Risk management — Guidelines for the management of legal risk

This document gives guidelines for managing the specific challenges of legal risk faced by organizations, as a complementary document to ISO 31000. The application of these guidelines can be customized to any organization and its context. This document provides a common approach to the management of legal risk and is not industry or sector specific.

Management du risque — Lignes directrices relatives au management du risque juridique

Le présent document fournit des lignes directrices pour la gestion des défis spécifiques liés au risque juridique auxquels sont confrontés les organismes, à titre de document complémentaire à l'ISO 31000. L'application de ces lignes directrices peut être adaptée à n'importe quel organisme et à son contexte. Le présent document fournit une approche générique du management du risque juridique et n'est pas propre à une industrie ou à un secteur.

General Information

Status
Published
Publication Date
25-May-2020
Technical Committee
Drafting Committee
Current Stage
6060 - International Standard published
Start Date
26-May-2020
Completion Date
26-May-2020
Ref Project

Buy Standard

Standard
ISO 31022:2020 - Risk management -- Guidelines for the management of legal risk
English language
31 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO 31022:2020 - Management du risque -- Lignes directrices relatives au management du risque juridique
French language
34 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (Sample)

INTERNATIONAL ISO
STANDARD 31022
First edition
2020-05
Risk management — Guidelines for
the management of legal risk
Management du risque — Lignes directrices relatives au management
du risque juridique
Reference number
ISO 31022:2020(E)
ISO 2020
---------------------- Page: 1 ----------------------
ISO 31022:2020(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2020

All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may

be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting

on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address

below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2020 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 31022:2020(E)
Contents Page

Foreword ........................................................................................................................................................................................................................................iv

Introduction ..................................................................................................................................................................................................................................v

1 Scope ................................................................................................................................................................................................................................. 1

2 Normative references ...................................................................................................................................................................................... 1

3 Terms and definitions ..................................................................................................................................................................................... 1

4 Principles ..................................................................................................................................................................................................................... 2

5 Legal risk management process ........................................................................................................................................................... 4

5.1 General ........................................................................................................................................................................................................... 4

5.2 Establishing the relevant context and criteria ............................................................................................................. 5

5.2.1 General...................................................................................................................................................................................... 5

5.2.2 External context of legal risk ................................................................................................................................. 5

5.2.3 Internal context of legal risk .................................................................................................................................. 5

5.2.4 Defining the legal risk criteria .............................................................................................................................. 6

5.3 Assessment of legal risk .................................................................................................................................................................. 7

5.3.1 General...................................................................................................................................................................................... 7

5.3.2 Identification of legal risk ........................................................................................................................................ 7

5.3.3 Analysis of legal risk ..................................................................................................................................................10

5.3.4 Evaluation of legal risk ............................................................................................................................................11

5.4 Treatment of legal risk ..................................................................................................................................................................11

5.4.1 General...................................................................................................................................................................................11

5.4.2 Choosing options for the treatment of legal risk ...............................................................................11

5.4.3 Evaluation of the current practices for the treatment of legal risk ...................................12

5.4.4 Development and implementation of the risk treatment plan .............................................12

5.5 Communication (internal and external), consultation and reporting mechanisms

for the management of legal risk ..........................................................................................................................................13

5.5.1 General...................................................................................................................................................................................13

5.5.2 Communication, consultation and learning ..........................................................................................13

5.5.3 Monitoring and review ............................................................................................................................................14

5.5.4 Recording and reporting ........................................................................................................................................14

6 Implementation of the management of legal risk...........................................................................................................15

6.1 General ........................................................................................................................................................................................................15

6.2 Policy for the management of legal risk .........................................................................................................................15

6.3 Roles and functions for the management of legal risk .......................................................................................15

6.4 Integrating the management of legal risk .....................................................................................................................16

6.5 Resource allocation for the management of legal risk .......................................................................................16

6.6 Awareness of legal risk .................................................................................................................................................................16

Annex A (informative) An example of a legal risk identification method — Legal risk

identification matrix (LRIM) .................................................................................................................................................................17

Annex B (informative) An example of a legal risk register .........................................................................................................19

Annex C (informative) An example for estimating the likelihood of events related to legal risk ......21

Annex D (informative) An example for estimating the consequences of events related to

legal risk .....................................................................................................................................................................................................................23

Annex E (informative) Key clauses to consider when reviewing contracts ...............................................................25

Bibliography .............................................................................................................................................................................................................................31

© ISO 2020 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 31022:2020(E)
Foreword

ISO (the International Organization for Standardization) is a worldwide federation of national standards

bodies (ISO member bodies). The work of preparing International Standards is normally carried out

through ISO technical committees. Each member body interested in a subject for which a technical

committee has been established has the right to be represented on that committee. International

organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.

ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of

electrotechnical standardization.

The procedures used to develop this document and those intended for its further maintenance are

described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the

different types of ISO documents should be noted. This document was drafted in accordance with the

editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).

Attention is drawn to the possibility that some of the elements of this document may be the subject of

patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of

any patent rights identified during the development of the document will be in the Introduction and/or

on the ISO list of patent declarations received (see www .iso .org/ patents).

