Risk management — Guidelines for the management of legal risk

This document gives guidelines for managing the specific challenges of legal risk faced by organizations, as a complementary document to ISO 31000. The application of these guidelines can be customized to any organization and its context. This document provides a common approach to the management of legal risk and is not industry or sector specific.

Management du risque — Lignes directrices relatives au management du risque juridique

Le présent document fournit des lignes directrices pour la gestion des défis spécifiques liés au risque juridique auxquels sont confrontés les organismes, à titre de document complémentaire à l'ISO 31000. L'application de ces lignes directrices peut être adaptée à n'importe quel organisme et à son contexte. Le présent document fournit une approche générique du management du risque juridique et n'est pas propre à une industrie ou à un secteur.

General Information

Status
Published
Publication Date
25-May-2020
Technical Committee
Drafting Committee
Current Stage
6060 - International Standard published
Start Date
26-May-2020
Completion Date
26-May-2020
Ref Project

Buy Standard

Standard
ISO 31022:2020 - Risk management -- Guidelines for the management of legal risk
English language
31 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO 31022:2020 - Management du risque -- Lignes directrices relatives au management du risque juridique
French language
34 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (Sample)

INTERNATIONAL ISO
STANDARD 31022
First edition
2020-05
Risk management — Guidelines for
the management of legal risk
Management du risque — Lignes directrices relatives au management
du risque juridique
Reference number
ISO 31022:2020(E)
©
ISO 2020

---------------------- Page: 1 ----------------------
ISO 31022:2020(E)

COPYRIGHT PROTECTED DOCUMENT
© ISO 2020
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2020 – All rights reserved

---------------------- Page: 2 ----------------------
ISO 31022:2020(E)

Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Principles . 2
5 Legal risk management process . 4
5.1 General . 4
5.2 Establishing the relevant context and criteria . 5
5.2.1 General. 5
5.2.2 External context of legal risk . 5
5.2.3 Internal context of legal risk . 5
5.2.4 Defining the legal risk criteria . 6
5.3 Assessment of legal risk . 7
5.3.1 General. 7
5.3.2 Identification of legal risk . 7
5.3.3 Analysis of legal risk .10
5.3.4 Evaluation of legal risk .11
5.4 Treatment of legal risk .11
5.4.1 General.11
5.4.2 Choosing options for the treatment of legal risk .11
5.4.3 Evaluation of the current practices for the treatment of legal risk .12
5.4.4 Development and implementation of the risk treatment plan .12
5.5 Communication (internal and external), consultation and reporting mechanisms
for the management of legal risk .13
5.5.1 General.13
5.5.2 Communication, consultation and learning .13
5.5.3 Monitoring and review .14
5.5.4 Recording and reporting .14
6 Implementation of the management of legal risk.15
6.1 General .15
6.2 Policy for the management of legal risk .15
6.3 Roles and functions for the management of legal risk .15
6.4 Integrating the management of legal risk .16
6.5 Resource allocation for the management of legal risk .16
6.6 Awareness of legal risk .16
Annex A (informative) An example of a legal risk identification method — Legal risk
identification matrix (LRIM) .17
Annex B (informative) An example of a legal risk register .19
Annex C (informative) An example for estimating the likelihood of events related to legal risk .21
Annex D (informative) An example for estimating the consequences of events related to
legal risk .23
Annex E (informative) Key clauses to consider when reviewing contracts .25
Bibliography .31
© ISO 2020 – All rights reserved iii

---------------------- Page: 3 ----------------------
ISO 31022:2020(E)

Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso .org/
iso/ foreword .html.
This document was prepared by Technical Committee ISO/TC 262, Risk management.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/ members .html.
iv © ISO 2020 – All rights reserved

---------------------- Page: 4 ----------------------
ISO 31022:2020(E)

