than end up with a fragmented management system. All such MSS

employ the concept of an approach based on risk management, a risk-based approach or risk-based

thinking (depending on the terminology used within the management system in question), which is at

the core of any management system. The main advantage of this is the holistic application of interrelated

systems. ISO 31000:2018 can be used to further develop or improve an IMS through its guidance on

how to determine the risks that need to be addressed to give assurance that the management system

can achieve its intended outcomes, enhance desirable effects, prevent or reduce undesired effects, and

achieve continual improvement.

ISO 31000 is international best practice regarding risk management, which is widely accepted, generic

and open to manage any type of risk. Integrating risk management into its management system(s) by

using ISO 31000 brings multiple benefits to an organization, whether they only address negative effects

or include positive effects. The purpose of risk management as outlined in ISO 31000 is the creation and

protection of value. It helps improve the decisions of risk owners or process owners and enhances the

operations of processes and all other activities of the organization, including strategic and operational.

This can lead to better results, higher output quality, less costly mistakes and the management of

liability.

Integrating risk management in accordance with ISO 31000 creates and protects value in organizations

by supporting the achievement of objectives and making the organization more resilient to adverse

effects. Assessing risks enables their appropriate treatment and establishes a basis for increasing the

effectiveness of the organization’s management system, achieving improved results, and preventing

negative outcomes. However, integrating risk management into a management system can pose

challenges, which can be reduced by following the guidance in this document.

1) A list of ISO and IEC MSS is available at: https:// www .iso .org/ management -system -standards -list .html

© ISO 2020 – All rights reserved v
---------------------- Page: 5 ----------------------
International Workshop Agreement IWA 31:2020(E)
Risk management — Guidelines on using ISO 31000 in
management systems
1 Scope

This document gives guidelines for integrating and using ISO 31000 in organizations that have

implemented one or more ISO and IEC Management System Standards (MSS), or that have decided to

undertake a project implementing one or more MSS incorporating ISO 31000. This document explains

how the clauses of ISO 31000 relate to the high level structure (HLS) for MSS.

This document does not provide guidance on implementing a management system in general. It does

not specify requirements of a MSS. It does not provide a summary of ISO 31000; however, it does, as

explained above, provide the background for understanding ISO 31000. Using this document does not

remove the need to use other standards to address specific aspects of risk.
2 Normative references

The following documents are referred to in the text in such a way that some or all of their content

constitutes requirements of this document. For dated references, only the edition cited applies. For

undated references, the latest edition of the referenced document (including any amendments) applies.

ISO 31000:2018, Risk management — Guidelines
3 Terms and definitions

For the purposes of this document, the terms and definitions given in ISO 31000:2018 apply.

ISO and IEC maintain terminological databases for use in standardization at the following addresses:

— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at http:// www .electropedia .org/
4 The use of the term “risk” in ISO 31000 and other standards

The application of terminology should be taken in the context within which it is applied. For an

organization’s risk management, ISO 31000:2018, 3.1, defines “risk” as the “effect of uncertainty on

objectives”. Some standards do not refer to objectives, but the text regularly states that risks need to be

addressed in order to give assurance that the management system can achieve its intended outcomes.

An objective can be expressed as an intended outcome or result.

The risk management framework and process of ISO 31000 are customized and proportionate to the

organization’s external and internal context related to its objectives. This includes the interested

parties’ perspectives.

There are some contexts where different terminology is used (e.g. safety, occupational health and

safety, medical devices sector). This use implements a general understanding of the term “risk” that

narrows the ISO 31000 concept of risk in that it focuses on the potential negative impact of deviations

from the expected. This approach can be considered to be included in the broader definition of risk in

ISO 31000:2018, 3.1.
© ISO 2020 – All rights reserved 1
---------------------- Page: 6 ----------------------
IWA 31:2020(E)
5 Guidance on ISO 31000 for users of MSS

ISO 31000:2018 offers guidance to all types of organizations, regardless of type and size, and is written

for people who create and protect value in organizations by managing risks, making decisions, setting

purpose and strategy, achieving objectives, and improving performance.

The eight principles of risk management act as a foundation for the creation and protection of

value. These provide guidance on the characteristics of effective and efficient risk management,

communicating its value, and explaining its intention and purpose. ISO 31000 provides a common

approach to managing any type of risk faced by an organization throughout its life.

The purpose of the risk management framework is to assist the organization in integrating risk

management into significant activities and functions. The effectiveness of risk management will depend

on its integration into the governance of the organization, including decision-making.

The risk management process as set out in ISO 31000 should be customized proportionate to the

external and internal context of the organization related to its objectives. It should be adapted so that

it becomes an integral part of the management system, and is integrated into the structure, operations

and processes of the organization.

Using the guidance on principles and framework, an organization may choose to customize the

application of the risk management processes to its management system for any type of risk it faces

throughout its life. Adding the steps of the risk management process can enhance the management

system. In this context, it needs to be remembered that although the risk management process is often

presented as sequential, in practice it is iterative.

Risk management should be applied whenever there is any information or estimation that initiates or

adds to a process or activity, or whenever there is a change in the context of the organization.

There could be a degree of uncertainty in this information or estimation, which could have an effect

on the achievement of objectives. An effect is explained in ISO 31000:2018, 3.1, as a deviation from

the expected, which can be positive, negative or both. Therefore, the organization should revisit risk

identification whenever there is new information or estimations relevant for its process and activities.