Any trade name used in this document is information given for the convenience of users and does not

constitute an endorsement.

For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and

expressions related to conformity assessment, as well as information about ISO’s adherence to the

World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso .org/

iso/ foreword .html.
This document was prepared by Technical Committee ISO/TC 262, Risk management.

Any feedback or questions on this document should be directed to the user’s national standards body. A

complete listing of these bodies can be found at www .iso .org/ members .html.
iv © ISO 2020 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 31022:2020(E)
Introduction

Organizations operate in a complex environment with a variety of legal risks. Not only are organizations

required to comply with the laws of all the countries within which they operate, legal and regulatory

requirements can vary between different countries, strengthening the need for organizations to

understand and have confidence in their processes. Organizations need to keep pace with legal

and regulatory environment changes and review their needs as new activities and operations are

developed. Organizations face considerable uncertainty when making decisions and taking actions that

can have significant legal consequences. The management of legal risk helps organizations to protect

and increase value.

This document provides guidance on activities that support organizations to manage legal risk

efficiently and cost effectively to meet the expectations of a wide range of stakeholders. By developing an

improved understanding of the external and internal legal context, organizations may be able to develop

new opportunities or improve operational performance. However, failure to meet the requirements and

expectations of stakeholders can have considerable and immediate negative consequences that could

affect an organization’s performance and reputation and might lead to criminal prosecution of top

management.

ISO 31000 provides a generic framework for the management of all types of risks, including legal

risk. This document is aligned with ISO 31000 and provides more specific guidelines applicable to the

management of legal risk. The purpose of this document is to develop an improved understanding of

the management of legal risk faced by an organization applying the principles of ISO 31000. These

guidelines are intended to help organizations and their top management to:
— achieve the strategic outcomes and objectives of the organization;

— encourage a more systematic and consistent approach to the management of legal risk, and to

identify and analyse a comprehensive range of issues so that legal risks are proactively treated with

the appropriate resources and supported by top management and by the right level of expertise;

— better understand and assess the extent and consequence of legal issues and risk, and to exercise

proper due diligence;

— identify, analyse and evaluate legal risks, and to provide a systematic way to make informed

decisions;

— enhance and encourage the identification of opportunities for continual improvement.

It should be noted that legal risk within this document is broadly defined and is not limited to,

for example, risk related to compliance or contractual matters. It includes these, but legal risk is

deliberately defined to also include risks from or to third parties where there is not necessarily a

contractual relationship with such third parties but where there is a possibility of litigation or other

action depending on the third parties’ contractual obligations with their stakeholders.

This document:

— provides guidance for the management of legal risk so it aligns with compliance activities and

provides the assurance needed to meet the obligations and objectives of the organization;

— can be used by organizations of all types and sizes to deliver a more structured and consistent

approach to the management of legal risk for the benefit of the organization and its stakeholders

across all processes;

— offers an integrated management approach to the identification, anticipation and management of

legal risk;

— supports and complements existing approaches, enhancing them by providing better information

and insight on potential issues that the organization could face;
© ISO 2020 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO 31022:2020(E)

— supports any process of compliance that organizations could have in place, such as a compliance or

other management system;

— supports the compliance function by more broadly identifying the organization’s legal and contract

rights and obligations.

It is intended that organizations using this document will benefit from improved commercial and

operational results, such as an enhanced reputation, better staff retention, improved stakeholder

relationships and greater synergies between resources and capabilities.

While this document is intended for use as part of the ISO 31000 framework, it should be noted that the

ISO 31000 framework may be used either on a standalone basis or with other management systems.

This document is not intended to:

— be a substitute for risk owners seeking expert legal advice (external or internal);

— apply to the process of law making or lobbying for new laws or changes to existing laws.

All references to the word “include” and “including” in this document should be interpreted as meaning

the wording “including, without limitation”.
vi © ISO 2020 – All rights reserved
---------------------- Page: 6 ----------------------
INTERNATIONAL STANDARD ISO 31022:2020(E)
Risk management — Guidelines for the management of
legal risk
1 Scope

This document gives guidelines for managing the specific challenges of legal risk faced by organizations,

as a complementary document to ISO 31000. The application of these guidelines can be customized to

any organization and its context.

This document provides a common approach to the management of legal risk and is not industry or

sector specific.
2 Normative references

The following documents are referred to in the text in such a way that some or all of their content

constitutes requirements of this document. For dated references, only the edition cited applies. For

undated references, the latest edition of the referenced document (including any amendments) applies.

ISO 31000, Risk management — Guidelines
3 Terms and definitions

For the purposes of this document, the terms and definitions given in ISO 31000 and the following apply.

ISO and IEC maintain terminological databases for use in standardization at the following addresses:

— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at http:// www .electropedia .org/
3.1
risk
effect of uncertainty on objectives

Note 1 to entry: An effect is a deviation from the expected. It can be positive, negative or both, and can address,

create or result in opportunities and threats.

Note 2 to entry: Objectives can have different aspects and categories, and can be applied at different levels.