Introduction
Organizations operate in a complex environment with a variety of legal risks. Not only are organizations
required to comply with the laws of all the countries within which they operate, legal and regulatory
requirements can vary between different countries, strengthening the need for organizations to
understand and have confidence in their processes. Organizations need to keep pace with legal
and regulatory environment changes and review their needs as new activities and operations are
developed. Organizations face considerable uncertainty when making decisions and taking actions that
can have significant legal consequences. The management of legal risk helps organizations to protect
and increase value.
This document provides guidance on activities that support organizations to manage legal risk
efficiently and cost effectively to meet the expectations of a wide range of stakeholders. By developing an
improved understanding of the external and internal legal context, organizations may be able to develop
new opportunities or improve operational performance. However, failure to meet the requirements and
expectations of stakeholders can have considerable and immediate negative consequences that could
affect an organization’s performance and reputation and might lead to criminal prosecution of top
management.
ISO 31000 provides a generic framework for the management of all types of risks, including legal
risk. This document is aligned with ISO 31000 and provides more specific guidelines applicable to the
management of legal risk. The purpose of this document is to develop an improved understanding of
the management of legal risk faced by an organization applying the principles of ISO 31000. These
guidelines are intended to help organizations and their top management to:
— achieve the strategic outcomes and objectives of the organization;
— encourage a more systematic and consistent approach to the management of legal risk, and to
identify and analyse a comprehensive range of issues so that legal risks are proactively treated with
the appropriate resources and supported by top management and by the right level of expertise;
— better understand and assess the extent and consequence of legal issues and risk, and to exercise
proper due diligence;
— identify, analyse and evaluate legal risks, and to provide a systematic way to make informed
decisions;
— enhance and encourage the identification of opportunities for continual improvement.
It should be noted that legal risk within this document is broadly defined and is not limited to,
for example, risk related to compliance or contractual matters. It includes these, but legal risk is
deliberately defined to also include risks from or to third parties where there is not necessarily a
contractual relationship with such third parties but where there is a possibility of litigation or other
action depending on the third parties’ contractual obligations with their stakeholders.
This document:
— provides guidance for the management of legal risk so it aligns with compliance activities and
provides the assurance needed to meet the obligations and objectives of the organization;
— can be used by organizations of all types and sizes to deliver a more structured and consistent
approach to the management of legal risk for the benefit of the organization and its stakeholders
across all processes;
— offers an integrated management approach to the identification, anticipation and management of
legal risk;
— supports and complements existing approaches, enhancing them by providing better information
and insight on potential issues that the organization could face;
© ISO 2020 – All rights reserved v

---------------------- Page: 5 ----------------------
ISO 31022:2020(E)

— supports any process of compliance that organizations could have in place, such as a compliance or
other management system;
— supports the compliance function by more broadly identifying the organization’s legal and contract
rights and obligations.
It is intended that organizations using this document will benefit from improved commercial and
operational results, such as an enhanced reputation, better staff retention, improved stakeholder
relationships and greater synergies between resources and capabilities.
While this document is intended for use as part of the ISO 31000 framework, it should be noted that the
ISO 31000 framework may be used either on a standalone basis or with other management systems.
This document is not intended to:
— be a substitute for risk owners seeking expert legal advice (external or internal);
— apply to the process of law making or lobbying for new laws or changes to existing laws.
All references to the word “include” and “including” in this document should be interpreted as meaning
the wording “including, without limitation”.
vi © ISO 2020 – All rights reserved

---------------------- Page: 6 ----------------------
INTERNATIONAL STANDARD ISO 31022:2020(E)
Risk management — Guidelines for the management of
legal risk
1 Scope
This document gives guidelines for managing the specific challenges of legal risk faced by organizations,
as a complementary document to ISO 31000. The application of these guidelines can be customized to
any organization and its context.
This document provides a common approach to the management of legal risk and is not industry or
sector specific.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 31000, Risk management — Guidelines
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 31000 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at http:// www .electropedia .org/
3.1
risk
effect of uncertainty on objectives
Note 1 to entry: An effect is a deviation from the expected. It can be positive, negative or both, and can address,
create or result in opportunities and threats.
Note 2 to entry: Objectives can have different aspects and categories, and can be applied at different levels.
[SOURCE: ISO 31000:2018, 3.1, modified — Note 3 to entry has been deleted.]
3.2
legal risk
risk (3.1) related to legal, regulatory and contractual matters, and from non-contractual rights and
obligations
Note 1 to entry: Legal matters can have their origin in political decisions, national or international law (3.3),
including statute law, case law or common law, administrative acts, regulatory orders, codified law, judgments
and awards, procedural rules, memoranda of understanding or contracts.
Note 2 to entry: Contractual matters relate to situations where an organization (3.4) fails to meet its contractual
obligations or to enforce its contractual rights, or enters into contracts with terms and conditions that are
onerous, inadequate, unfair and/or unenforceable.
© ISO 2020 – All rights reserved 1

---------------------- Page: 7 ----------------------
ISO 31022:2020(E)

