ISO 31073:2022
(Main)Risk management — Vocabulary
Risk management — Vocabulary
This document defines generic terms related to the management of risks faced by organizations.
Management du risque — Vocabulaire
Le présent document définit des termes génériques relatifs au management des risques auxquels font face les organismes.
General Information
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 31073
First edition
2022-02
Risk management — Vocabulary
Management du risque — Vocabulaire
Reference number
ISO 31073:2022(E)
© ISO 2022
---------------------- Page: 1 ----------------------
ISO 31073:2022(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2022
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
© ISO 2022 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 31073:2022(E)
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
3.1 Terms related to risk . 1
3.2 Terms related to risk management . 2
3.3 Terms related to the risk management process . 2
Bibliography . 9
Index .10
iii
© ISO 2022 – All rights reserved
---------------------- Page: 3 ----------------------
ISO 31073:2022(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see
www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 262, Risk management.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.
iv
© ISO 2022 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 31073:2022(E)
Introduction
This document provides basic vocabulary to develop common understanding on risk management
concepts and terms among organizations and functions, and across different applications and types.
In the context of risk management terminology applicable to risks faced by organizations, it is intended
that preference be given to the definitions provided in this document.
Risk management is application specific. In some circumstances, it can therefore be necessary to
supplement the vocabulary in this document. Where terms related to the management of risk are used
in a standard, it is imperative that their intended meanings within the context of the standard are not
misinterpreted, misrepresented or misused. The terminology in this document may need to be replaced
by disciplinary-specific terminology where appropriate.
In addition to managing threats to the achievement of their objectives, organizations are increasingly
applying risk management processes and developing an integrated approach to risk management
in order to improve the management of potential opportunities. The terms and definitions in this
document are, therefore, broader in concept and application than those contained in other documents.
Since organizations increasingly adopt a broader approach to the management of risk, this document
addresses all applications and sectors.
This vocabulary document represents the current focus of ISO/TC 262 on the management of risks
faced by organizations.
This document encourages a mutual and consistent understanding of, and a coherent approach to, the
description of activities related to the management of risk, and the use of a uniform risk management
terminology in processes and frameworks dealing with the management of the risks faced by
organizations.
This document is intended to be used by:
— those engaged in managing risks;
— those who are involved in activities of the ISO and IEC;
— developers of national or sector-specific standards, guides, procedures and codes of practice related
to the management of risk.
For principles and guidelines on risk management, see ISO 31000:2018.
v
© ISO 2022 – All rights reserved
---------------------- Page: 5 ----------------------
INTERNATIONAL STANDARD ISO 31073:2022(E)
Risk management — Vocabulary
1 Scope
This document defines generic terms related to the management of risks faced by organizations.
2 Normative references
There are no normative references in this document.
3 Terms and definitions
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
3.1 Terms related to risk
3.1.1
risk
effect of uncertainty (3.1.3) on objectives (3.1.2)
Note 1 to entry: An effect is a deviation from the expected. It can be positive, negative or both, and can address,
create or result in opportunities (3.3.23) and threats (3.3.13).
Note 2 to entry: Objectives can have different aspects and categories, and can be applied at different levels.
Note 3 to entry: Risk is usually expressed in terms of risk sources (3.3.10), potential events (3.3.11), their
consequences (3.3.18) and their likelihood (3.3.16).
3.1.2
objective
result to be achieved
Note 1 to entry: An objective can be strategic, tactical or operational.
Note 2 to entry: Objectives can relate to different disciplines (such as financial, health and safety, and
environmental goals) and can apply at different levels (such as strategic, organization-wide, project, product and
process).
Note 3 to entry: An objective can be expressed in other ways, e.g. as an intended outcome, a purpose, an
operational criterion, as a management system objective, or by the use of other words with similar meaning (e.g.
aim, goal, target).
3.1.3
uncertainty
state, even partial, of deficiency of information related to understanding or knowledge
Note 1 to entry: In some cases, uncertainty can be related to the organization’s (3.3.7) context as well as to its
objectives (3.1.2).
Note 2 to entry: Uncertainty is the root source of risk (3.1.1), namely any kind of “deficiency of information” that
matters in relation to objectives (and objectives, in turn, relate to all relevant interested parties’ (3.3.2) needs and
expectations).
