IWA 31:2020

ACCORDS ISO
INTERNATIONAUX 31
D’ATELIER
Première édition
2020-03
Management du risque — Lignes
directices pour l'utilisation de
l'ISO 31000 dans les systèmes de
management
Risk management — Guidelines on using ISO 31000 in
management systems
Numéro de référence
©
ISO 2020
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2020
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2020 – Tous droits réservés

Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Utilisation du terme «risque» dans l’ISO 31000 et les autres normes .1
5 Recommandations relatives à l’ISO 31000 pour les utilisateurs de NSM .2
6 Systèmes de management intégrés et utilisation de l’ISO 31000 . 3
Annexe A (informative) Correspondance entre l’ISO 31000 et la structure-cadre des NSM .4
Annexe B (informative) Étude de cas sur l’incorporation de l’ISO 31000 dans un système de
management pluridisciplinaire . 6
Annexe C (informative) Contributeurs à l’atelier .14
Bibliographie .16
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www .iso .org/ avant -propos.
L’Accord international d’atelier IWA 31 a été adopté lors d’un atelier virtuel organisé par la BSI via Zoom
en décembre 2019.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/ fr/ members .html.
iv © ISO 2020 – Tous droits réservés

Introduction
Un nombre croissant d’organismes, de tous types et de toutes tailles, utilisent des systèmes de
1)
management fondés sur une norme de système de management (NSM) de l’ISO et de l’IEC . De
nouvelles NSM ISO et IEC continuent d’être élaborées pour traiter des aspects spécifiques des activités,
produits ou services d’un organisme. Les Directives ISO/IEC, Partie 1, spécifie la structure-cadre
des NSM. Cette structure générique spécifie un texte de base identique et des termes et définitions
de base communs pour toutes les NSM ISO et IEC. Un organisme peut intégrer les exigences ou les
recommandations de différentes NSM dans son système de management. La structure unifiée des NSM
peut permettre aux utilisateurs construire plus facilement un système de management intégré (SMI),
plutôt que de se retrouver avec un système de management fragmenté. Toutes ces NSM emploient le
concept d’approche fondée sur le management du risque, d’approche fondée sur le risque ou d’approche
risque (selon la terminologie utilisée dans le système de management en question), qui est au cœur
de tout système de management. Le principal avantage en est l’application holistique de systèmes
interreliés. L’ISO 31000:2018 peut être utilisée pour développer ou améliorer davantage un SMI grâce
à ses recommandations sur la manière de déterminer les risques qu’il est nécessaire de prendre en
compte pour donner l’assurance que le système de management peut atteindre les résultats escomptés,
renforcer les effets désirés, prévenir ou réduire les effets non désirés et permettre une amélioration
continue.
L’ISO 31000 représente les meilleures pratiques internationales en matière de management du risque.
Celles-ci sont largement acceptées, génériques et adaptées au management de tout type de risque.
Intégrer le management du risque dans son ou ses systèmes de management en utilisant l’ISO 31000
apporte de nombreux avantages à un organisme, qu’il s’agisse de traiter uniquement les effets négatifs
ou d’inclure les effets positifs. La finalité du management du risque, telle que décrite dans l’ISO 31000,
est la création et la préservation de la valeur. Il contribue à améliorer les décisions des propriétaires de
risques ou de processus et renforce le fonctionnement des processus et de toutes les autres activités de
l’organisme, y compris d’ordre stratégique et opérationnel. Cela peut conduire à de meilleurs résultats,
à une plus grande qualité des éléments de sortie, à des erreurs moins coûteuses et à la gestion de la
responsabilité.
L’intégration du management du risque conformément à l’ISO 31000 permet de créer de la valeur et de
la préserver au sein des organismes en favorisant l’atteinte des objectifs et en rendant l’organisme plus
résilient face aux effets adverses. L’appréciation des risques permet leur traitement approprié et établit
une base pour accroître l’efficacité du système de management de l’organisme, obtenir de meilleurs
résultats et prévenir les conséquences négatives. Cependant, l’intégration du management du risque
dans un système de management peut poser des difficultés, qu’il est possible de réduire en suivant les
recommandations du présent document.