Note 3 to entry: Risk from non-contractual rights is the risk that an organization fails to assert its non-contractual
rights. For example, the failure of an organization to enforce its intellectual property rights, such as its rights
related to copyright, trademarks, patents, trade secrets and confidential information against a third party.
Note 4 to entry: Risk from non-contractual obligations is the risk that an organization’s behaviour and decision-
making can result in illegal behaviour or a failure in non-legislative duty-of-care (or civil duty) to third parties.
For example, an organization’s infringement of third-party intellectual property rights, failure to meet the
requisite standards of care due to customers (such as mis-selling), or inappropriate use or management of social
media resulting in a third-party claim of defamation or libel and tortious duty generally.
3.3
law
system of rules, principles and practices, which a region, country or community recognizes as regulating
the actions of organizations (3.4)
Note 1 to entry: Laws may include any:
— statute, regulation, codified law, by-law, ordinance or subordinate legislation;
— common or case law;
— binding court order, judgment or decree;
— applicable industry code or policy enforceable by law.
3.4
organization
person or group of people that has its own functions with responsibilities, authorities and relationships
to achieve its objectives
Note 1 to entry: The concept of organization includes sole-trader, company, corporation, firm, enterprise,
authority, partnership, charity or institution, or part or combination thereof, whether incorporated or not, public
or private.
[SOURCE: ISO 19600:2014, 3.2.1, modified — Note 1 to entry has been modified.]
4 Principles
The effective management of legal risk requires the values and principles introduced in ISO 31000, as
shown in Figure 1.
Figure 1 — Principles
2 © ISO 2020 – All rights reserved

---------------------- Page: 8 ----------------------
ISO 31022:2020(E)

These eight elements are described below in a) to h) in the context of the management of legal risk. In
addition, for the management of legal risk, the principle of “equity”, see i), should also be considered.
a) Integrated: The management of legal risk is integral to the overall governance and management of
the organization. The activities of the legal risk management process should be embedded into the
strategic planning, business decision-making and management processes of the organization. For
the integration of the management of legal risk into organizational processes and activities, proper
roles and responsibilities should be established within the organization. The management of legal
risk should be integrated with other management systems, such as compliance, safety, quality and
with internal controls. While assessing legal risks and considering treatment options, legal subject
matter experts should be consulted together with other experts or specialists.
b) Structured and comprehensive: While following the generic risk management process, it is
important to assess the organization’s legal risks within an appropriate context so that a
comprehensive and consistent approach to the management of legal risk can be adopted.
c) Customized: The management of legal risk in an organization should be customized to reflect
the differences of its external context, including the legal and regulatory environment and sector
characteristics, as well as its internal context, including the nature of the legal entity, organizational
objectives and values.
The organization should have a detailed understanding of the applicability, impact and
consequences of failure to comply with relevant laws, and processes to ensure that applicable new
or updated laws are adequately identified, assessed for impact and interpreted.
The organization should minimize the complexity and cost of legal proceedings. It should attempt
to minimize and manage the negative consequences of legal risk. The organization can actively
seek opportunities to avoid disputes or litigation by taking action to treat legal risks before an
adverse event occurs, or is likely to occur, or attempt to reach settlement in a way that balances
costs, commercial objectives, reputation and time invested by the organization.
d) Inclusive: By involving all stakeholders in the management of legal risk, an organization can mitigate
adverse events, including regulatory enforcement. The organization should take care to ensure
legal privilege (or its equivalent form of protection in the relevant jurisdiction) is maintained as far
as practicable and confidentiality is maintained, but in both instances such protections need to be
assessed against the benefits of inclusiveness.
e) Dynamic: An organization should monitor and adapt to changes in laws, public policy and the
context within which it operates, and establish appropriate early warning indicators.
f) Best available information: For the effective management of legal risk, in addition to the experience
of in-house legal counsel, if it exists, business intelligence, business analytics, legal databases and
systems (including case management), electronic file management tools and services should be used.
If necessary, know-how provided by external law firms, service providers or advisors can be used.
g) Human and cultural factors: Given that stakeholders can have different knowledge, expectations
and views regarding legal risk and, given that such views could be emotionally, socially, culturally
and politically constructed and perceived, the organization should develop formal and informal
mechanisms to help ensure that human and cultural factors do not adversely result in legal risks.
The organization should also seek to encourage the realization, benefits and opportunities of the
management of such risks. Every member in the organization should be aware of how each action
or non-action affects legal risk.
h) Continual improvement: An organization should take into consideration, and act on lessons learned,
post transaction reviews, best practices, professional advice from internal and external counsel,
and internal audit, and consider applicable changes in law.
i) Equity: For decision-makers, establishing the principles of equity guides the management of legal
risk and includes managing conflicts of interest and provides an unbiased, independent voice in
decisions and support due diligence and fairness for the best interests of an organization.
© ISO 2020 – All rights reserved 3

---------------------- Page: 9 ----------------------
ISO 31022:2020(E)

NOTE There is no one common agreed definition of equity, rather, “equity” incorporates different ideas
and concepts, including justice, fairness and equality.
5 Legal risk management process
5.1 General
The management of legal risk is iterative and should be integrated in all activities and operations of the
organization. The risk management process as applied to the management of legal risk is described in
5.2 to 5.5 and is illustrated in Figure 2. This diagram complements ISO 31000:2018, Figure 4.