1
© ISO 2022 – All rights reserved
---------------------- Page: 6 ----------------------
ISO 31073:2022(E)
3.2 Terms related to risk management
3.2.1
risk management
coordinated activities to direct and control an organization (3.3.7) with regard to risk (3.1.1)
3.2.2
risk management policy
statement of the overall intentions and direction of an organization (3.3.7) related to risk management
(3.2.1)
[SOURCE: ISO Guide 73:2009, 2.1.2]
3.2.3
risk management plan
scheme within the risk management framework specifying the approach, the management components
and resources to be applied to the management of risk (3.1.1)
Note 1 to entry: Management components typically include procedures, practices, assignment of responsibilities,
sequence and timing of activities.
Note 2 to entry: The risk management plan can be applied to a particular product, process and project, and part
or whole of the organization (3.3.7).
[SOURCE: ISO Guide 73:2009, 2.1.3]
3.3 Terms related to the risk management process
3.3.1
risk management process
systematic application of management policies, procedures and practices to the activities of
communicating, consulting, establishing the context, and identifying, analysing, evaluating, treating,
monitoring (3.3.40) and reviewing risk (3.1.1)
[SOURCE: ISO Guide 73:2009, 3.1]
3.3.2
interested party
stakeholder
person or organization (3.3.7) that can affect, be affected by, or perceives itself to be affected by a
decision or activity
3.3.3
risk perception
interested party’s (3.3.2) view on risk (3.1.1)
Note 1 to entry: Risk perception reflects the interested party’s needs, issues, knowledge, beliefs and values.
[SOURCE: ISO Guide 73:2009, 3.2.1.2, modified — “interested party” has replaced “stakeholder”, and
“risk” has replaced “a risk” in the definition.]
3.3.4
external context
external environment in which the organization (3.3.7) seeks to achieve its objectives (3.1.2)
Note 1 to entry: External context can include:
— the cultural, social, political, legal, regulatory, financial, technological, economic, natural and competitive
environment, whether international, national, regional or local;
— key drivers and trends having impact on the objectives of the organization; and
2
© ISO 2022 – All rights reserved
---------------------- Page: 7 ----------------------
ISO 31073:2022(E)
— relationships with, and perceptions and values of, external interested parties (3.3.2).
[SOURCE: ISO Guide 73:2009, 3.3.1.1, modified — “interested parties” has replaced “stakeholders”.]
3.3.5
internal context
internal environment in which the organization (3.3.7) seeks to achieve its objectives (3.1.2)
Note 1 to entry: Internal context can include:
— governance, organizational structure, roles and accountabilities;
— policies, objectives, and the strategies that are in place to achieve them;
— the capabilities, understood in terms of resources and knowledge (e.g. capital, time, people, processes,
systems and technologies);
— information systems, information flows and decision-making processes (both formal and informal);
— relationships with, and perceptions and values of, internal interested parties (3.3.2);
— the organization’s culture;
— standards, guidelines and models adopted by the organization; and
— form and extent of contractual relationships.
[SOURCE: ISO Guide 73:2009, 3.3.1.2, modified — “interested parties” has replaced “stakeholders”.]
3.3.6
risk criteria
terms of reference against which the significance of risk (3.1.1) is evaluated
Note 1 to entry: Risk criteria are based on organizational objectives (3.1.2), and external (3.3.4) and internal
context (3.3.5).
Note 2 to entry: Risk criteria can be derived from standards, laws, policies and other requirements.
[SOURCE: ISO Guide 73:2009, 3.3.1.3, modified — “risk” has replaced “a risk” in the definition.]
3.3.7
organization
person or group of people that has its own f
...
NORME ISO
INTERNATIONALE 31073
Première édition
2022-02
Management du risque — Vocabulaire
Risk management — Vocabulary
Numéro de référence
ISO 31073:2022(F)
© ISO 2022
---------------------- Page: 1 ----------------------
ISO 31073:2022(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2022
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
© ISO 2022 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 31073:2022(F)
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives .1
3 Termes et définitions . 1
3.1 Termes relatifs au risque . 1
3.2 Termes relatifs au management du risque . 2
3.3 Termes relatifs au processus de management du risque . 2
Bibliographie .10
Index .11
iii
© ISO 2022 – Tous droits réservés
---------------------- Page: 3 ----------------------
ISO 31073:2022(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 262, Management du risque.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/fr/members.html.
iv
© ISO 2022 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 31073:2022(F)
Introduction
Le présent document fournit du vocabulaire de base pour développer une compréhension commune des
concepts et termes relatifs au management du risque entre les différents organismes et fonctions et, et
pour toutes sortes d’applications et de types de risques.