1) Une liste des NSM ISO et IEC est disponible à l’adresse suivante: https:// www .iso .org/ management -system
-standards -list .html.
NORME INTERNATIONALE IWA 31:2020(F)
Management du risque — Lignes directices pour
l'utilisation de l'ISO 31000 dans les systèmes de
management
1 Domaine d’application
Le présent document donne des lignes directrices pour l’intégration et l’utilisation de l’ISO 31000
dans les organismes ayant mis en œuvre une ou plusieurs normes de systèmes de management (NSM)
de l’ISO et de l’IEC, ou ayant décidé d’entreprendre un projet mettant en œuvre une ou plusieurs
NSM incorporant l’ISO 31000. Le présent document explique comment les articles de l’ISO 31000 se
rapportent à la structure-cadre des NSM.
Le présent document ne fournit pas de recommandations pour la mise en œuvre d’un système de
management en général. Il ne spécifie pas les exigences d’une NSM. Il ne fournit pas de résumé
de l’ISO 31000; cependant, comme expliqué ci-dessus, il fournit les grandes lignes permettant de
comprendre l’ISO 31000. L’utilisation du présent document ne dispense pas de la nécessité d’utiliser
d’autres normes pour traiter des aspects spécifiques du risque.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s’applique (y compris les
éventuels amendements).
ISO 31000:2018, Management du risque — Lignes directrices
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO 31000:2018 s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse http:// www .electropedia .org/
4 Utilisation du terme «risque» dans l’ISO 31000 et les autres normes
Il convient d’appréhender la terminologie dans le contexte dans lequel elle est appliquée. Concernant
le management du risque d’un organisme, l’ISO 31000:2018, 3.1, définit le «risque» comme l’«effet
de l’incertitude sur les objectifs». Certaines normes ne font pas référence aux objectifs, mais le texte
indique généralement qu’il est nécessaire de prendre en compte les risques afin de donner l’assurance
que le système de management peut atteindre les résultats escomptés. Un objectif peut être exprimé
sous la forme d’un résultat ou d’un effet escompté.
Le cadre organisationnel et le processus de management du risque de l’ISO 31000 sont ajustés et
proportionnés au contexte externe et interne de l’organisme ainsi qu’à ses objectifs. Cela inclut le point
de vue des parties intéressées.
Cela met en œuvre en général une compréhension du terme «risque» qui restreint le concept de risque
de l’ISO 31000 en ce sens que l’accent est mis sur l’impact négatif potentiel des écarts par rapport à ce
qui est attendu. Cette approche peut être considérée comme faisant partie de la définition plus large du
risque de l’ISO 31000:2018, 3.1.
5 Recommandations relatives à l’ISO 31000 pour les utilisateurs de NSM
L’ISO 31000:2018 propose des recommandations applicables par tous les types d’organismes, quels que
soient leur type et leur taille, et s’adresse aux personnes qui, au sein des organismes, créent de la valeur
et la préservent par le management du risque, la prise de décision, l’établissement d’une finalité et d’une
stratégie, l’atteinte des objectifs et l’amélioration de la performance.
Les huit principes du management du risque servent de fondement à la création et à la préservation
de la valeur. Ils fournissent des recommandations sur les caractéristiques d’un management du risque
efficace et efficient, en communiquant sa valeur et en expliquant son intention et sa finalité. L’ISO 31000
fournit une approche commune permettant de gérer tout type de risque auquel un organisme est
confronté au cours de sa vie.
La finalité du cadre organisationnel de management du risque est d’aider l’organisme à intégrer le
management du risque dans les activités et les fonctions significatives. L’efficacité du management
du risque va dépendre de son intégration dans la gouvernance de l’organisme, y compris la prise de
décision.
Il convient d’ajuster le processus de management du risque tel que décrit dans l’ISO 31000 de façon
proportionnée au contexte externe et interne de l’organisme et de ses objectifs. Il convient de l’adapter
pour qu’il fasse partie intégrante du système de management et qu’il soit intégré dans la structure, le
fonctionnement et les processus de l’organisme.