Figure 1 shows an overlay of the ISO 31000 guidelines with the framework of the generic HLS clauses

for MSS. The top row references the HLS clauses and the left-hand column represents the ISO 31000

framework clauses. For example, looking at the intersection of ISO 31000:2018, 5.2, on leadership

and the HLS clause on leadership, the grey key indicates there should be a process referring to the

management of risk. Therefore, this table can be used as a reference point. For details on the clause

connections, see Table A.1.
2 © ISO 2020 – All rights reserved
---------------------- Page: 7 ----------------------
IWA 31:2020(E)
Figure 1 — Relationship between ISO 31000 and the clauses of the HLS for MSS
6 Integrated management systems and using ISO 31000

The application of risk management can be done through the process approach of a management

system. The ISO 31000 framework should be merged with the management system by applying a gap

analysis to include ISO 31000 framework components. By integrating risk management into the process

approach, duplications or conflicts are avoided.

In order to achieve effective and efficient integration and implementation of the ISO 31000 framework

and its process into other MSS, the organization should adopt ISO 31000 principles. The ISO Handbook

[5]

The Integrated Use of Management Systems Standards (IUMSS) could be a useful reference in this

respect. For detailed steps for integrating the use of MSS, it is advised to refer to this handbook.

Annex A provides guidance on how on organization can approach the integration of management of risk

into its MSS. Annex B is a case study of incorporating ISO 31000 into a multidiscipline management system.

© ISO 2020 – All rights reserved 3
---------------------- Page: 8 ----------------------
IWA 31:2020(E)
Annex A
(informative)
Correspondence between ISO 31000 and the HLS for MSS

Table A.1 shows the linkages between the main clauses of ISO 31000 and the most important correlating

clauses of the HLS for MSS. Users of ISO 31000 can integrate risk management practices into the

management system of the organization where these clauses of the HLS are addressed.

Table A.1 — Correspondence between ISO 31000 and the HLS for MSS
Clauses of ISO 31000:2018
Clauses of the HLS for MSS
4. Principles 5. Framework 6. Process
4.1 Understanding the organization and 6.1, 6.3.1, 6.3.3,
0, a), c), e), f), g) 5.2, 5.4.1
its context 6.3.4, 6.6, 6.7
6.1, 6.2, 6.3.1,
4.2 Understanding the needs and 0, a), c), d), e),
5.2, 5.4.1, 5.4.5 6.3.3, 6.3.4, 6.6,
4. Context of
expectations of interested parties f), g)
6.7
the
organization
4.3 Determining the scope of the XXX
0, a), c), f) 5.1, 5.2, 5.4.1, 5.5 6.3.1, 6.3.3, 6.3.4
management system
5.1, 5.2, 5.3,
4.4 XXX management system 0, a), b), c), f) 6.3.1, 6.3.3, 6.3.4
5.4.1, 5.5
5.1, 5.2, 5.4.2,
5.1 Leadership and commitment 0, a), c), d), g) 6.2, 6.6, 6.7
5.4.4
5. Leadership 5.2 Policy 0, a), c), d), g) 5.2, 5.4.2 6.2, 6.6, 6.7
5.3 Organizational roles, responsibilities
a), c), d), g) 5.2, 5.4.3 —
and authorities
6.1 Actions to address risks and
0, a), b), e), f) 5.1, 5.4.2, 5.7.1 6.1, 6.4, 6.5
opportunities
6. Planning
6.2 XXX objectives and planning to
0, a), b) 5.4.2, 5.7.2 6.5
achieve them
7.1 Resources 0, a), f), g) 5.1, 5.4.4 6.3.4, 6.5.2
7.2 Competence 0, a), f), g) 5.1 —
7. Support 7.3 Awareness 0, a), f), g) 5.1 —
7.4 Communication 0, a), d), f) 5.1, 5.4.5 6.1, 6.2, 6.3.4
7.5 Documented information 0, a), f) 5.1 6.1, 6.7
6.1, 6.4, 6.5, 6.6,

8. Operation 8.1 Operational planning and control 0, a), b), f) 5.1, 5.3, 5.5, 5.7

6.7
9.1 Monitoring, measurement, analysis 6.1, 6.3.3, 6.3.4,
a) 5.6
and evaluation 6.4.1, 6.6, 6.7
9. Perfor-
6.1, 6.3, 6.4.1,
mance 9.2 Internal audit a) 5.6
6.6, 6.7
evaluation
6.1, 6.3, 6.4.1,
9.3 Management review 0, a), b), e), g) 5.6, 5.7
6.6, 6.7
10.1 Nonconformity and corrective action 0, a), h) 5.7 6.1, 6,4, 6.5, 6.6
10. Improve-
ment
10.2 Continual improvement 0, a), h) 5.1, 5.2, 5.7 6.1, 6.4, 6.5, 6.6
Principle “0” refers to the core principle “value creation and protection”.

NOTE The subclause numbers in the cells refer to the subclauses of ISO 31000:2018 according to relevant column heading.

4 © ISO 2020 – All rights reserved
---------------------- Page: 9 ----------------------
IWA 31:2020(E)
Annex B
(informative)
Case study incorporating ISO 31000 into a multidiscipline
management system
B.1 General

This case study illustrates a holistic approach for risk management in an organization, across multiple

disciplines, based on the principles of ISO 31000 and the HLS for MSS. This case study does not provide

any guidance on how to approach the integration of ISO 31000 into an organization’s management

system(s). It also does not include requirements related to each of the referenced MSS.

For the purpose of this annex, only the aspects of some clauses/requirements (those considered

particularly effective) are highlighted to show how the application of requirements to the quality

management system (QMS) processes of the organization were reviewed in the light of a risk

management approach.
The text used in the case study represents the following:
— italic text: provides the perspective of the organization;
— regular text: provides guidance.