Concernant la terminologie relative au management du risque applicable aux risques auxquels les
organismes font face, l’intention est de donner la préférence aux définitions fournies dans le présent
document.
Le management du risque est différent selon les applications. Il peut donc être nécessaire, dans
certains cas, de compléter le vocabulaire fourni dans le présent document. Lorsque des termes relatifs
au management du risque sont utilisés dans une norme, il est impératif que la signification qu’ils sont
censés avoir dans le contexte de la norme ne soit pas mal interprétée et qu’ils ne fassent l’objet ni d’une
description inexacte, ni d’une mauvaise utilisation. La terminologie proposée dans le présent document
peut devoir être remplacée par la terminologie spécifique d’une discipline, le cas échéant.
Outre le fait de gérer les menaces compromettant la réalisation de leurs objectifs, les organismes ont
de plus en plus recours à des processus de management du risque et développent également de plus
en plus une approche de management du risque intégrée afin d’améliorer la gestion des opportunités
potentielles. Par conséquent, les termes et définitions figurant dans le présent document couvrent des
notions et des applications plus larges que celles fournies dans d’autres documents. Étant donné que
les organismes adoptent de plus en plus une approche plus large du management du risque, le présent
document aborde toutes les applications et tous les secteurs.
Le présent document de vocabulaire reflète l’attention actuelle que l’ISO/TC 262 porte au management
des risques auxquels font face les organismes.
Le présent document encourage une compréhension mutuelle et homogène, ainsi qu’une approche
cohérente, de la description des activités liées au management du risque, et l’utilisation d’une
terminologie du management du risque harmonisée dans les processus et cadres de travail concernant
le management des risques auxquels les organismes font face.
Le présent document est destiné à être utilisé par:
— les personnes impliquées dans le management du risque;
— les personnes impliquées dans les activités de l’ISO et de l’IEC;
— les personnes élaborant à un niveau national ou pour un secteur spécifique des normes, des guides,
des modes opératoires et des codes de bonnes pratiques relatifs au management du risque.
Concernant les principes et lignes directrices du management du risque, voir l’ISO 31000:2018.
v
© ISO 2022 – Tous droits réservés
---------------------- Page: 5 ----------------------
NORME INTERNATIONALE ISO 31073:2022(F)
Management du risque — Vocabulaire
1 Domaine d’application
Le présent document définit des termes génériques relatifs au management des risques auxquels font
face les organismes.
2 Références normatives
Le présent document ne contient aucune référence normative.
3 Termes et définitions
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
3.1 Termes relatifs au risque
3.1.1
risque
effet de l’incertitude (3.1.3) sur les objectifs (3.1.2)
Note 1 à l'article: Un effet est un écart par rapport à un attendu. Il peut être positif, négatif ou les deux à la fois, et
traiter, créer ou entraîner des opportunités (3.3.23) et des menaces (3.3.13).
Note 2 à l'article: Les objectifs peuvent avoir différents aspects, être de catégories différentes, et peuvent
concerner différents niveaux.
Note 3 à l'article: Un risque est généralement exprimé en termes de sources de risque (3.3.10) et d’événements
(3.3.11) potentiels avec leurs conséquences (3.3.18) et leur vraisemblance (3.3.16).
3.1.2
objectif
résultat à atteindre
Note 1 à l'article: Un objectif peut être stratégique, tactique ou opérationnel.
Note 2 à l'article: Les objectifs peuvent se rapporter à différents domaines (tels que la finance, la santé, la sécurité,
et l’environnement) et peuvent s’appliquer à divers niveaux (au niveau stratégique, à un niveau concernant
l’organisme dans son ensemble ou afférant à un projet, un produit ou un processus, par exemple).
Note 3 à l'article: Un objectif peut être exprimé de différentes manières: par exemple, par un résultat escompté,
un besoin, un critère opérationnel, en tant qu’objectif de système de management ou par l’utilisation d’autres
termes ayant la même signification (par exemple, finalité, but, cible).