En suivant les recommandations relatives aux principes et au cadre organisationnel, un organisme peut
choisir d’ajuster l’application des processus de management du risque à son système de management
pour tout type de risque auquel il est confronté au cours de sa vie. Ajouter les étapes du processus de
management du risque peut permettre d’amélio
...

ACCORD IWA
INTERNATIONAL 31
D’ATELIER
Première édition
2020-03
Version corrigée
2020-07
Management du risque — Lignes
directices pour l'utilisation de
l'ISO 31000 dans les systèmes de
management
Risk management — Guidelines on using ISO 31000 in
management systems
Numéro de référence
©
ISO 2020
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2020
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2020 – Tous droits réservés

Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Utilisation du terme «risque» dans l’ISO 31000 et les autres normes .1
5 Recommandations relatives à l’ISO 31000 pour les utilisateurs de NSM .2
6 Systèmes de management intégrés et utilisation de l’ISO 31000 . 3
Annexe A (informative) Correspondance entre l’ISO 31000 et la structure-cadre des NSM .4
Annexe B (informative) Étude de cas sur l’incorporation de l’ISO 31000 dans un système de
management pluridisciplinaire . 6
Annexe C (informative) Contributeurs à l’atelier .14
Bibliographie .16
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www .iso .org/ avant -propos.
L’Accord international d’atelier IWA 31 a été adopté lors d’un atelier virtuel organisé par la BSI via Zoom
en décembre 2019.
La présente version corrigée de l’IWA 31:2020 inclut les corrections suivantes:
— le numéro de référence de la page de couverture et le type de document à la page 1 ont été corrigés.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/ fr/ members .html.
iv © ISO 2020 – Tous droits réservés

Introduction
Un nombre croissant d’organismes, de tous types et de toutes tailles, utilisent des systèmes de
1)
management fondés sur une norme de système de management (NSM) de l’ISO et de l’IEC . De
nouvelles NSM ISO et IEC continuent d’être élaborées pour traiter des aspects spécifiques des activités,
produits ou services d’un organisme. Les Directives ISO/IEC, Partie 1, spécifie la structure-cadre
des NSM. Cette structure générique spécifie un texte de base identique et des termes et définitions
de base communs pour toutes les NSM ISO et IEC. Un organisme peut intégrer les exigences ou les
recommandations de différentes NSM dans son système de management. La structure unifiée des NSM
peut permettre aux utilisateurs construire plus facilement un système de management intégré (SMI),
plutôt que de se retrouver avec un système de management fragmenté. Toutes ces NSM emploient le
concept d’approche fondée sur le management du risque, d’approche fondée sur le risque ou d’approche
risque (selon la terminologie utilisée dans le système de management en question), qui est au cœur
de tout système de management. Le principal avantage en est l’application holistique de systèmes
interreliés. L’ISO 31000:2018 peut être utilisée pour développer ou améliorer davantage un SMI grâce
à ses recommandations sur la manière de déterminer les risques qu’il est nécessaire de prendre en
compte pour donner l’assurance que le système de management peut atteindre les résultats escomptés,
renforcer les effets désirés, prévenir ou réduire les effets non désirés et permettre une amélioration
continue.
L’ISO 31000 représente les meilleures pratiques internationales en matière de management du risque.
Celles-ci sont largement acceptées, génériques et adaptées au management de tout type de risque.
Intégrer le management du risque dans son ou ses systèmes de management en utilisant l’ISO 31000
apporte de nombreux avantages à un organisme, qu’il s’agisse de traiter uniquement les effets négatifs
ou d’inclure les effets positifs. La finalité du management du risque, telle que décrite dans l’ISO 31000,
est la création et la préservation de la valeur. Il contribue à améliorer les décisions des propriétaires de
risques ou de processus et renforce le fonctionnement des processus et de toutes les autres activités de
l’organisme, y compris d’ordre stratégique et opérationnel. Cela peut conduire à de meilleurs résultats,
à une plus grande qualité des éléments de sortie, à des erreurs moins coûteuses et à la gestion de la
responsabilité.