NOTE In this annex the term “interested party” has been used because it is the term used by this organization,

which has applied ISO 9001 since 1997. According to the definition of “stakeholder” in ISO 31000:2018, 3.3, the

term “interested party” can be used as an alternative.
B.2 Description and background of the organization
“XYZ” is a fictional organization used for the purpose of this annex.
— It comprises about 120 people.

— It concerns the development, trading, technical assistance and production, by mixing powders and

liquids, of:
— chemical products for material surface treatment;
— chemical products for waters treatment;
— lubricants for mechanical processing;
— chemical auxiliaries;
— temporary protective films and adhesive systems for the aerospace industry.
— It is a for-profit corporation.

— It needs to consider the regulatory environment, e.g. for the EU, Canada and Colombia, in regard to

topics such as disposal requirements, chemical waste requirements, transportation requirements,

safety requirements, etc.

— It has a distributed geography with two plants (Canada-Toronto and Colombia-Bogota) and one head

office based in Brussels.
© ISO 2020 – All rights reserved 5
---------------------- Page: 10 ----------------------
IWA 31:2020(E)
The organization has been ISO 9001 certified since 1998.

Since the certification to ISO 9001, there have been additional requirements from customers to work with

other MSS to manage environmental and health and safety aspects, which were used as separate systems.

By the end of December 2017, the quality manager (QM) became aware of the possibility for integrating risk

management in accordance with ISO 31000 in the company management system starting from the well-

consolidated QMS.

After discussing the study and its advantages with the CEO and having had their approval in principle, the

QM suggested to the CEO to attend a seminar together in which organizations from three different sectors

will share their own experience on the use of ISO 31000, including the transition from the 2009 to the 2018

edition. By the end of the seminar, the CEO and QM realized the value of implementing a risk management

framework to support their management systems and made the decision to move forward.

The risk management approach should be integrated into the existing ISO 9001 management system. The

CEO and Board of Directors assigned the responsibility and the authority to the QM for arranging a detailed

project stating intentions and directions of the risk management approach, in accordance with ISO 31000.

They also instructed all the process owners with the task of actively cooperating with the QM in both

preparing and implementing the project.

Those intentions and directions were then incorporated into the integrated policy. Some examples are

given below:

— risk is an integral and unavoidable component of our business, every activity that helps the organization

to pursue objectives introduces new risks to the organization;
— we are committed to managing all risk in a proactive and effective manner;

— risk assessment will be applied to all aspects of our business by the management, governing body and

operations at appropriate levels;

— we promote a risk-aware culture in all decision-making, so we foster the spread of risk-based thinking,

aimed at taking advantage of opportunities and preventing undesirable results;

— risk-based thinking refers to this risk-aware culture that must be well-established at all levels in our

organization as an essential part of the “organizational knowledge”;

— everyone in our organization has responsibility for managing risk, within their respective areas of

competence and the limits of the assigned authority, responsibility and accountability;

— clients are increasingly expecting the organization to act ethically, and this applies to all aspects of our

processes, that directly or indirectly contribute to value;
— commitment to risk management extends to all of our suppliers;

— our risk criteria (both to evaluate the significance of risk and to choose among the treatment options)

are based on our code of ethics and particularly on the right balance of the three pillars of sustainability

(environment, social, economic): cost and benefit are to be both evaluated in terms of sustainability;

— we will also apply risk management in order to control any kind of legal risks, helping us to fulfil all our

compliance obligations.
B.3 Application of risk management (from ISO 31000) in the existing QMS

The QM realized that all clauses should have been involved to some extent in the project for the application

of risk management in the existing QMS (hereinafter referred to as the “project”).

First, the project was based on the consideration that the components of the risk management framework

should be embedded within the organization’s overall strategic and operational policies and practices. This

means that the first step was a review of each element of the QMS in order to identify and evaluate any gaps

6 © ISO 2020 – All rights reserved
---------------------- Page: 11 ----------------------
IWA 31:2020(E)

of the existing risk management practices. The second step was the filling of those gaps by integrating the

components of the risk management framework into the interrelated and interacting elements of the QMS

(i.e. the organization’s structure, roles and responsibilities, planning and processes to achieve its objectives).

Apart from the clauses of ISO 9001:2015 where risk (associated to opportunity and threat) is explicitly

mentioned, there are direct or indirect implicit references to risk and risk management in almost all of

the clauses and relevant requirements.
The considerations below were taken into account by the organization.

Planning (Clause 6) was considered a key clause for risk management, because it is inherent within the

concept of influence of uncertainty in relation to objectives.

Understanding the organization and its context (4.1) was the basis for both establishing the processes of

the management system and framework and process of risk management. The determination of the relevant

interested parties and their needs and expectations was the basis for establishing the management system

and its processes as well as establishing the risk criteria. The requirements related to communication (see

ISO 9001:2015, 7.4) had been supplemented with suggestions about communication and consultation in

ISO 31000:2018.

Documented information (7.5): ISO 9001 (as per the HLS) requires, in addition to the documents expressly

referred to in the standard, all documented information determined by the organization as being necessary

for the effectiveness of the QMS. The project stated that risk management had to be used to determine which

documents, in addition to those required by the standard, were necessary and what their degree of detail

should have been. In addition to considering the size of the organization, the type of activity, the complexity

of the processes, their interactions and the competence of the personnel, the questions to be asked might

have been basically two, for each process:

a) What negative impacts could the lack of documented information (procedures, instructions, records or

a low degree of detail) generate?

b) What positive impacts could be generated by entering a new procedure, an instruction, a registration

or improving the level of detail of existing ones?

It was kept in mind that documents that are too large or more detailed than necessary run the risk of being

completely ignored.