3.1.3
incertitude
état, même partiel, de manque d’informations qui entrave la compréhension ou la connaissance
Note 1 à l'article: Dans certains cas, l’incertitude peut être liée au contexte de l’organisme (3.3.7) ainsi qu’à ses
objectifs (3.1.2).
1
© ISO 2022 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO 31073:2022(F)
Note 2 à l'article: L’incertitude est la source profonde du risque (3.1.1), à savoir tout «manque d’informations»
influençant les objectifs (ces derniers influençant, à leur tour, tous les besoins et toutes les attentes des parties
intéressées [3.3.2]).
3.2 Termes relatifs au management du risque
3.2.1
management du risque
activités coordonnées dans le but de diriger et piloter un organisme (3.3.7) vis-à-vis du risque (3.1.1)
3.2.2
politique de management du risque
déclaration des intentions et des orientations générales d’un organisme (3.3.7) en relation avec le
management du risque (3.2.1)
[SOURCE: Guide ISO 73:2009, 2.1.2]
3.2.3
plan de management du risque
programme inclus dans le cadre organisationnel de management du risque, spécifiant l’approche, les
composantes du management et les ressources auxquelles doit avoir recours le management du risque
(3.1.1)
Note 1 à l'article: Les composantes du management incluent, par exemple, les procédures, les pratiques,
l’attribution des responsabilités, le déroulement chronologique des activités.
Note 2 à l'article: Le plan de management du risque peut être appliqué à un produit, un processus, un projet
particulier, à une partie de l’organisme ou à l’organisme (3.3.7) tout entier.
[SOURCE: Guide ISO 73:2009, 2.1.3]
3.3 Termes relatifs au processus de management du risque
3.3.1
processus de management du risque
application systématique de politiques, procédures et pratiques de management aux activités de
communication, de concertation, d’établissement du contexte, ainsi qu’aux activités d’identification,
d’analyse, d’évaluation, de traitement, de surveillance (3.3.40) et de revue des risques (3.1.1)
[SOURCE: Guide ISO 73:2009, 3.1]
3.3.2
partie intéressée
partie prenante
personne ou organisme (3.3.7) susceptible d’affecter, d’être affecté ou de se sentir affecté par une
décision ou une activité
3.3.3
perception du risque
point de vue d’une partie intéressée (3.3.2) concernant les risques (3.1.1)
Note 1 à l'article: La perception du risque reflète les besoins, les questions, les connaissances, les convictions et
les valeurs de la partie intéressée.
Note 2 à l'article: [SOURCE: Guide ISO 73:2009, 3.2.1.2, modifié — «partie intéressée» remplace «partie prenante»
et «les risques» remplace «un risque» dans la définition.]
3.3.4
contexte externe
environnement externe dans lequel l’organisme (3.3.7) cherche à atteindre ses objectifs (3.1.2)
Note 1 à l'article: Le contexte externe peut inclure:
2
© ISO 2022 – Tous droits réservés
---------------------- Page: 7 ----------------------
ISO 31073:2022(F)
— l’environnement culturel, social, politique, légal, réglementaire, financier, technologique, économique,
naturel et concurrentiel, au niveau international, national, régional ou local;
— les facteurs et tendances ayant un impact déterminant sur les objectifs de l’organisme, et
— les relations avec les parties intéressées (3.3.2) externes, leurs perceptions et leurs valeurs.
[SOURCE: Guide ISO 73:2009, 3.3.1.1, modifié —« parties intéressées » remplace «parties prenantes».]
3.3.5
contexte interne
environnement interne dans lequel l’organisme (3.3.7) cherche à atteindre ses objectifs (3.1.2)
Note 1 à l'article: Le contexte interne peut inclure:
— la gouvernance, l’organisation, les rôles et responsabilités;
— les politiques, les objectifs et les stratégies mises en place pour atteindre ces derniers;
— les capacités, en termes de ressources et de connaissances (par exemple, capital, temps, personnels, processus,
systèmes et technologies);
— les systèmes d’information, les flux d’information et les processus de prise de décision (à la fois formels et
informels);
— les relations avec les parties intéressées (3.3.2) internes, leurs perceptions et leurs valeurs;
— la culture de l’organisme;
— les normes, lignes directrices et modèles adoptés par l’organisme, et
— la forme et l’étendue des relations contractuelles.
[SOURCE: Guide ISO 73:2009, 3.3.1.2, modifié —« parties intéressées » remplace «parties prenantes».]