Figure 2 — Process for the management of legal risk
Monitoring and reviewing, reporting, communication and consultation should be ongoing throughout the
entire process of the management of legal risk across the organization. Further details are given in 5.5.
4 © ISO 2020 – All rights reserved

---------------------- Page: 10 ----------------------
ISO 31022:2020(E)

5.2 Establishing the relevant context and criteria
5.2.1 General
In addition to ISO 31000:2018, 6.3, the organization should consider the external and internal context
given in 5.2.2 and 5.2.3, respectively.
5.2.2 External context of legal risk
The external context of legal risk refers to factors that are outside the organization but related to the
management of legal risk. It includes:
— relevant local and international laws and changes in relevant local and international laws;
— trade unions and employer organizations;
— external service providers and advisors supporting the management of legal risk, such as law firms,
external auditors, and service providers of information management and analytics;
— external stakeholders, such as businesses, civil society organizations, regulatory bodies, local
governments, the public, communities of interest, press and media, and special interest groups, and
their expectations regarding the management of legal risk;
— any acts or omissions of third parties, such as fraudulent and deceitful conduct by such third parties;
— applicable international agreements and memoranda of understanding;
— applicable market conditions related to the organization;
— third-party actions or claims;
— laws of the countries where the products/services provided are delivered or supplied.
When examining and understanding the external context of legal risk for organizations operating in
multiple jurisdictions, the environmental and cultural differences among different jurisdictions should
be considered. The extraterritorial application of national laws, which jurisdiction’s law applies in a
certain situation (i.e. conflict of laws and the mutual recognition of laws) and the identification of the
applicable jurisdiction may also require consideration.
5.2.3 Internal context of legal risk
The internal context of legal risk is substantially in the control of, or subject to the authority of, an
organization through its governing and management systems. It includes:
— the nature of the legal entity;
— the financial health of the organization and its business model;
— the internal legal structure of the organization and its governing processes and functions;
— the governance of the organization and its value structures for promoting integrity, such as a code
of conduct and other compliance guidelines;
— the current state of the organization’s legal matters and its approach to the management of legal risk;
— awareness campaigns on the orientation and continual improvement of performance in matters
of legal risk for stakeholders, and systems and arrangements to improve stakeholder behaviour
concerning laws and to deter fraudulent and deceitful conduct, such as compliance management
systems;
— past experiences and the history of legal disputes or events triggered by legal risk in the organization;
© ISO 2020 – All rights reserved 5

---------------------- Page: 11 ----------------------
ISO 31022:2020(E)

— assets that the organization owns, such as intellectual property and other legal rights for tangible
and intangible assets used for processes and activities;
— the effect of rights and obligations under contracts;
— the obligations arising from a duty of care;
— the cross-triggering effects of indemnities, warranties and non-reliance clauses in contracts;
— liabilities arising from labour, environmental, tax and other issues from mergers, acquisitions and
disposals;
— the internal policy regarding the management of legal risk;
— other information and resources related to legal risk and its management.
5.2.4 Defining the legal risk criteria
In addition to ISO 31000:2018, 6.3.4, the organization should consider the following.
Legal risk criteria:
— as a term, is a subset of organizational risk criteria;
— are measures that are identified and def
...

NORME ISO
INTERNATIONALE 31022
Première édition
2020-05
Management du risque — Lignes
directrices relatives au management
du risque juridique
Risk management — Guidelines for the management of legal risk
Numéro de référence
ISO 31022:2020(F)
©
ISO 2020

---------------------- Page: 1 ----------------------
ISO 31022:2020(F)

DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2020
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2020 – Tous droits réservés

---------------------- Page: 2 ----------------------
ISO 31022:2020(F)

Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Principes . 2
5 Processus de management du risque juridique . 4
5.1 Généralités . 4
5.2 Établissement du contexte à considérer et des critères . 5
5.2.1 Généralités . 5
5.2.2 Contexte externe du risque juridique . 5
5.2.3 Contexte interne du risque juridique . 6
5.2.4 Définition des critères du risque juridique . 7
5.3 Appréciation du risque juridique . 8
5.3.1 Généralités . 8
5.3.2 Identification du risque juridique . 8
5.3.3 Analyse du risque juridique .11
5.3.4 Évaluation du risque juridique .12
5.4 Traitement du risque juridique .12
5.4.1 Généralités .12
5.4.2 Choix des options pour le traitement du risque juridique .12
5.4.3 Évaluation des pratiques actuelles pour le traitement du risque juridique .13
5.4.4 Élaboration et mise en œuvre du plan de traitement du risque .14
5.5 Mécanismes de communication (interne et externe), de consultation et
d’élaboration de rapports pour le management du risque juridique .15
5.5.1 Généralités .15
5.5.2 Communication, consultation et apprentissage .15
5.5.3 Suivi et revue .16
5.5.4 Enregistrement et élaboration de rapports .16
6 Mise en œuvre du management du risque juridique .16
6.1 Généralités .16
6.2 Politique de management du risque juridique .17
6.3 Rôles et fonctions pour le management du risque juridique .17
6.4 Intégration du management du risque juridique .18
6.5 Affectation des ressources pour le management du risque juridique .18
6.6 Sensibilisation au risque juridique .18
Annexe A (informative) Exemple de méthode d’identification du risque juridique —
Matrice d’identification du risque juridique (MIRJ) .19
Annexe B (informative) Exemple de registre des risques juridiques .21
Annexe C (informative) Exemple pour l’estimation de la vraisemblance des événements liés
au risque juridique .23
Annexe D (informative) Exemple d’estimation des conséquences des événements liés au
risque juridique.25
Annexe E (informative) Principales clauses à prendre en considération lors de l’examen
des contrats .27
Bibliographie .34
© ISO 2020 – Tous droits réservés iii

---------------------- Page: 3 ----------------------
ISO 31022:2020(F)

Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www .iso .org/ avant -propos.
Le présent document a été élaboré par le comité technique ISO/TC 262, Management du risque.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/ fr/ members .html.
iv © ISO 2020 – Tous droits réservés

---------------------- Page: 4 ----------------------
ISO 31022:2020(F)

Introduction
Les organismes évoluent dans un environnement complexe comportant divers risques juridiques. Non
seulement les organismes sont tenus de respecter le droit en vigueur dans tous les pays où ils exercent
leurs activités, mais les exigences juridiques et réglementaires peuvent varier d’un pays à l’autre, ce
qui renforce la nécessité, pour ces organismes, de comprendre et de faire confiance à leurs processus.
Les organismes doivent suivre le rythme de l’évolution de l’environnement juridique et réglementaire,
et revoir leurs besoins au fur et à mesure que de nouvelles activités et opérations se développent. Les
organismes font face à une incertitude considérable lorsqu’ils prennent des décisions et des mesures
qui peuvent avoir des conséquences juridiques importantes. Le management du risque juridique aide
les organismes à protéger et à accroître la valeur.
Le présent document fournit des recommandations relatives aux activités qui aident les organismes
à gérer le risque juridique de façon efficace et rentable afin de répondre aux attentes d’un large
éventail de parties prenantes. En encourageant une meilleure compréhension du contexte juridique
interne et externe, les organismes peuvent être en mesure de développer de nouvelles opportunités
ou d’améliorer leur performance opérationnelle. Cependant, le fait de ne pas répondre aux exigences et
aux attentes des parties prenantes peut avoir des conséquences négatives considérables et immédiates
qui pourraient affecter la performance et la réputation d’un organisme, et entraîner des poursuites
judiciaires à l’encontre de la direction.
L’ISO 31000 fournit un cadre générique pour le management de tous les types de risques, y compris
le risque juridique. Le présent document est aligné sur l’ISO 31000 et fournit des lignes directrices
plus spécifiques applicables au management du risque juridique. Le présent document a pour but de
permettre une meilleure compréhension du management du risque juridique auquel est confronté un
organisme qui applique les principes de l’ISO 31000. Ces lignes directrices visent à aider les organismes
et la direction à:
— atteindre les résultats et les objectifs stratégiques de l’organisme;
— encourager une approche plus systématique et cohérente du management du risque juridique, et
identifier et analyser un large éventail de questions, de sorte que les risques juridiques soient traités
de façon proactive avec les ressources appropriées et pris en charge par la direction et par le bon
niveau d’expertise;
— mieux comprendre et évaluer l’étendue et les conséquences des problèmes et risques juridiques et
exercer le devoir de vigilance approprié;
— identifier, analyser et évaluer les risques juridiques, et fournir un moyen systématique de prendre
des décisions éclairées;
— améliorer et encourager l’identification d’opportunités d’amélioration continue.
Il convient de noter que le risque juridique dans le présent document est défini de façon générale et ne
se limite pas, par exemple, au risque lié aux questions de conformité ou aux questions contractuelles.
Il inclut ces questions, mais le risque juridique est délibérément défini de manière à inclure également
les risques provenant de tiers ou à leur encontre alors qu’il n’existe pas nécessairement de relation
contractuelle avec ces tiers, mais lorsqu’il peut y avoir une possibilité de litige ou d’autre action relevant
des obligations contractuelles des tiers avec leurs parties prenantes.
Le présent document:
— fournit des recommandations relatives au management du risque juridique de manière à s’aligner sur
les activités de mise en conformité et fournit l’assurance nécessaire pour respecter les obligations
et les objectifs de l’organisme;
— peut être utilisé par les organismes de tous types et de toutes tailles afin d’offrir une approche plus
structurée et cohérente du management du risque juridique pour le bénéfice de l’organisme et de
ses parties prenantes dans tous les processus;
© ISO 2020 – Tous droits réservés v