There was a determination of the processes (4.4) required for the management system and their

application throughout the organization, regardless of whether these processes are performed internally or

outsourced. For each process (internal or external) with a significant uncertainty, the project stated that it

was necessary to identify:
— activities that transform inputs into outputs;
— results to be achieved;

— potential effects, positive or negative, on downstream processes and on the final product;

— the controls, the monitoring, the measurements that should have been such as to be able to maximize

positive impacts (seizing opportunities for improvement) and minimizing negative ones (avoiding

unwanted events, nonconformities).

Documented information such as procedures, work instructions, specifications, etc. contained actions to

address risks in order to ensure that the QMS processes can achieve their intended results, enhance desirable

effects, prevent or reduce undesired effects, and achieve improvement.

There is a close relationship between risk management and decision-making that is clearly stated and

confirmed in many clauses throughout ISO 31000:2018. Therefore, the application of risk management

enables, among other things, the fulfilling of one of the quality management principles: evidence-based

decision-making.
© ISO 2020 – All rights reserved 7
---------------------- Page: 12 ----------------------
IWA 31:2020(E)

Also, the first part of Support (7.1, 7.2 and 7.3), although it does not contain explicit references to risk

management, was interpreted in this light in order to provide resources (personnel, infrastructures and

work environment) such as to make it possible to seize opportunities and avoid unwanted events, pursuing

the main objective of satisfying more and more customers, as well as other relevant interested parties. The

personnel must have the necessary competence and resources to keep the risks related to their activity

under control. All persons were made aware of all the kinds of risks they face and of their contribution to

the achievement of organization’s objectives.

The choice of monitoring and measuring resources (ISO 9001:2015, 7.1.5, and 9.1), their metrological

characteristics and the calibration intervals, etc. was established, taking into account all related risks,

results of previous monitoring and measurement activities, and taking into account not only threats and

dangers, but also opportunities to be seized. This concerns the importance of having or not having certain

measurements, the tolerances required, the acceptable measurement uncertainty, the possibility of an

instrument drift between one calibration and another, and the degree of detail for records. All aspects were

decided in the light
...

ACCORD IWA
INTERNATIONAL 31
D’ATELIER
Première édition
2020-03
Version corrigée
2020-07
Management du risque — Lignes
directices pour l'utilisation de
l'ISO 31000 dans les systèmes de
management
Risk management — Guidelines on using ISO 31000 in
management systems
Numéro de référence
IWA 31:2020(F)
ISO 2020
---------------------- Page: 1 ----------------------
IWA 31:2020(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2020

publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,

y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut

être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.

ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2020 – Tous droits réservés
---------------------- Page: 2 ----------------------
IWA 31:2020(F)
Sommaire Page

Avant-propos ..............................................................................................................................................................................................................................iv

1 Domaine d’application ................................................................................................................................................................................... 1

2 Références normatives ................................................................................................................................................................................... 1

3 Termes et définitions ....................................................................................................................................................................................... 1

4 Utilisation du terme «risque» dans l’ISO 31000 et les autres normes .........................................................1

5 Recommandations relatives à l’ISO 31000 pour les utilisateurs de NSM ..................................................2

6 Systèmes de management intégrés et utilisation de l’ISO 31000 ...................................................................... 3

Annexe A (informative) Correspondance entre l’ISO 31000 et la structure-cadre des NSM ......................4

Annexe B (informative) Étude de cas sur l’incorporation de l’ISO 31000 dans un système de

management pluridisciplinaire ............................................................................................................................................................ 6

Annexe C (informative) Contributeurs à l’atelier .................................................................................................................................14

Bibliographie ...........................................................................................................................................................................................................................16

L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes

nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est

en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude

a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,

gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.

L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui

concerne la normalisation électrotechnique.

Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont

décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents

critères d’approbation requis pour les différents types de documents ISO. Le présent document a été

rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www

.iso .org/ directives).

L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de

droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable

de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant

les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de

l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de

brevets reçues par l’ISO (voir www .iso .org/ brevets).

Les appellations commerciales éventuellement mentionnées dans le présent document sont données

pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un

engagement.

Pour une explication de la nature volontaire des normes, la signification des termes et expressions

spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion

de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles

techniques au commerce (OTC), voir www .iso .org/ avant -propos.

L’Accord international d’atelier IWA 31 a été adopté lors d’un atelier virtuel organisé par la BSI via Zoom

en décembre 2019.
La présente version corrigée de l’IWA 31:2020 inclut les corrections suivantes:

— le numéro de référence de la page de couverture et le type de document à la page 1 ont été corrigés.

Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent

document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes

se trouve à l’adresse www .iso .org/ fr/ members .html.
iv © ISO 2020 – Tous droits réservés
---------------------- Page: 4 ----------------------
IWA 31:2020(F)
Introduction

Un nombre croissant d’organismes, de tous types et de toutes tailles, utilisent des systèmes de

management fondés sur une norme de système de management (NSM) de l’ISO et de l’IEC . De

nouvelles NSM ISO et IEC continuent d’être élaborées pour traiter des aspects spécifiques des activités,

produits ou services d’un organisme. Les Directives ISO/IEC, Partie 1, spécifie la structure-cadre

des NSM. Cette structure générique spécifie un texte de base identique et des termes et définitions

de base communs pour toutes les NSM ISO et IEC. Un organisme peut intégrer les exigences ou les

recommandations de différentes NSM dans son système de management. La structure unifiée des NSM

peut permettre aux utilisateurs construire plus facilement un système de management intégré (SMI),

plutôt que de se retrouver avec un système de management fragmenté. Toutes ces NSM emploient le

concept d’approche fondée sur le management du risque, d’approche fondée sur le risque ou d’approche

risque (selon la terminologie utilisée dans le système de management en question), qui est au cœur

de tout système de management. Le principal avantage en est l’application holistique de systèmes

interreliés. L’ISO 31000:2018 peut être utilisée pour développer ou améliorer davantage un SMI grâce

à ses recommandations sur la manière de déterminer les risques qu’il est nécessaire de prendre en

compte pour donner l’assurance que le système de management peut atteindre les résultats escomptés,

renforcer les effets désirés, prévenir ou réduire les effets non désirés et permettre une amélioration

continue.