[SOURCE: ISO 31000:2018, 3.1, modified — Note 3 to entry has been deleted.]
3.2
legal risk

risk (3.1) related to legal, regulatory and contractual matters, and from non-contractual rights and

obligations

Note 1 to entry: Legal matters can have their origin in political decisions, national or international law (3.3),

including statute law, case law or common law, administrative acts, regulatory orders, codified law, judgments

and awards, procedural rules, memoranda of understanding or contracts.

Note 2 to entry: Contractual matters relate to situations where an organization (3.4) fails to meet its contractual

obligations or to enforce its contractual rights, or enters into contracts with terms and conditions that are

onerous, inadequate, unfair and/or unenforceable.
© ISO 2020 – All rights reserved 1
---------------------- Page: 7 ----------------------
ISO 31022:2020(E)

Note 3 to entry: Risk from non-contractual rights is the risk that an organization fails to assert its non-contractual

rights. For example, the failure of an organization to enforce its intellectual property rights, such as its rights

related to copyright, trademarks, patents, trade secrets and confidential information against a third party.

Note 4 to entry: Risk from non-contractual obligations is the risk that an organization’s behaviour and decision-

making can result in illegal behaviour or a failure in non-legislative duty-of-care (or civil duty) to third parties.

For example, an organization’s infringement of third-party intellectual property rights, failure to meet the

requisite standards of care due to customers (such as mis-selling), or inappropriate use or management of social

media resulting in a third-party claim of defamation or libel and tortious duty generally.

3.3
law

system of rules, principles and practices, which a region, country or community recognizes as regulating

the actions of organizations (3.4)
Note 1 to entry: Laws may include any:

— statute, regulation, codified law, by-law, ordinance or subordinate legislation;

— common or case law;
— binding court order, judgment or decree;
— applicable industry code or policy enforceable by law.
3.4
organization

person or group of people that has its own functions with responsibilities, authorities and relationships

to achieve its objectives

Note 1 to entry: The concept of organization includes sole-trader, company, corporation, firm, enterprise,

authority, partnership, charity or institution, or part or combination thereof, whether incorporated or not, public

or private.
[SOURCE: ISO 19600:2014, 3.2.1, modified — Note 1 to entry has been modified.]
4 Principles

The effective management of legal risk requires the values and principles introduced in ISO 31000, as

shown in Figure 1.
Figure 1 — Principles
2 © ISO 2020 – All rights reserved
---------------------- Page: 8 ----------------------
ISO 31022:2020(E)

These eight elements are described below in a) to h) in the context of the management of legal risk. In

addition, for the management of legal risk, the principle of “equity”, see i), should also be considered.

a) Integrated: The management of legal risk is integral to the overall governance and management of

the organization. The activities of the legal risk management process should be embedded into the

strategic planning, business decision-making and management processes of the organization. For

the integration of the management of legal risk into organizational processes and activities, proper

roles and responsibilities should be established within the organization. The management of legal

risk should be integrated with other management systems, such as compliance, safety, quality and

with internal controls. While assessing legal risks and considering treatment options, legal subject

matter experts should be consulted together with other experts or specialists.

b) Structured and comprehensive: While following the generic risk management process, it is

important to assess the organization’s legal risks within an appropriate context so that a

comprehensive and consistent approach to the management of legal risk can be adopted.

c) Customized: The management of legal risk in an organization should be customized to reflect

the differences of its external context, including the legal and regulatory environment and sector

characteristics, as well as its internal context, including the nature of the legal entity, organizational

objectives and values.

The organization should have a detailed understanding of the applicability, impact and

consequences of failure to comply with relevant laws, and processes to ensure that applicable new

or updated laws are adequately identified, assessed for impact and interpreted.

The organization should minimize the complexity and cost of legal proceedings. It should attempt

to minimize and manage the negative consequences of legal risk. The organization can actively

seek opportunities to avoid disputes or litigation by taking action to treat legal risks before an

adverse event occurs, or is likely to occur, or attempt to reach settlement in a way that balances

costs, commercial objectives, reputation and time invested by the organization.

d) Inclusive: By involving all stakeholders in the management of legal risk, an organization can mitigate

adverse events, including regulatory enforcement. The organization should take care to ensure

legal privilege (or its equivalent form of protection in the relevant jurisdiction) is maintained as far

as practicable and confidentiality is maintained, but in both instances such protections need to be

assessed against the benefits of inclusiveness.

e) Dynamic: An organization should monitor and adapt to changes in laws, public policy and the

context within which it operates, and establish appropriate early warning indicators.

f) Best available information: For the effective management of legal risk, in addition to the experience

of in-house legal counsel, if it exists, business intelligence, business analytics, legal databases and

systems (including case management), electronic file management tools and services should be used.

If necessary, know-how provided by external law firms, service providers or advisors can be used.

g) Human and cultural factors: Given that stakeholders can have different knowledge, expectations

and views regarding legal risk and, given that such views could be emotionally, socially, culturally

and politically constructed and perceived, the organization should develop formal and informal

mechanisms to help ensure that human and cultural factors do not adversely result in legal risks.