---------------------- Page: 5 ----------------------
ISO 31022:2020(F)

— propose une approche de management intégrée pour l’identification, l’anticipation et le management
du risque juridique;
— appuie et complète les approches existantes en les enrichissant grâce à l’apport de meilleures
informations et perspectives sur les problèmes potentiels auxquels l’organisme pourrait être
confronté;
— appuie tout processus de mise en conformité que les organismes pourraient avoir mis en place, tel
qu’un système de mise en conformité ou autre système de management;
— soutient la fonction de conformité en identifiant de façon plus générale les droits et obligations
juridiques et contractuels de l’organisme.
Il est attendu qu’en utilisant le présent document, les organismes puissent bénéficier de meilleurs
résultats commerciaux et opérationnels tels qu’une meilleure réputation, une fidélisation accrue du
personnel, des relations optimisées avec leurs parties prenantes et de plus grandes synergies entre
leurs ressources et leurs capacités.
Bien que le présent document soit destiné à être utilisé dans le cadre de l’ISO 31000, il convient de
noter que le cadre de l’ISO 31000 peut également être utilisé soit de façon autonome soit avec d’autres
systèmes de management.
Le présent document n’est pas destiné à:
— se substituer aux propriétaires de risques à la recherche de conseils juridiques auprès d’experts
(externes ou internes);
— s’appliquer au processus législatif ni au lobbying en faveur de nouvelles lois ou de la modification du
droit existant.
Il convient que toute référence aux mots «inclure», «comprendre», «incluant» et «comprenant» dans le
présent document soit interprétée au sens de «y compris, sans limitation».
vi © ISO 2020 – Tous droits réservés

---------------------- Page: 6 ----------------------
NORME INTERNATIONALE ISO 31022:2020(F)
Management du risque — Lignes directrices relatives au
management du risque juridique
1 Domaine d’application
Le présent document fournit des lignes directrices pour la gestion des défis spécifiques liés au risque
juridique auxquels sont confrontés les organismes, à titre de document complémentaire à l’ISO 31000.
L’application de ces lignes directrices peut être adaptée à n’importe quel organisme et à son contexte.
Le présent document fournit une approche générique du management du risque juridique et n’est pas
propre à une industrie ou à un secteur.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s’applique (y compris les
éventuels amendements).
ISO 31000, Management du risque — Lignes directrices
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO 31000 ainsi que les suivants
s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse http:// www .electropedia .org/
3.1
risque
effet de l’incertitude sur les objectifs
Note 1 à l'article: Un effet est un écart par rapport à un attendu. Il peut être positif, négatif ou les deux à la fois, et
traiter, créer ou entraîner des opportunités et des menaces.
Note 2 à l'article: Les objectifs peuvent avoir différents aspects, être de catégories différentes, et peuvent
concerner différents niveaux.
[SOURCE: ISO 31000:2018, 3.1, modifiée — La Note 3 à l’article a été supprimée.]
3.2
risque juridique
risque (3.1) en lien avec des questions juridiques, réglementaires et contractuelles, ou avec des droits et
obligations non contractuels
Note 1 à l'article: Les questions juridiques peuvent avoir leur origine dans des décisions politiques, le droit (3.3)
national ou international, y compris le droit législatif, la jurisprudence, les actes administratifs, les ordonnances
réglementaires, les codes, les jugements et sentences, les règles de procédure, les protocoles d’accord ou les
contrats.
© ISO 2020 – Tous droits réservés 1

---------------------- Page: 7 ----------------------
ISO 31022:2020(F)