L’intégration du management du risque conformément à l’ISO 31000 permet de créer de la valeur et de
la préserver au sein des organismes en favorisant l’atteinte des objectifs et en rendant l’organisme plus
résilient face aux effets adverses. L’appréciation des risques permet leur traitement approprié et établit
une base pour accroître l’efficacité du système de management de l’organisme, obtenir de meilleurs
résultats et prévenir les conséquences négatives. Cependant, l’intégration du management du risque
dans un système de management peut poser des difficultés, qu’il est possible de réduire en suivant les
recommandations du présent document.
1) Une liste des NSM ISO et IEC est disponible à l’adresse suivante: https:// www .iso .org/ management -system
-standards -list .html.
ACCORD INTERNATIONAL D’ATELIER IWA 31:2020(F)
Management du risque — Lignes directices pour
l'utilisation de l'ISO 31000 dans les systèmes de
management
1 Domaine d’application
Le présent document donne des lignes directrices pour l’intégration et l’utilisation de l’ISO 31000
dans les organismes ayant mis en œuvre une ou plusieurs normes de systèmes de management (NSM)
de l’ISO et de l’IEC, ou ayant décidé d’entreprendre un projet mettant en œuvre une ou plusieurs
NSM incorporant l’ISO 31000. Le présent document explique comment les articles de l’ISO 31000 se
rapportent à la structure-cadre des NSM.
Le présent document ne fournit pas de recommandations pour la mise en œuvre d’un système de
management en général. Il ne spécifie pas les exigences d’une NSM. Il ne fournit pas de résumé
de l’ISO 31000; cependant, comme expliqué ci-dessus, il fournit les grandes lignes permettant de
comprendre l’ISO 31000. L’utilisation du présent document ne dispense pas de la nécessité d’utiliser
d’autres normes pour traiter des aspects spécifiques du risque.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s’applique (y compris les
éventuels amendements).
ISO 31000:2018, Management du risque — Lignes directrices
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO 31000:2018 s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse http:// www .electropedia .org/
4 Utilisation du terme «risque» dans l’ISO 31000 et les autres normes
Il convient d’appréhender la terminologie dans le contexte dans lequel elle est appliquée. Concernant
le management du risque d’un organisme, l’ISO 31000:2018, 3.1, définit le «risque» comme l’«effet
de l’incertitude sur les objectifs». Certaines normes ne font pas référence aux objectifs, mais le texte
indique généralement qu’il est nécessaire de prendre en compte les risques afin de donner l’assurance
que le système de management peut atteindre les résultats escomptés. Un objectif peut être exprimé
sous la forme d’un résultat ou d’un effet escompté.
Le cadre organisationnel et le processus de management du risque de l’ISO 31000 sont ajustés et
proportionnés au contexte externe et interne de l’organisme ainsi qu’à ses objectifs. Cela inclut le point
de vue des parties intéressées.
Cela met en œuvre en général une compréhension du terme «risque» qui restreint le concept de risque
de l’ISO 31000 en ce sens que l’accent est mis sur l’impact négatif potentiel des écarts par rapport à ce
qui est attendu. Cette approche peut être considérée comme faisant partie de la définition plus large du
risque de l’ISO 31000:2018, 3.1.
5 Recommandations relatives à l’ISO 31000 pour les utilisateurs de NSM
L’ISO 31000:2018 propose des recommandations applicables par tous les types d’organismes, quels que
soient leur type et leur taille, et s’adresse aux personnes qui, au sein des organismes, créent de la valeur
et la préservent par le management du risque, la prise de décision, l’établissement d’une finalité et d’une
stratégie, l’atteinte des objectifs et l’amélioration de la performance.
Les huit principes du management du risque servent de fondement à la création et à la préservation
de la valeur. Ils fournissent des recommandations sur les caractéristiques d’un management du risque
efficace et efficient, en communiquant sa valeur et en expliquant son intention et sa finalité. L’ISO 31000
fournit une approche commune permettant de gérer tout type de risque auquel un organisme est
confronté au cours de sa vie.