The organization should also seek to encourage the realization, benefits and opportunities of the

management of such risks. Every member in the organization should be aware of how each action

or non-action affects legal risk.

h) Continual improvement: An organization should take into consideration, and act on lessons learned,

post transaction reviews, best practices, professional advice from internal and external counsel,

and internal audit, and consider applicable changes in law.

i) Equity: For decision-makers, establishing the principles of equity guides the management of legal

risk and includes managing conflicts of interest and provides an unbiased, independent voice in

decisions and support due diligence and fairness for the best interests of an organization.

© ISO 2020 – All rights reserved 3
---------------------- Page: 9 ----------------------
ISO 31022:2020(E)

NOTE There is no one common agreed definition of equity, rather, “equity” incorporates different ideas

and concepts, including justice, fairness and equality.
5 Legal risk management process
5.1 General

The management of legal risk is iterative and should be integrated in all activities and operations of the

organization. The risk management process as applied to the management of legal risk is described in

5.2 to 5.5 and is illustrated in Figure 2. This diagram complements ISO 31000:2018, Figure 4.

Figure 2 — Process for the management of legal risk

Monitoring and reviewing, reporting, communication and consultation should be ongoing throughout the

entire process of the management of legal risk across the organization. Further details are given in 5.5.

4 © ISO 2020 – All rights reserved
---------------------- Page: 10 ----------------------
ISO 31022:2020(E)
5.2 Establishing the relevant context and criteria
5.2.1 General

In addition to ISO 31000:2018, 6.3, the organization should consider the external and internal context

given in 5.2.2 and 5.2.3, respectively.
5.2.2 External context of legal risk

The external context of legal risk refers to factors that are outside the organization but related to the

management of legal risk. It includes:

— relevant local and international laws and changes in relevant local and international laws;

— trade unions and employer organizations;

— external service providers and advisors supporting the management of legal risk, such as law firms,

external auditors, and service providers of information management and analytics;

— external stakeholders, such as businesses, civil society organizations, regulatory bodies, local

governments, the public, communities of interest, press and media, and special interest groups, and

their expectations regarding the management of legal risk;

— any acts or omissions of third parties, such as fraudulent and deceitful conduct by such third parties;

— applicable international agreements and memoranda of understanding;
— applicable market conditions related to the organization;
— third-party actions or claims;

— laws of the countries where the products/services provided are delivered or supplied.

When examining and understanding the external context of legal risk for organizations operating in

multiple jurisdictions, the environmental and cultural differences among different jurisdictions should

be considered. The extraterritorial application of national laws, which jurisdiction’s law applies in a

certain situation (i.e. conflict of laws and the mutual recognition of laws) and the identification of the

applicable jurisdiction may also require consideration.
5.2.3 Internal context of legal risk

The internal context of legal risk is substantially in the control of, or subject to the authority of, an

organization through its governing and management systems. It includes:
— the nature of the legal entity;
— the financial health of the organization and its business model;

— the internal legal structure of the organization and its governing processes and functions;

— the governance of the organization and its value structures for promoting integrity, such as a code

of conduct and other compliance guidelines;

— the current state of the organization’s legal matters and its approach to the management of legal risk;

— awareness campaigns on the orientation and continual improvement of performance in matters

of legal risk for stakeholders, and systems and arrangements to improve stakeholder behaviour

concerning laws and to deter fraudulent and deceitful conduct, such as compliance management

systems;

— past experiences and the history of legal disputes or events triggered by legal risk in the organization;

© ISO 2020 – All rights reserved 5
---------------------- Page: 11 ----------------------
ISO 31022:2020(E)

— assets that the organization owns, such as intellectual property and other legal rights for tangible

and intangible assets used for processes and activities;
— the effect of rights and obligations under contracts;
— the obligations arising from a duty of care;

— the cross-triggering effects of indemnities, warranties and non-reliance clauses in contracts;

— liabilities arising from labour, environmental, tax and other issues from mergers, acquisitions and

disposals;
— the internal policy regarding the management of legal risk;
— other information and resources related to legal risk and its management.
5.2.4 Defining the legal risk criteria

In addition to ISO 31000:2018, 6.3.4, the organization should consider the following.

Legal risk criteria:
— as a term, is a subset of organizational risk criteria;
— are measures that are identified and def
...

NORME ISO
INTERNATIONALE 31022
Première édition
2020-05
Management du risque — Lignes
directrices relatives au management
du risque juridique
Risk management — Guidelines for the management of legal risk
Numéro de référence
ISO 31022:2020(F)
ISO 2020
---------------------- Page: 1 ----------------------
ISO 31022:2020(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2020

Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette

publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,

y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut

être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.

ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2020 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 31022:2020(F)
Sommaire Page

Avant-propos ..............................................................................................................................................................................................................................iv

Introduction ..................................................................................................................................................................................................................................v

1 Domaine d’application ................................................................................................................................................................................... 1

2 Références normatives ................................................................................................................................................................................... 1

3 Termes et définitions ....................................................................................................................................................................................... 1

4 Principes ....................................................................................................................................................................................................................... 2

5 Processus de management du risque juridique .................................................................................................................. 4

5.1 Généralités .................................................................................................................................................................................................. 4

5.2 Établissement du contexte à considérer et des critères ...................................................................................... 5

5.2.1 Généralités ............................................................................................................................................................................ 5

5.2.2 Contexte externe du risque juridique ............................................................................................................ 5

5.2.3 Contexte interne du risque juridique ............................................................................................................. 6

5.2.4 Définition des critères du risque juridique ............................................................................................... 7

5.3 Appréciation du risque juridique ............................................................................................................................................ 8

5.3.1 Généralités ............................................................................................................................................................................ 8

5.3.2 Identification du risque juridique ..................................................................................................................... 8

5.3.3 Analyse du risque juridique ................................................................................................................................11

5.3.4 Évaluation du risque juridique .........................................................................................................................12

5.4 Traitement du risque juridique .............................................................................................................................................12

5.4.1 Généralités .........................................................................................................................................................................12

5.4.2 Choix des options pour le traitement du risque juridique .......................................................12

5.4.3 Évaluation des pratiques actuelles pour le traitement du risque juridique ..............13

5.4.4 Élaboration et mise en œuvre du plan de traitement du risque ..........................................14

5.5 Mécanismes de communication (interne et externe), de consultation et

d’élaboration de rapports pour le management du risque juridique ...................................................15

5.5.1 Généralités .........................................................................................................................................................................15

5.5.2 Communication, consultation et apprentissage ................................................................................15

5.5.3 Suivi et revue ....................................................................................................................................................................16

5.5.4 Enregistrement et élaboration de rapports ...........................................................................................16

6 Mise en œuvre du management du risque juridique ...................................................................................................16

6.1 Généralités ...............................................................................................................................................................................................16

6.2 Politique de management du risque juridique .........................................................................................................17

6.3 Rôles et fonctions pour le management du risque juridique .......................................................................17

6.4 Intégration du management du risque juridique ...................................................................................................18

6.5 Affectation des ressources pour le management du risque juridique .................................................18

6.6 Sensibilisation au risque juridique .....................................................................................................................................18

Annexe A (informative) Exemple de méthode d’identification du risque juridique —

Matrice d’identification du risque juridique (MIRJ) ....................................................................................................19

Annexe B (informative) Exemple de registre des risques juridiques ..............................................................................21

Annexe C (informative) Exemple pour l’estimation de la vraisemblance des événements liés

au risque juridique .........................................................................................................................................................................................23

Annexe D (informative) Exemple d’estimation des conséquences des événements liés au

risque juridique..................................................................................................................................................................................................25

Annexe E (informative) Principales clauses à prendre en considération lors de l’examen

des contrats .............................................................................................................................................................................................................27

Bibliographie ...........................................................................................................................................................................................................................34

© ISO 2020 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO 31022:2020(F)
Avant-propos

L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes

nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est

en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude

a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,

gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.

L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui

concerne la normalisation électrotechnique.

Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont

décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents

critères d’approbation requis pour les différents types de documents ISO. Le présent document a été

rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www

.iso .org/ directives).

L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de

droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable

de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant

les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de

l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de

brevets reçues par l’ISO (voir www .iso .org/ brevets).

Les appellations commerciales éventuellement mentionnées dans le présent document sont données

pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un

engagement.

Pour une explication de la nature volontaire des normes, la signification des termes et expressions

spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion

de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles

techniques au commerce (OTC), voir www .iso .org/ avant -propos.

Le présent document a été élaboré par le comité technique ISO/TC 262, Management du risque.

Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent

document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes

se trouve à l’adresse www .iso .org/ fr/ members .html.
iv © ISO 2020 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 31022:2020(F)
Introduction

Les organismes évoluent dans un environnement complexe comportant divers risques juridiques. Non

seulement les organismes sont tenus de respecter le droit en vigueur dans tous les pays où ils exercent

leurs activités, mais les exigences juridiques et réglementaires peuvent varier d’un pays à l’autre, ce

qui renforce la nécessité, pour ces organismes, de comprendre et de faire confiance à leurs processus.

Les organismes doivent suivre le rythme de l’évolution de l’environnement juridique et réglementaire,

et revoir leurs besoins au fur et à mesure que de nouvelles activités et opérations se développent. Les

organismes font face à une incertitude considérable lorsqu’ils prennent des décisions et des mesures

qui peuvent avoir des conséquences juridiques importantes. Le management du risque juridique aide

les organismes à protéger et à accroître la valeur.

Le présent document fournit des recommandations relatives aux activités qui aident les organismes

à gérer le risque juridique de façon efficace et rentable afin de répondre aux attentes d’un large

éventail de parties prenantes. En encourageant une meilleure compréhension du contexte juridique

interne et externe, les organismes peuvent être en mesure de développer de nouvelles opportunités

ou d’améliorer leur performance opérationnelle. Cependant, le fait de ne pas répondre aux exigences et

aux attentes des parties prenantes peut avoir des conséquences négatives considérables et immédiates

qui pourraient affecter la performance et la réputation d’un organisme, et entraîner des poursuites

judiciaires à l’encontre de la direction.