L’ISO 31000 représente les meilleures pratiques internationales en matière de management du risque.

Celles-ci sont largement acceptées, génériques et adaptées au management de tout type de risque.

Intégrer le management du risque dans son ou ses systèmes de management en utilisant l’ISO 31000

apporte de nombreux avantages à un organisme, qu’il s’agisse de traiter uniquement les effets négatifs

ou d’inclure les effets positifs. La finalité du management du risque, telle que décrite dans l’ISO 31000,

est la création et la préservation de la valeur. Il contribue à améliorer les décisions des propriétaires de

risques ou de processus et renforce le fonctionnement des processus et de toutes les autres activités de

l’organisme, y compris d’ordre stratégique et opérationnel. Cela peut conduire à de meilleurs résultats,

à une plus grande qualité des éléments de sortie, à des erreurs moins coûteuses et à la gestion de la

responsabilité.

L’intégration du management du risque conformément à l’ISO 31000 permet de créer de la valeur et de

la préserver au sein des organismes en favorisant l’atteinte des objectifs et en rendant l’organisme plus

résilient face aux effets adverses. L’appréciation des risques permet leur traitement approprié et établit

une base pour accroître l’efficacité du système de management de l’organisme, obtenir de meilleurs

résultats et prévenir les conséquences négatives. Cependant, l’intégration du management du risque

dans un système de management peut poser des difficultés, qu’il est possible de réduire en suivant les

recommandations du présent document.

1) Une liste des NSM ISO et IEC est disponible à l’adresse suivante: https:// www .iso .org/ management -system

-standards -list .html.
© ISO 2020 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ACCORD INTERNATIONAL D’ATELIER IWA 31:2020(F)
Management du risque — Lignes directices pour
l'utilisation de l'ISO 31000 dans les systèmes de
management
1 Domaine d’application

Le présent document donne des lignes directrices pour l’intégration et l’utilisation de l’ISO 31000

dans les organismes ayant mis en œuvre une ou plusieurs normes de systèmes de management (NSM)

de l’ISO et de l’IEC, ou ayant décidé d’entreprendre un projet mettant en œuvre une ou plusieurs

NSM incorporant l’ISO 31000. Le présent document explique comment les articles de l’ISO 31000 se

rapportent à la structure-cadre des NSM.

Le présent document ne fournit pas de recommandations pour la mise en œuvre d’un système de

management en général. Il ne spécifie pas les exigences d’une NSM. Il ne fournit pas de résumé

de l’ISO 31000; cependant, comme expliqué ci-dessus, il fournit les grandes lignes permettant de

comprendre l’ISO 31000. L’utilisation du présent document ne dispense pas de la nécessité d’utiliser

d’autres normes pour traiter des aspects spécifiques du risque.
2 Références normatives

Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur

contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.

Pour les références non datées, la dernière édition du document de référence s’applique (y compris les

éventuels amendements).
ISO 31000:2018, Management du risque — Lignes directrices
3 Termes et définitions

Pour les besoins du présent document, les termes et les définitions de l’ISO 31000:2018 s’appliquent.

L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en

normalisation, consultables aux adresses suivantes:

— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp

— IEC Electropedia: disponible à l’adresse http:// www .electropedia .org/
4 Utilisation du terme «risque» dans l’ISO 31000 et les autres normes

Il convient d’appréhender la terminologie dans le contexte dans lequel elle est appliquée. Concernant

le management du risque d’un organisme, l’ISO 31000:2018, 3.1, définit le «risque» comme l’«effet

de l’incertitude sur les objectifs». Certaines normes ne font pas référence aux objectifs, mais le texte

indique généralement qu’il est nécessaire de prendre en compte les risques afin de donner l’assurance

que le système de management peut atteindre les résultats escomptés. Un objectif peut être exprimé

sous la forme d’un résultat ou d’un effet escompté.

Le cadre organisationnel et le processus de management du risque de l’ISO 31000 sont ajustés et

proportionnés au contexte externe et interne de l’organisme ainsi qu’à ses objectifs. Cela inclut le point

de vue des parties intéressées.

Cela met en œuvre en général une compréhension du terme «risque» qui restreint le concept de risque

de l’ISO 31000 en ce sens que l’accent est mis sur l’impact négatif potentiel des écarts par rapport à ce

qui est attendu. Cette approche peut être considérée comme faisant partie de la définition plus large du

risque de l’ISO 31000:2018, 3.1.
5 Recommandations relatives à l’ISO 31000 pour les utilisateurs de NSM

L’ISO 31000:2018 propose des recommandations applicables par tous les types d’organismes, quels que

soient leur type et leur taille, et s’adresse aux personnes qui, au sein des organismes, créent de la valeur

et la préservent par le management du risque, la prise de décision, l’établissement d’une finalité et d’une

stratégie, l’atteinte des objectifs et l’amélioration de la performance.

Les huit principes du management du risque servent de fondement à la création et à la préservation

de la valeur. Ils fournissent des recommandations sur les caractéristiques d’un management du risque

efficace et efficient, en communiquant sa valeur et en expliquant son intention et sa finalité. L’ISO 31000

fournit une approche commune permettant de gérer tout type de risque auquel un organisme est

confronté au cours de sa vie.