La finalité du cadre organisationnel de management du risque est d’aider l’organisme à intégrer le
management du risque dans les activités et les fonctions significatives. L’efficacité du management
du risque va dépendre de son intégration dans la gouvernance de l’organisme, y compris la prise de
décision.
Il convient d’ajuster le processus de management du risque tel que décrit dans l’ISO 31000 de façon
proportionnée au contexte externe et interne de l’organisme et de ses objectifs. Il convient de l’adapter
pour qu’il fasse partie intégrante du système de management et qu’il soit intégré dans la structure, le
fonctionnement et les processus de l’organisme.
En suivant les recommandations relatives aux principes et au cadre organisationnel, un organisme peut
choisir d’ajuster l’application des processus de ma
...

INTERNATIONAL IWA
WORKSHOP 31
AGREEMENT
First edition
2020-03
Risk management — Guidelines on
using ISO 31000 in management
systems
Reference number
©
ISO 2020
© ISO 2020
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2020 – All rights reserved

Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 The use of the term “risk” in ISO 31000 and other standards . 1
5 Guidance on ISO 31000 for users of MSS . 2
6 Integrated management systems and using ISO 31000 . 3
Annex A (informative) Correspondence between ISO 31000 and the HLS for MSS .4
Annex B (informative) Case study incorporating ISO 31000 into a multidiscipline
management system . 5
Annex C (informative) Workshop contributors .12
Bibliography .14
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso .org/
iso/ foreword .html.
International Workshop Agreement IWA 31 was approved at a workshop hosted by BSI, held virtually
by Zoom in December 2019.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/ members .html.
iv © ISO 2020 – All rights reserved

Introduction
There is a steady growth in the number of organizations, of all types and sizes, that are using
1)
management systems based on an ISO and IEC Management System Standard (MSS) . New ISO and IEC
MSS continue to be developed to address specific aspects of an organization’s activities, products or
services. The ISO/IEC Directives, Part 1 specifies the high level structure (HLS) for MSS. This generic
structure prescribes identical core text, common terms and core definitions for all ISO and IEC MSS. An
organization can integrate requirements or recommendations of different MSS into their management
system. The unified structure of MSS can make it easier for users to construct an integrated
management system (IMS), rather than end up with a fragmented management system. All such MSS
employ the concept of an approach based on risk management, a risk-based approach or risk-based
thinking (depending on the terminology used within the management system in question), which is at
the core of any management system. The main advantage of this is the holistic application of interrelated
systems. ISO 31000:2018 can be used to further develop or improve an IMS through its guidance on
how to determine the risks that need to be addressed to give assurance that the management system
can achieve its intended outcomes, enhance desirable effects, prevent or reduce undesired effects, and
achieve continual improvement.
ISO 31000 is international best practice regarding risk management, which is widely accepted, generic
and open to manage any type of risk. Integrating risk management into its management system(s) by
using ISO 31000 brings multiple benefits to an organization, whether they only address negative effects
or include positive effects. The purpose of risk management as outlined in ISO 31000 is the creation and
protection of value. It helps improve the decisions of risk owners or process owners and enhances the
operations of processes and all other activities of the organization, including strategic and operational.
This can lead to better results, higher output quality, less costly mistakes and the management of
liability.
Integrating risk management in accordance with ISO 31000 creates and protects value in organizations
by supporting the achievement of objectives and making the organization more resilient to adverse
effects. Assessing risks enables their appropriate treatment and establishes a basis for increasing the
effectiveness of the organization’s management system, achieving improved results, and preventing
negative outcomes. However, integrating risk management into a management system can pose
challenges, which can be reduced by following the guidance in this document.
1) A list of ISO and IEC MSS is available at: https:// www .iso .org/ management -system -standards -list .html
International Workshop Agreement IWA 31:2020(E)
Risk management — Guidelines on using ISO 31000 in
management systems
1 Scope
This document gives guidelines for integrating and using ISO 31000 in organizations that have
implemented one or more ISO and IEC Management System Standards (MSS), or that have decided to
undertake a project implementing one or more MSS incorporating ISO 31000. This document explains
how the clauses of ISO 31000 relate to the high level structure (HLS) for MSS.