L’ISO 31000 fournit un cadre générique pour le management de tous les types de risques, y compris

le risque juridique. Le présent document est aligné sur l’ISO 31000 et fournit des lignes directrices

plus spécifiques applicables au management du risque juridique. Le présent document a pour but de

permettre une meilleure compréhension du management du risque juridique auquel est confronté un

organisme qui applique les principes de l’ISO 31000. Ces lignes directrices visent à aider les organismes

et la direction à:
— atteindre les résultats et les objectifs stratégiques de l’organisme;

— encourager une approche plus systématique et cohérente du management du risque juridique, et

identifier et analyser un large éventail de questions, de sorte que les risques juridiques soient traités

de façon proactive avec les ressources appropriées et pris en charge par la direction et par le bon

niveau d’expertise;

— mieux comprendre et évaluer l’étendue et les conséquences des problèmes et risques juridiques et

exercer le devoir de vigilance approprié;

— identifier, analyser et évaluer les risques juridiques, et fournir un moyen systématique de prendre

des décisions éclairées;

— améliorer et encourager l’identification d’opportunités d’amélioration continue.

Il convient de noter que le risque juridique dans le présent document est défini de façon générale et ne

se limite pas, par exemple, au risque lié aux questions de conformité ou aux questions contractuelles.

Il inclut ces questions, mais le risque juridique est délibérément défini de manière à inclure également

les risques provenant de tiers ou à leur encontre alors qu’il n’existe pas nécessairement de relation

contractuelle avec ces tiers, mais lorsqu’il peut y avoir une possibilité de litige ou d’autre action relevant

des obligations contractuelles des tiers avec leurs parties prenantes.
Le présent document:

— fournit des recommandations relatives au management du risque juridique de manière à s’aligner sur

les activités de mise en conformité et fournit l’assurance nécessaire pour respecter les obligations

et les objectifs de l’organisme;

— peut être utilisé par les organismes de tous types et de toutes tailles afin d’offrir une approche plus

structurée et cohérente du management du risque juridique pour le bénéfice de l’organisme et de

ses parties prenantes dans tous les processus;
© ISO 2020 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO 31022:2020(F)

— propose une approche de management intégrée pour l’identification, l’anticipation et le management

du risque juridique;

— appuie et complète les approches existantes en les enrichissant grâce à l’apport de meilleures

informations et perspectives sur les problèmes potentiels auxquels l’organisme pourrait être

confronté;

— appuie tout processus de mise en conformité que les organismes pourraient avoir mis en place, tel

qu’un système de mise en conformité ou autre système de management;

— soutient la fonction de conformité en identifiant de façon plus générale les droits et obligations

juridiques et contractuels de l’organisme.

Il est attendu qu’en utilisant le présent document, les organismes puissent bénéficier de meilleurs

résultats commerciaux et opérationnels tels qu’une meilleure réputation, une fidélisation accrue du

personnel, des relations optimisées avec leurs parties prenantes et de plus grandes synergies entre

leurs ressources et leurs capacités.

Bien que le présent document soit destiné à être utilisé dans le cadre de l’ISO 31000, il convient de

noter que le cadre de l’ISO 31000 peut également être utilisé soit de façon autonome soit avec d’autres

systèmes de management.
Le présent document n’est pas destiné à:

— se substituer aux propriétaires de risques à la recherche de conseils juridiques auprès d’experts

(externes ou internes);

— s’appliquer au processus législatif ni au lobbying en faveur de nouvelles lois ou de la modification du

droit existant.

Il convient que toute référence aux mots «inclure», «comprendre», «incluant» et «comprenant» dans le

présent document soit interprétée au sens de «y compris, sans limitation».
vi © ISO 2020 – Tous droits réservés
---------------------- Page: 6 ----------------------
NORME INTERNATIONALE ISO 31022:2020(F)
Management du risque — Lignes directrices relatives au
management du risque juridique
1 Domaine d’application

Le présent document fournit des lignes directrices pour la gestion des défis spécifiques liés au risque

juridique auxquels sont confrontés les organismes, à titre de document complémentaire à l’ISO 31000.

L’application de ces lignes directrices peut être adaptée à n’importe quel organisme et à son contexte.

Le présent document fournit une approche générique du management du risque juridique et n’est pas

propre à une industrie ou à un secteur.
2 Références normatives

Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur

contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.

Pour les références non datées, la dernière édition du document de référence s’applique (y compris les

éventuels amendements).
ISO 31000, Management du risque — Lignes directrices
3 Termes et définitions

Pour les besoins du présent document, les termes et les définitions de l’ISO 31000 ainsi que les suivants

s’appliquent.

L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en

normalisation, consultables aux adresses suivantes:

— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp

— IEC Electropedia: disponible à l’adresse http:// www .electropedia .org/
3.1
risque
effet de l’incertitude sur les objectifs

Note 1 à l'article: Un effet est un écart par rapport à un attendu. Il peut être positif, négatif ou les deux à la fois, et

traiter, créer ou entraîner des opportunités et des menaces.