Note 2 à l'article: Les questions contractuelles ont trait aux situations dans lesquelles un organisme (3.4) ne
s’acquitte pas de ses obligations contractuelles ou ne fait pas respecter ses droits contractuels, ou conclut des
contrats assortis de conditions onéreuses, inadéquates, injustes et/ou inapplicables.
Note 3 à l'article: Le risque lié aux droits non contractuels est le risque qu’un organisme ne fasse pas valoir ses
droits non contractuels. Par exemple, le fait qu’un organisme ne fasse pas respecter ses droits de propriété
intellectuelle, tels que ses droits relatifs au droit d’auteur, aux marques de commerce, aux brevets, aux secrets
commerciaux et aux informations confidentielles, vis-à-vis d’un tiers.
Note 4 à l'article: Le risque lié aux obligations non contractuelles est le risque que le comportement et la prise
de décisions d’un organisme soit en fait un comportement illégal ou un manquement au devoir de diligence
non législatif (ou devoir civil) envers des tiers. Par exemple, un organisme qui enfreint les droits de propriété
intellectuelle d’un tiers, qui ne respecte pas les règles d’attention requises envers les clients (comme la vente
trompeuse), ou qui utilise ou gère de manière inappropriée des réseaux sociaux entraînant une poursuite en
diffamation ou en dénonciation calomnieuse de la part d’un tiers et qui, d’une manière générale, présente des
engagements ambigües.
3.3
droit
système de règles, principes et pratiques qu’une région, un pays ou une communauté reconnaît comme
étant un système qui régit les actions des organismes (3.4)
Note 1 à l'article: Le droit peut inclure n’importe lequel des éléments suivants:
— loi, réglementation, code, décret, ordonnance ou texte d’application;
— jurisprudence;
— décision judiciaire contraignante, jugement ou arrêté;
— code spécifique à l’activité ou politique applicable, prévu par la loi.
3.4
organisme
personne ou groupe de personnes ayant des fonctions définies avec les responsabilités, l’autorité et les
relations lui permettant d’atteindre ses objectifs
Note 1 à l'article: Le concept d’organisme englobe sans s’y limiter, les travailleurs indépendants, les compagnies,
les sociétés, les firmes, les entreprises, les administrations, les partenariats, les organisations caritatives ou
les institutions, ou bien une partie ou une association des entités précédentes, ayant soit un statut de société
commerciale soit un autre statut, de droit public ou privé.
[SOURCE: ISO 19600:2014, 3.2.1, modifiée — La Note 1 à l’article a été modifiée.]
4 Principes
Le management efficace du risque juridique repose sur les valeurs et les principes présentés dans
l’ISO 31000, comme illustré à la Figure 1.
2 © ISO 2020 – Tous droits réservés

---------------------- Page: 8 ----------------------
ISO 31022:2020(F)

Figure 1 — Principes
Ces huit éléments sont décrits ci-dessous, de a) à h), dans le contexte du management du risque
juridique. En outre, pour le management du risque juridique, il convient que le principe d’«équité», voir
i), soit également pris en considération.
a) Intégré: le management du risque juridique fait partie intégrante de la gouvernance et de la
gestion globales de l’organisme. Il convient que les activités du processus de management
du risque juridique soient intégrées aux processus de planification stratégique, de prise de
décisions opérationnelles et de management de l’organisme. Pour l’intégration du management
du risque juridique dans les processus et activités de l’organisme, il convient que des rôles et des
responsabilités appropriés soient définis au sein de l’organisme. Il convient que le management du
risque juridique soit intégré à d’autres systèmes de management, comme la conformité, la sécurité,
la qualité et avec les contrôles internes. Lors de l’évaluation des risques juridiques et de l’examen
des options de traitement, il convient que des experts en matière juridique soient consultés avec
d’autres experts ou spécialistes.
b) Structuré et global: tout en suivant le processus générique de management du risque, il est
important d’évaluer les risques juridiques de l’organisme dans un contexte approprié afin de
pouvoir adopter une approche globale et cohérente du management du risque juridique.
c) Adapté: il convient que le management du risque juridique au sein d’un organisme soit adapté
pour refléter les particularités de son contexte externe, y compris l’environnement juridique et
réglementaire et les caractéristiques du secteur, ainsi que son contexte interne, y compris la nature
de l’entité juridique, les objectifs et les valeurs de l’organisme.
Il convient que l’organisme ait une compréhension approfondie de l’applicabilité des droits,
de l’impact et des conséquences d’une incapacité à se conformer aux droits applicables, et des
processus visant à s’assurer que les droits nouveaux ou actualisés sont identifiés de manière
satisfaisante, leur impact correctement évalué et interprétés.
Il convient que l’organisme réduise au minimum la complexité et le coût des procédures judiciaires.
Il convient que l’organisme tente de réduire le plus possible et de maîtriser les conséquences
négatives d’un risque juridique. L’organisme peut chercher activement des moyens d’éviter les
différends ou les litiges en prenant des mesures pour traiter les risques juridiques avant qu’un
événement indésirable ne se produise, ou ne soit susceptible de se produire, ou tenter de parvenir
à un règlement d’une manière qui permet de peser avantages et inconvénients sur les coûts, les
objectifs commerciaux, la réputation et le temps consacré par l’organisme.
© ISO 2020 – Tous droits réservés 3