This document does not provide guidance on implementing a management system in general. It does
not specify requirements of a MSS. It does not provide a summary of ISO 31000; however, it does, as
explained above, provide the background for understanding ISO 31000. Using this document does not
remove the need to use other standards to address specific aspects of risk.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 31000:2018, Risk management — Guidelines
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 31000:2018 apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at http:// www .electropedia .org/
4 The use of the term “risk” in ISO 31000 and other standards
The application of terminology should be taken in the context within which it is applied. For an
organization’s risk management, ISO 31000:2018, 3.1, defines “risk” as the “effect of uncertainty on
objectives”. Some standards do not refer to objectives, but the text regularly states that risks need to be
addressed in order to give assurance that the management system can achieve its intended outcomes.
An objective can be expressed as an intended outcome or result.
The risk management framework and process of ISO 31000 are customized and proportionate to the
organization’s external and internal context related to its objectives. This includes the interested
parties’ perspectives.
There are some contexts where different terminology is used (e.g. safety, occupational health and
safety, medical devices sector). This use implements a general understanding of the term “risk” that
narrows the ISO 31000 concept of risk in that it focuses on the potential negative impact of deviations
from the expected. This approach can be considered to be included in the broader definition of risk in
ISO 31000:2018, 3.1.
5 Guidance on ISO 31000 for users of MSS
ISO 31000:2018 offers guidance to all types of organizations, regardless of type and size, and is written
for people who create and protect value in organizations by managing risks, making decisions, setting
purpose and strategy, achieving objectives, and improving performance.
The eight principles of risk management act as a foundation for the creation and protection of
value. These provide guidance on the characteristics of effective and efficient risk management,
communicating its value, and explaining its intention and purpose. ISO 31000 provides a common
approach to managing any type of risk faced by an organization throughout its life.
The purpose of the risk management framework is to assist the organization in integrating risk
management into significant activities and functions. The effectiveness of risk management will depend
on its integration into the governance of the organization, including decision-making.
The risk management process as set out in ISO 31000 should be customized proportionate to the
external and internal context of the organization related to its objectives. It should be adapted so that
it becomes an integral part of the management system, and is integrated into the structure, operations
and processes of the organization.
Using the guidance on principles and framework, an organization may choose to customize the
application of the risk management processes to its management system for any type of risk it faces
throughout its life. Adding the steps of the risk management process can enhance the management
system. In this context, it needs to be remembered that although the risk management process is often
presented as sequential, in practice it is iterative.
Risk management should be applied whenever there is any information or estimation that initiates or
adds to a process or activity, or whenever there is a change in the context of the organization.
There could be a degree of uncertainty in this information or estimation, which could have an effect
on the achievement of objectives. An effect is explained in ISO 31000:2018, 3.1, as a deviation from
the expected, which can be positive, negative or both. Therefore, the organization should revisit risk
identification whenever there is new information or estimations relevant for its process and activities.
Figure 1 shows an overlay of the ISO 31000 guidelines with the framework of the generic HLS clauses
for MSS. The top row references the HLS clauses and the left-hand column represents the ISO 31000
framework clauses. For example, looking at the intersection of ISO 31000:2018, 5.2, on leadership
and the HLS clause on leadership, the grey key indicates there should be a process referring to the
management of risk. Therefore, this table can be used as a reference point. For details on the clause
connections, see Table A.1.
2 © ISO 2020 – All rights reserved

Figure 1 — Relationship between ISO 31000 and the clauses of the HLS for MSS
6 Integrated management systems and using ISO 31000
The application of risk management can be done through the process approach of a manage
...