Note 2 à l'article: Les objectifs peuvent avoir différents aspects, être de catégories différentes, et peuvent

concerner différents niveaux.
[SOURCE: ISO 31000:2018, 3.1, modifiée — La Note 3 à l’article a été supprimée.]
3.2
risque juridique

risque (3.1) en lien avec des questions juridiques, réglementaires et contractuelles, ou avec des droits et

obligations non contractuels

Note 1 à l'article: Les questions juridiques peuvent avoir leur origine dans des décisions politiques, le droit (3.3)

national ou international, y compris le droit législatif, la jurisprudence, les actes administratifs, les ordonnances

réglementaires, les codes, les jugements et sentences, les règles de procédure, les protocoles d’accord ou les

contrats.
© ISO 2020 – Tous droits réservés 1
---------------------- Page: 7 ----------------------
ISO 31022:2020(F)

Note 2 à l'article: Les questions contractuelles ont trait aux situations dans lesquelles un organisme (3.4) ne

s’acquitte pas de ses obligations contractuelles ou ne fait pas respecter ses droits contractuels, ou conclut des

contrats assortis de conditions onéreuses, inadéquates, injustes et/ou inapplicables.

Note 3 à l'article: Le risque lié aux droits non contractuels est le risque qu’un organisme ne fasse pas valoir ses

droits non contractuels. Par exemple, le fait qu’un organisme ne fasse pas respecter ses droits de propriété

intellectuelle, tels que ses droits relatifs au droit d’auteur, aux marques de commerce, aux brevets, aux secrets

commerciaux et aux informations confidentielles, vis-à-vis d’un tiers.

Note 4 à l'article: Le risque lié aux obligations non contractuelles est le risque que le comportement et la prise

de décisions d’un organisme soit en fait un comportement illégal ou un manquement au devoir de diligence

non législatif (ou devoir civil) envers des tiers. Par exemple, un organisme qui enfreint les droits de propriété

intellectuelle d’un tiers, qui ne respecte pas les règles d’attention requises envers les clients (comme la vente

trompeuse), ou qui utilise ou gère de manière inappropriée des réseaux sociaux entraînant une poursuite en

diffamation ou en dénonciation calomnieuse de la part d’un tiers et qui, d’une manière générale, présente des

engagements ambigües.
3.3
droit

système de règles, principes et pratiques qu’une région, un pays ou une communauté reconnaît comme

étant un système qui régit les actions des organismes (3.4)

Note 1 à l'article: Le droit peut inclure n’importe lequel des éléments suivants:

— loi, réglementation, code, décret, ordonnance ou texte d’application;
— jurisprudence;
— décision judiciaire contraignante, jugement ou arrêté;
— code spécifique à l’activité ou politique applicable, prévu par la loi.
3.4
organisme

personne ou groupe de personnes ayant des fonctions définies avec les responsabilités, l’autorité et les

relations lui permettant d’atteindre ses objectifs

Note 1 à l'article: Le concept d’organisme englobe sans s’y limiter, les travailleurs indépendants, les compagnies,

les sociétés, les firmes, les entreprises, les administrations, les partenariats, les organisations caritatives ou

les institutions, ou bien une partie ou une association des entités précédentes, ayant soit un statut de société

commerciale soit un autre statut, de droit public ou privé.

[SOURCE: ISO 19600:2014, 3.2.1, modifiée — La Note 1 à l’article a été modifiée.]

4 Principes

Le management efficace du risque juridique repose sur les valeurs et les principes présentés dans

l’ISO 31000, comme illustré à la Figure 1.
2 © ISO 2020 – Tous droits réservés
---------------------- Page: 8 ----------------------
ISO 31022:2020(F)
Figure 1 — Principes

Ces huit éléments sont décrits ci-dessous, de a) à h), dans le contexte du management du risque

juridique. En outre, pour le management du risque juridique, il convient que le principe d’«équité», voir

i), soit également pris en considération.

a) Intégré: le management du risque juridique fait partie intégrante de la gouvernance et de la

gestion globales de l’organisme. Il convient que les activités du processus de management

du risque juridique soient intégrées aux processus de planification stratégique, de prise de

décisions opérationnelles et de management de l’organisme. Pour l’intégration du management

du risque juridique dans les processus et activités de l’organisme, il convient que des rôles et des

responsabilités appropriés soient définis au sein de l’organisme. Il convient que le management du

risque juridique soit intégré à d’autres systèmes de management, comme la conformité, la sécurité,

la qualité et avec les contrôles internes. Lors de l’évaluation des risques juridiques et de l’examen

des options de traitement, il convient que des experts en matière juridique soient consultés avec

d’autres experts ou spécialistes.

b) Structuré et global: tout en suivant le processus générique de management du risque, il est

important d’évaluer les risques juridiques de l’organisme dans un contexte approprié afin de

pouvoir adopter une approche globale et cohérente du management du risque juridique.

c) Adapté: il convient que le management du risque juridique au sein d’un organisme soit adapté

pour refléter les particularités de son contexte externe, y compris l’environnement juridique et

réglementaire et les caractéristiques du secteur, ainsi que son contexte interne, y compris la nature

de l’entité juridique, les objectifs et les valeurs de l’organisme.