La finalité du cadre organisationnel de management du risque est d’aider l’organisme à intégrer le

management du risque dans les activités et les fonctions significatives. L’efficacité du management

du risque va dépendre de son intégration dans la gouvernance de l’organisme, y compris la prise de

décision.

Il convient d’ajuster le processus de management du risque tel que décrit dans l’ISO 31000 de façon

proportionnée au contexte externe et interne de l’organisme et de ses objectifs. Il convient de l’adapter

pour qu’il fasse partie intégrante du système de management et qu’il soit intégré dans la structure, le

fonctionnement et les processus de l’organisme.

En suivant les recommandations relatives aux principes et au cadre organisationnel, un organisme peut

choisir d’ajuster l’application des processus de management du risque à son système de management

pour tout type de risque auquel il est confronté au cours de sa vie. Ajouter les étapes du processus de

management du risque peut permettre d’améliorer le système de management. Dans ce contexte, il est

nécessaire de se rappeler que, bien que le processus de management du risque soit souvent présenté

comme séquentiel, dans la pratique, il est itératif.

Il convient d’appliquer le management du risque chaque fois qu’une information ou une estimation

quelconque initialise ou alimente un processus ou une activité, ou chaque fois qu’il y a un changement

dans le contexte de l’organisme.

Il peut exister un degré d’incertitude dans cette information ou estimation, ce qui peut avoir un effet

sur l’atteinte des objectifs. Un effet est expliqué dans l’ISO 31000:2018, 3.1, comme étant un écart par

rapport à un attendu, lequel peut être positif, négatif ou les deux à la fois. Par conséquent, il convient que

l’organisme revienne sur l’identification du risque chaque fois qu’il dispose de nouvelles informations

ou estimations pertinentes pour ses processus et activités.

La Figure 1 montre la correspondance entre les lignes directrices de l’ISO 31000 et le cadre

organisationnel des articles génériques de la structure-cadre des NSM. La ligne du haut renvoie

aux articles de la structure-cadre tandis que la colonne de gauche représente les articles du cadre

organisationnel de l’ISO 31000. Par exemple, si l’on regarde à l’intersection de l’ISO 31000:2018, 5.2,

portant sur le leadership et de l’article de la structure-cadre sur le leadership, la zone grise indique la

présence d’un processus faisant référence au management du risque. Ce tableau peut donc servir de

point de référence. Pour plus de détails sur les relations entre les articles, voir le Tableau A.1.

2 © ISO 2020 – Tous droits réservés
---------------------- Page: 7 ----------------------
IWA 31:2020(F)

Figure 1 — Relations entre l’ISO 31000 et les articles de la structure-cadre des NSM

6 Systèmes de management intégrés et utilisation de l’ISO 31000

L’application du management du risque peut se faire par l’approche processus d’un système de

management. Il convient de fusionner le cadre organisationnel de l’ISO 31000 avec le système

de management en appliquant une analyse des écarts pour inclure les composantes du cadre

organisationnel de l’ISO 31000. L’intégration du management du risque dans l’approche processus

permet d’éviter les doublons ou les conflits.

Afin de parvenir à une intégration et à une mise en œuvre efficaces et efficientes du cadre organisationnel

de l’ISO 31000 et de son processus dans d’autres NSM, il convient que l’organisme adopte les principes

de l’ISO 31000. La manuel de l’ISO intitulé The Integrated Use of Management Systems Standards (IUMSS)

[5]

peut être une référence utile à cet égard. Pour connaître les étapes détaillées permettant d’intégrer

l’utilisation des NSM, il est conseillé de se reporter à ce manuel.

L’Annexe A fournit des recommandations sur la manière dont un organisme peut aborder l’intégration

du management du risque dans ses NSM. L’Annexe B présente une étude de cas sur l’intégration de

l’ISO 31000 dans un système de management pluridisciplinaire.
© ISO 2020 – Tous droits réservés 3
---------------------- Page: 8 ----------------------
IWA 31:2020(F)
Annexe A
(informative)
Correspondance entre l’ISO 31000 et la structure-cadre des NSM

Le Tableau A.1 montre les liens entre les principaux articles de l’ISO 31000 et les articles corrélés les

plus importants de la structure-cadre des NSM. Les utilisateurs de l’ISO 31000 peuvent intégrer les

pratiques du management du risque dans le système de management de l’organisme là où les articles de

la structure-cadre sont traités.
Tableau A.1 — Correspondance entre l’ISO 31000 et la structure-cadre des NSM
Articles de l’ISO 31000:2018
Articles de la structure-cadre des NSM
5. Cadre
4. Principes 6. Processus
organisationnel
4.1 Compréhension de l’organisme 6.1, 6.3.1, 6.3.3,
0, a), c), e), f), g) 5.2, 5.4.1
et de son contexte 6.3.4, 6.6, 6.7
6.1, 6.2, 6.3.1,
4.2 Compréhension des besoins et
0, a), c), d), e), f), g) 5.2, 5.4.1, 5.4.5 6.3.3, 6.3.4, 6.6,
attentes des parties intéressées
6.7
4. Contexte de
l’organisme
4.3 Détermination du périmètre

d’application du système de 0, a), c), f) 5.1, 5.2, 5.4.1, 5.5 6.3.1, 6.3.3, 6.3.4