ACCORD IWA
INTERNATIONAL 31
D’ATELIER
Première édition
2020-03
Version corrigée
2020-07
Management du risque — Lignes
directices pour l'utilisation de
l'ISO 31000 dans les systèmes de
management
Risk management — Guidelines on using ISO 31000 in
management systems
Numéro de référence
©
ISO 2020
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2020
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2020 – Tous droits réservés

Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Utilisation du terme «risque» dans l’ISO 31000 et les autres normes .1
5 Recommandations relatives à l’ISO 31000 pour les utilisateurs de NSM .2
6 Systèmes de management intégrés et utilisation de l’ISO 31000 . 3
Annexe A (informative) Correspondance entre l’ISO 31000 et la structure-cadre des NSM .4
Annexe B (informative) Étude de cas sur l’incorporation de l’ISO 31000 dans un système de
management pluridisciplinaire . 6
Annexe C (informative) Contributeurs à l’atelier .14
Bibliographie .16
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www .iso .org/ avant -propos.
L’Accord international d’atelier IWA 31 a été adopté lors d’un atelier virtuel organisé par la BSI via Zoom
en décembre 2019.
La présente version corrigée de l’IWA 31:2020 inclut les corrections suivantes:
— le numéro de référence de la page de couverture et le type de document à la page 1 ont été corrigés.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/ fr/ members .html.
iv © ISO 2020 – Tous droits réservés

Introduction
Un nombre croissant d’organismes, de tous types et de toutes tailles, utilisent des systèmes de
1)
management fondés sur une norme de système de management (NSM) de l’ISO et de l’IEC . De
nouvelles NSM ISO et IEC continuent d’être élaborées pour traiter des aspects spécifiques des activités,
produits ou services d’un organisme. Les Directives ISO/IEC, Partie 1, spécifie la structure-cadre
des NSM. Cette structure générique spécifie un texte de base identique et des termes et définitions
de base communs pour toutes les NSM ISO et IEC. Un organisme peut intégrer les exigences ou les
recommandations de différentes NSM dans son système de management. La structure unifiée des NSM
peut permettre aux utilisateurs construire plus facilement un système de management intégré (SMI),
plutôt que de se retrouver avec un système de management fragmenté. Toutes ces NSM emploient le
concept d’approche fondée sur le management du risque, d’approche fondée sur le risque ou d’approche
risque (selon la terminologie utilisée dans le système de management en question), qui est au cœur
de tout système de management. Le principal avantage en est l’application holistique de systèmes
interreliés. L’ISO 31000:2018 peut être utilisée pour développer ou améliorer davantage un SMI grâce
à ses recommandations sur la manière de déterminer les risques qu’il est nécessaire de prendre en
compte pour donner l’assurance que le système de management peut atteindre les résultats escomptés,
renforcer les effets désirés, prévenir ou réduire les effets non désirés et permettre une amélioration
continue.
L’ISO 31000 représente les meilleures pratiques internationales en matière de management du risque.
Celles-ci sont largement acceptées, génériques et adaptées au management de tout type de risque.
Intégrer le management du risque dans son ou ses systèmes de management en utilisant l’ISO 31000
apporte de nombreux avantages à un organisme, qu’il s’agisse de traiter uniquement les effets négatifs
ou d’inclure les effets positifs. La finalité du management du risque, telle que décrite dans l’ISO 31000,
est la création et la préservation de la valeur. Il contribue à améliorer les décisions des propriétaires de
risques ou de processus et renforce le fonctionnement des processus et de toutes les autres activités de
l’organisme, y compris d’ordre stratégique et opérationnel. Cela peut conduire à de meilleurs résultats,
à une plus grande qualité des éléments de sortie, à des erreurs moins coûteuses et à la gestion de la
responsabilité.
L’intégration du management du risque conformément à l’ISO 31000 permet de créer de la valeur et de
la préserver au sein des organismes en favorisant l’atteinte des objectifs et en rendant l’organisme plus
résilient face aux effets adverses. L’appréciation des risques permet leur traitement approprié et établit
une base pour accroître l’efficacité du système de management de l’organisme, obtenir de meilleurs
résultats et prévenir les conséquences négatives. Cependant, l’intégration du management du risque
dans un système de management peut poser des difficultés, qu’il est possible de réduire en suivant les
recommandations du présent document.
1) Une liste des NSM ISO et IEC est disponible à l’adresse suivante: https:// www .iso .org/ management -system
-standards -list .html.