---------------------- Page: 9 ----------------------
ISO 31022:2020(F)

d) Inclusif: en impliquant toutes les parties prenantes dans le management du risque juridique,
un organisme peut atténuer les événements indésirables, y compris le durcissement de la
réglementation. Il convient que l’organisme veille à ce que le secret professionnel (ou la forme
équivalente de protection dans la juridiction concernée) soit maintenu dans la mesure du possible
et que la confidentialité soit préservée, mais dans les deux cas, il est nécessaire que ces protections
soient évaluées par rapport aux avantages de l’inclusivité.
e) Dynamique: il convient qu’un organisme suive et s’adapte à l’évolution des droits, des politiques
publiques et au contexte dans lequel il exerce ses activités, et établisse des indicateurs d’alerte
précoce appropriés.
f) Meilleure information disponible: pour un management efficace du risque juridique, outre
l’expérience des conseillers juridiques internes, si elle existe, il convient de recourir à l’intelligence
économique, au business analytics, à des bases de données et des systèmes juridiques (incluant la
gestion des cas), à des outils et des services de gestion des dossiers électroniques. Si nécessaire, il
est possible d’avoir recours au savoir-faire proposé par des cabinets juridiques, des prestataires de
services ou des conseillers externes.
g) Facteurs humains et culturels: étant donné que les parties prenantes peuvent avoir des
connaissances, des attentes et des points de vue différents en matière de risque juridique et que ces
points de vue peuvent être construits et perçus sur les plans émotif, social, culturel et politique, il
convient que l’organisme élabore des mécanismes formels et informels pour contribuer à faire en
sorte que les facteurs humains et culturels n’entraînent pas de risques juridiques. Il convient que
l’organisme cherche également à encourager la réalisation du management de tels risques ainsi que
les avantages et les opportunités qui en découlent. Il convient que tous les membres de l’organisme
soient conscients de la façon dont chaque action ou inaction influe sur le risque juridique.
h) Amélioration continue: il convient qu’un organisme tienne compte des enseignements du passé,
des analyses postérieures aux transactions, des bonnes pratiques, des conseils professionnels de
conseillers internes et externes, des audits internes et des évolutions juridiques à appliquer, et y
donne suite.
i) Équité: pour les décideurs, l’instauration de principes d’équité guide le management du risque
juridique et comprend la gestion des conflits d’intérêts. Elle permet également de faire entendre une
voix objective et indépendante dans les décisions et favorise le devoir de vigilance et l’impartialité
dans l’intérêt supérieur de l’organisme.
NOTE Il n’y a pas de définition convenue de l’équité, plutôt, «l’équité» incorpore différentes idées et
concepts, y compris la justice, l’équité et l’égalité.
5 Processus de management du risque juridique
5.1 Généralités
Le management du risque juridique est une activité itérative et il convient de l’intégrer à toutes les
activités et opérations de l’organisme. Le processus de management du risque appliqué au management
du risque juridique est décrit de 5.2 à 5.5 et est illustré à la Figure 2. Ce diagramme complète
l’ISO 31000:2018, Figure 4.
4 © ISO 2020 – Tous droits réservés

---------------------- Page: 10 ----------------------
ISO 31022:2020(F)

Figure 2 — Processus de management du risque juridique
Il convient que le suivi et la revue, l’élaboration de rapports, la communication et la consultation
se poursuivent tout au long du processus de management du risque juridique dans l’ensemble de
l’organisme. Plus de détails sont donnés en 5.5.
5.2 Établissement du contexte à considérer et des critères
5.2.1 Généralités
Outre l’ISO 31000:2018, 6.3, il convient que l’organisme prenne en considération les contextes externe
et interne présentés respectivement en 5.2.2 et 5.2.3.
5.2.2 Contexte externe du risque juridique
Le contexte externe du risque juridique renvoie à des facteurs extérieurs à l’organisme, mais qui sont
liés au management du risque juridique. Il comprend:
— le droit local et internatio
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.