management XXX
5.1, 5.2, 5.3,
4.4 Système de management XXX 0, a), b), c), f) 6.3.1, 6.3.3, 6.3.4
5.4.1, 5.5
5.1, 5.2, 5.4.2,
5.1 Leadership et engagement 0, a), c), d), g) 6.2, 6.6, 6.7
5.4.4
5. Leadership 5.2 Politique 0, a), c), d), g) 5.2, 5.4.2 6.2, 6.6, 6.7
5.3 Rôles, responsabilités et
a), c), d), g) 5.2, 5.4.3 —
autorités au sein de l’organisme
6.1 Actions à mettre en œuvre
0, a), b), e), f) 5.1, 5.4.2, 5.7.1 6.1, 6.4, 6.5
face aux risques et opportunités
6. Planification
6.2 Objectifs XXX et planification
0, a), b) 5.4.2, 5.7.2 6.5
des actions pour les atteindre
7.1 Ressources 0, a), f), g) 5.1, 5.4.4 6.3.4, 6.5.2
7.2 Compétences 0, a), f), g) 5.1 —
7. Soutien 7.3 Sensibilisation 0, a), f), g) 5.1 —
7.4 Communication 0, a), d), f) 5.1, 5.4.5 6.1, 6.2, 6.3.4
7.5 Informations documentées 0, a), f) 5.1 6.1, 6.7
8. Réalisation
8.1 Planification et maîtrise 6.1, 6.4, 6.5, 6.6,
des activités 0, a), b), f) 5.1, 5.3, 5.5, 5.7
opérationnelles 6.7
opérationnelles

Le principe «0» renvoie au principe de base «création et préservation de la valeur».

NOTE Les numéros de paragraphe dans les cellules renvoient aux paragraphes de l’ISO 31000:2018 en fonction de l’intitulé

de la colonne pertinente.
4 © ISO 2020 – Tous droits réservés
---------------------- Page: 9 ----------------------
IWA 31:2020(F)
Tableau A.1 (suite)
Articles de l’ISO 31000:2018
Articles de la structure-cadre des NSM
5. Cadre
4. Principes 6. Processus
organisationnel
9.1 Surveillance, mesure, analyse 6.1, 6.3.3, 6.3.4,
a) 5.6
et évaluation 6.4.1, 6.6, 6.7
9. Évaluation des 6.1, 6.3, 6.4.1,
9.2 Audit interne a) 5.6
performances 6.6, 6.7
6.1, 6.3, 6.4.1,
9.3 Revue de direction 0, a), b), e), g) 5.6, 5.7
6.6, 6.7
10.1 Non-conformité et actions
0, a), h) 5.7 6.1, 6,4, 6.5, 6.6
correctives
10. Amélioration
10.2 Amélioration continue 0, a), h) 5.1, 5.2, 5.7 6.1, 6.4, 6.5, 6.6

Le principe «0» renvoie au principe de base «création et préservation de la valeur».

NOTE Les numéros de paragraphe dans les cellules renvoient aux paragraphes de l’ISO 31000:2018 en fonction de l’intitulé

de la colonne pertinente.
© ISO 2020 – Tous droits réservés 5
---------------------- Page: 10 ----------------------
IWA 31:2020(F)
Annexe B
(informative)
Étude de cas sur l’incorporation de l’ISO 31000 dans un système
de management pluridisciplinaire
B.1 Généralités

Cette étude de cas illustre une approche holistique du management du risque au sein d’un organisme

dans de multiples disciplines, basée sur les principes de l’ISO 31000 et la structure-cadre des NSM. Cette

étude de cas ne fournit aucune recommandation sur la manière d’aborder l’intégration de l’ISO 31000

dans le ou les systèmes de management d’un organisme. Elle n’inclut pas non plus les exigences relatives

à chacune des NSM citées.

Pour les besoins de cette annexe, seuls les aspects de certains articles/exigences (ceux considérés

comme particulièrement efficaces) sont mis en avant pour montrer comment l’application des exigences

aux processus du système de management de la qualité (SMQ) de l’organisme a été passée en revue à la

lumière d’une approche fondée sur le management du risque.
Le texte utilisé dans l’étude de cas représente les éléments suivants:
— texte en italique: fournit le point de vue de l’organisme;
— texte normal: fournit des recommandations.

NOTE Dans cette annexe, le terme «partie intéressée» a été utilisé car il s’agit du terme employé par

l’organisme concerné, qui applique l’ISO 9001 depuis 1997. Conformément à la définition de «partie prenante»

dans l’ISO 31000:2018, 3.3, le terme «partie intéressée» peut être utilisé comme alternative.

B.2 Description et références de l’organisme
«XYZ» est un organisme fictif utilisé pour les besoins de cette annexe.
— Il compte environ 120 personnes.

— Ses activités concernent le développement, le commerce, l’assistance technique et la production, par

mélange de poudres et de liquides, de:
— produits chimiques pour le traitement de surface des matériaux;
— produits chimiques pour le traitement des eaux;
— lubrifiants pour les traitements mécaniques;
— produits chimiques auxiliaires;

— films de protection temporaire et systèmes adhésifs pour l’industrie aérospatiale.

— Il s’agit d’une société à but lucratif.

— Il est nécessaire pour l’organisme de considérer l’environnement réglementaire, par exemple

pour l’UE, le Canada et la Colombie, en ce qui concerne des sujets tels que les exigences en matière

d’élimination, de déchets chimiques, de transport, de sécurité, etc.

— Sa situation géographique est éclatée avec deux usines (Canada-Toronto et Colombie-Bogota) et un

siège social basé à Bruxelles.
6 © ISO 2020 – Tous droits réservés
---------------------- Page: 11 ----------------------
IWA 31:2020(F)
L’organisme est certifié ISO 9001 depuis 1998.

Depuis la certification ISO 9001, des exigences supplémentaires ont été formulées par les clients pour

travailler avec d’autres NSM afin de gérer les aspects environnementaux et les aspects liés à la santé et à la

sécurité, qui faisaient l’objet de systèmes distincts.