ACCORD INTERNATIONAL D’ATELIER IWA 31:2020(F)
Management du risque — Lignes directices pour
l'utilisation de l'ISO 31000 dans les systèmes de
management
1 Domaine d’application
Le présent document donne des lignes directrices pour l’intégration et l’utilisation de l’ISO 31000
dans les organismes ayant mis en œuvre une ou plusieurs normes de systèmes de management (NSM)
de l’ISO et de l’IEC, ou ayant décidé d’entreprendre un projet mettant en œuvre une ou plusieurs
NSM incorporant l’ISO 31000. Le présent document explique comment les articles de l’ISO 31000 se
rapportent à la structure-cadre des NSM.
Le présent document ne fournit pas de recommandations pour la mise en œuvre d’un système de
management en général. Il ne spécifie pas les exigences d’une NSM. Il ne fournit pas de résumé
de l’ISO 31000; cependant, comme expliqué ci-dessus, il fournit les grandes lignes permettant de
comprendre l’ISO 31000. L’utilisation du présent document ne dispense pas de la nécessité d’utiliser
d’autres normes pour traiter des aspects spécifiques du risque.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s’applique (y compris les
éventuels amendements).
ISO 31000:2018, Management du risque — Lignes directrices
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO 31000:2018 s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse http:// www .electropedia .org/
4 Utilisation du terme «risque» dans l’ISO 31000 et les autres normes
Il convient d’appréhender la terminologie dans le contexte dans lequel elle est appliquée. Concernant
le management du risque d’un organisme, l’ISO 31000:2018, 3.1, définit le «risque» comme l’«effet
de l’incertitude sur les objectifs». Certaines normes ne font pas référence aux objectifs, mais le texte
indique généralement qu’il est nécessaire de prendre en compte les risques afin de donner l’assurance
que le système de management peut atteindre les résultats escomptés. Un objectif peut être exprimé
sous la forme d’un résultat ou d’un effet escompté.
Le cadre organisationnel et le processus de management du risque de l’ISO 31000 sont ajustés et
proportionnés au contexte externe et interne de l’organisme ainsi qu’à ses objectifs. Cela inclut le point
de vue des parties intéressées.
Cela met en œuvre en général une compréhension du terme «risque» qui restreint le concept de risque
de l’ISO 31000 en ce sens que l’accent est mis sur l’impact négatif potentiel des écarts par rapport à ce
qui est attendu. Cette approche peut être considérée comme faisant partie de la définition plus large du
risque de l’ISO 31000:2018, 3.1.
5 Recommandations relatives à l’ISO 31000 pour les utilisateurs de NSM
L’ISO 31000:2018 propose des recommandations applicables par tous les types d’organismes, quels que
soient leur type et leur taille, et s’adresse aux personnes qui, au sein des organismes, créent de la valeur
et la préservent par le management du risque, la prise de décision, l’établissement d’une finalité et d’une
stratégie, l’atteinte des objectifs et l’amélioration de la performance.
Les huit principes du management du risque servent de fondement à la création et à la préservation
de la valeur. Ils fournissent des recommandations sur les caractéristiques d’un management du risque
efficace et efficient, en communiquant sa valeur et en expliquant son intention et sa finalité. L’ISO 31000
fournit une approche commune permettant de gérer tout type de risque auquel un organisme est
confronté au cours de sa vie.
La finalité du cadre organisationnel de management du risque est d’aider l’organisme à intégrer le
management du risque dans les activités et les fonctions significatives. L’efficacité du management
du risque va dépendre de son intégration dans la gouvernance de l’organisme, y compris la prise de
décision.
Il convient d’ajuster le processus de management du risque tel que décrit dans l’ISO 31000 de façon
proportionnée au contexte externe et interne de l’organisme et de ses objectifs. Il convient de l’adapter
pour qu’il fasse partie intégrante du système de management et qu’il soit intégré dans la structure, le
fonctionnement et les processus de l’organisme.
En suivant les recommandations relatives aux principes et au cadre organisationnel, un organisme peut
choisir d’ajuster l’application des processus de ma
...