Il convient que l’organisme ait une compréhension approfondie de l’applicabilité des droits,

de l’impact et des conséquences d’une incapacité à se conformer aux droits applicables, et des

processus visant à s’assurer que les droits nouveaux ou actualisés sont identifiés de manière

satisfaisante, leur impact correctement évalué et interprétés.

Il convient que l’organisme réduise au minimum la complexité et le coût des procédures judiciaires.

Il convient que l’organisme tente de réduire le plus possible et de maîtriser les conséquences

négatives d’un risque juridique. L’organisme peut chercher activement des moyens d’éviter les

différends ou les litiges en prenant des mesures pour traiter les risques juridiques avant qu’un

événement indésirable ne se produise, ou ne soit susceptible de se produire, ou tenter de parvenir

à un règlement d’une manière qui permet de peser avantages et inconvénients sur les coûts, les

objectifs commerciaux, la réputation et le temps consacré par l’organisme.
© ISO 2020 – Tous droits réservés 3
---------------------- Page: 9 ----------------------
ISO 31022:2020(F)

d) Inclusif: en impliquant toutes les parties prenantes dans le management du risque juridique,

un organisme peut atténuer les événements indésirables, y compris le durcissement de la

réglementation. Il convient que l’organisme veille à ce que le secret professionnel (ou la forme

équivalente de protection dans la juridiction concernée) soit maintenu dans la mesure du possible

et que la confidentialité soit préservée, mais dans les deux cas, il est nécessaire que ces protections

soient évaluées par rapport aux avantages de l’inclusivité.

e) Dynamique: il convient qu’un organisme suive et s’adapte à l’évolution des droits, des politiques

publiques et au contexte dans lequel il exerce ses activités, et établisse des indicateurs d’alerte

précoce appropriés.

f) Meilleure information disponible: pour un management efficace du risque juridique, outre

l’expérience des conseillers juridiques internes, si elle existe, il convient de recourir à l’intelligence

économique, au business analytics, à des bases de données et des systèmes juridiques (incluant la

gestion des cas), à des outils et des services de gestion des dossiers électroniques. Si nécessaire, il

est possible d’avoir recours au savoir-faire proposé par des cabinets juridiques, des prestataires de

services ou des conseillers externes.

g) Facteurs humains et culturels: étant donné que les parties prenantes peuvent avoir des

connaissances, des attentes et des points de vue différents en matière de risque juridique et que ces

points de vue peuvent être construits et perçus sur les plans émotif, social, culturel et politique, il

convient que l’organisme élabore des mécanismes formels et informels pour contribuer à faire en

sorte que les facteurs humains et culturels n’entraînent pas de risques juridiques. Il convient que

l’organisme cherche également à encourager la réalisation du management de tels risques ainsi que

les avantages et les opportunités qui en découlent. Il convient que tous les membres de l’organisme

soient conscients de la façon dont chaque action ou inaction influe sur le risque juridique.

h) Amélioration continue: il convient qu’un organisme tienne compte des enseignements du passé,

des analyses postérieures aux transactions, des bonnes pratiques, des conseils professionnels de

conseillers internes et externes, des audits internes et des évolutions juridiques à appliquer, et y

donne suite.

i) Équité: pour les décideurs, l’instauration de principes d’équité guide le management du risque

juridique et comprend la gestion des conflits d’intérêts. Elle permet également de faire entendre une

voix objective et indépendante dans les décisions et favorise le devoir de vigilance et l’impartialité

dans l’intérêt supérieur de l’organisme.

NOTE Il n’y a pas de définition convenue de l’équité, plutôt, «l’équité» incorpore différentes idées et

concepts, y compris la justice, l’équité et l’égalité.
5 Processus de management du risque juridique
5.1 Généralités

Le management du risque juridique est une activité itérative et il convient de l’intégrer à toutes les

activités et opérations de l’organisme. Le processus de management du risque appliqué au management

du risque juridique est décrit de 5.2 à 5.5 et est illustré à la Figure 2. Ce diagramme complète

l’ISO 31000:2018, Figure 4.
4 © ISO 2020 – Tous droits réservés
---------------------- Page: 10 ----------------------
ISO 31022:2020(F)
Figure 2 — Processus de management du risque juridique

Il convient que le suivi et la revue, l’élaboration de rapports, la communication et la consultation

se poursuivent tout au long du processus de management du risque juridique dans l’ensemble de

l’organisme. Plus de détails sont donnés en 5.5.
5.2 Établissement du contexte à considérer et des critères
5.2.1 Généralités

Outre l’ISO 31000:2018, 6.3, il convient que l’organisme prenne en considération les contextes externe

et interne présentés respectivement en 5.2.2 et 5.2.3.
5.2.2 Contexte externe du risque juridique

Le contexte externe du risque juridique renvoie à des facteurs extérieurs à l’organisme, mais qui sont

liés au management du risque juridique. Il comprend:
— le droit local et internatio
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.