Fin décembre 2017, le responsable qualité (RQ) a pris conscience de la possibilité d’intégrer le management

du risque conformément à l’ISO 31000 dans le système de management de l’entreprise, en partant du SMQ

bien consolidé.

Après avoir discuté de l’étude et de ses avantages avec le PDG et avoir obtenu son accord de principe, le RQ

a suggéré au PDG de participer ensemble à un séminaire au cours duquel des organismes de trois secteurs

différents partageront leur propre expérience sur l’utilisation de l’ISO 31000, y compris la transition de

l’édition 2009 à celle de 2018. À la fin du séminaire, le PDG et le RQ ont réalisé l’intérêt de mettre en place un

cadre organisationnel de management du risque pour soutenir leurs systèmes de management et ont pris la

décision de franchir le pas.

Il convient d’intégrer l’approche du management du risque dans le système de management ISO 9001

existant. Le PDG et le conseil d’administration ont confié au RQ la responsabilité et l’autorité pour élaborer

un projet détaillé indiquant les intentions et les orientations de l’approche du management du risque,

conformément à l’ISO 31000. Ils ont également chargé tous les propriétaires de processus de coopérer

activement avec le RQ à la fois pour préparer et mettre en œuvre le projet.

Ces intentions et orientations ont ensuite été incorporées dans la politique elle-même intégrée. Quelques

exemples sont donnés ci-dessous:

— le risque est une composante inévitable qui fait partie intégrante de notre activité; chaque activité qui

aide l’organisme à poursuivre des objectifs introduit de nouveaux risques pour l’organisme;

— nous nous engageons à gérer tous les risques de manière proactive et efficace;

— l’appréciation du risque sera appliquée à tous les aspects de notre activité par l’encadrement, l’instance

dirigeante et les services opérationnels aux niveaux appropriés;

— nous favorisons la promotion d’une culture de conscience du risque dans toutes les prises de décision, de

manière à favoriser la diffusion d’une approche risque, visant à tirer parti des opportunités et à prévenir

les résultats indésirables;

— l’approche risque fait référence à cette culture de conscience du risque qui doit être bien établie à tous

les niveaux de notre organisme en tant qu’élément essentiel de la «connaissance de l’organisme»;

— la responsabilité du management du risque revient à chacun au sein de notre organisme, dans ses

domaines de compétence respectifs et dans les limites de l’autorité, de la responsabilité et de l’obligation

de rendre compte qui lui sont attribuées;

— les clients attendent de plus en plus de l’organisme qu’il agisse de manière éthique, et cela s’applique à

tous les aspects de nos processus, qui contribuent directement ou indirectement à la création de valeur;

— l’engagement en matière de management du risque s’étend à l’ensemble de nos fournisseurs;

— nos critères de risque (tant pour évaluer l’importance du risque que pour choisir parmi les options de

traitement) sont basés sur notre code éthique et notamment sur le bon équilibre entre les trois piliers

du développement durable (environnemental, social, économique): le coût et le bénéfice sont tous deux à

évaluer en termes de durabilité;

— nous appliquerons également le management du risque afin de maîtriser toute forme de risques

juridiques, ce qui nous aidera à remplir toutes nos obligations de conformité.
© ISO 2020 – Tous droits réservés 7
---------------------- Page: 12 ----------------------
IWA 31:2020(F)
B.3 Application du management du risque (de l’ISO 31000) dans le SMQ existant

Le RQ a réalisé que tous les articles auraient dû être impliqués dans une certaine mesure dans le projet

d’application du management du risque dans le SMQ existant (ci-après dénommé le «projet»).

Dans un premier temps, le projet reposait sur l’idée qu’il convenait d’enraciner les composantes du cadre

organisationnel de management du risque dans les politiques et les pratiques stratégiques et opérationnelles

globales de l’organisme. Cela signifie que la première étape a consisté à passer en revue chaque élément

du SMQ afin d’identifier et d’évaluer les éventuelles lacunes dans les pratiques de management du risque

existantes. La deuxième étape a consisté à combler ces lacunes en intégrant les composantes du cadre

organisationnel de management du risque dans les éléments en liaison et en interaction du SMQ (c’est-à-

dire la structure de l’organisme, ses rôles et responsabilités, la planification et les processus pour atteindre

ses objectifs).

En dehors des articles de l’ISO 9001:2015 où le risque (associé à l’opportunité et à la menace) est

explicitement mentionné, il existe des références implicites directes ou indirectes au risque et au

management du risque dans presque tous les articles et les exigences correspondantes.

Les considérations ci-dessous ont été prises en compte par l’organisme.

La planification (Article 6) a été considérée comme un article essentiel pour le management du risque, car

elle est inhérente au concept d’influence de l’incertitude vis-à-vis des objectifs.

La compréhension de l’organisme et de son contexte (4.1) a servi de base pour établir les processus du

système de management ainsi que le cadre organisationnel et le processus de management du risque. La

détermination des parties intéressées pertinentes et de leurs besoins
...

ACCORDS ISO
INTERNATIONAUX 31
D’ATELIER
Première édition
2020-03
Management du risque — Lignes
directices pour l'utilisation de
l'ISO 31000 dans les systèmes de
management
Risk management — Guidelines on using ISO 31000 in
management systems
Numéro de référence
IWA 31:2020(F)
ISO 2020
---------------------- Page: 1 ----------------------
IWA 31:2020(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2020

publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,

y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut

être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.

ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2020 – Tous droits réservés
---------------------- Page: 2 ----------------------
IWA 31:2020(F)
Sommaire Page