3.3.6
critères de risque
termes de référence vis-à-vis desquels l’importance des risques (3.1.1) est évaluée
Note 1 à l'article: Les critères de risque sont fondés sur les objectifs (3.1.2) de l’organisme ainsi que sur le contexte
externe (3.3.4) et interne (3.3.5).
Note 2 à l'article: Les critères de risque peuvent être issus de normes, de lois, de politiques et d’autres exigences.
[SOURCE: Guide ISO 73:2009, 3.3.1.3, modifié — «les risques» remplace «un risque» dans la définition.]
3.3.7
organisme
personne ou groupe de personnes ayant un rôle avec les responsabilités, l’autorité et les relations lui
permettant d’atteindre ses objectifs (3.1.2)
Note 1 à l'article: Le concept d’organisme englobe sans s’y limiter, les travailleurs indépendants, les compagnies,
les sociétés, les firmes, les entreprises, les administrat
...
FINAL
INTERNATIONAL ISO/FDIS
DRAFT
STANDARD 31073
ISO/TC 262
Risk management — Vocabulary
Secretariat: BSI
Voting begins on:
2021-10-29
Voting terminates on:
2021-12-24
RECIPIENTS OF THIS DRAFT ARE INVITED TO
SUBMIT, WITH THEIR COMMENTS, NOTIFICATION
OF ANY RELEVANT PATENT RIGHTS OF WHICH
THEY ARE AWARE AND TO PROVIDE SUPPOR TING
DOCUMENTATION.
IN ADDITION TO THEIR EVALUATION AS
Reference number
BEING ACCEPTABLE FOR INDUSTRIAL, TECHNO-
ISO/FDIS 31073:2021(E)
LOGICAL, COMMERCIAL AND USER PURPOSES,
DRAFT INTERNATIONAL STANDARDS MAY ON
OCCASION HAVE TO BE CONSIDERED IN THE
LIGHT OF THEIR POTENTIAL TO BECOME STAN-
DARDS TO WHICH REFERENCE MAY BE MADE IN
NATIONAL REGULATIONS. © ISO 2021
---------------------- Page: 1 ----------------------
ISO/FDIS 31073:2021(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2021
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
© ISO 2021 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/FDIS 31073:2021(E)
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
3.1 Terms related to risk . 1
3.2 Terms related to risk management . 2
3.3 Terms related to the risk management process . 2
Bibliography . 9
Index .10
iii
© ISO 2021 – All rights reserved
---------------------- Page: 3 ----------------------
ISO/FDIS 31073:2021(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see
www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 262, Risk management.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.
iv
© ISO 2021 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/FDIS 31073:2021(E)
Introduction
This document provides basic vocabulary to develop common understanding on risk management
concepts and terms among organizations and functions, and across different applications and types.
In the context of risk management terminology applicable to risks faced by organizations, it is intended
that preference be given to the definitions provided in this document.
Risk management is application specific. In some circumstances, it can therefore be necessary to
supplement the vocabulary in this document. Where terms related to the management of risk are
used in a standard, it is imperative that their intended meanings within the context of the standard
are not misinterpreted, misrepresented or misused. The terminology in this document may need to be
displaced by disciplinary-specific terminology where appropriate.
In addition to managing threats to the achievement of their objectives, organizations are increasingly
applying risk management processes and developing an integrated approach to risk management
in order to improve the management of potential opportunities. The terms and definitions in this
document are, therefore, broader in concept and application than those contained in other documents.
Since organizations increasingly adopt a broader approach to the management of risk, this document
addresses all applications and sectors.
This vocabulary document represents the current focus of ISO/TC 262 on the management of risks
faced by organizations.
This document encourages a mutual and consistent understanding of, and a coherent approach to, the
description of activities related to the management of risk, and the use of a uniform risk management
terminology in processes and frameworks dealing with the management of the risks faced by
organizations.
This document is intended to be used by:
— those engaged in managing risks;
— those who are involved in activities of the ISO and IEC;
— developers of national or sector-specific standards, guides, procedures and codes of practice related
to the management of risk.
For principles and guidelines on risk management, see ISO 31000:2018.
v
© ISO 2021 – All rights reserved
---------------------- Page: 5 ----------------------
FINAL DRAFT INTERNATIONAL STANDARD ISO/FDIS 31073:2021(E)
Risk management — Vocabulary
1 Scope
This document defines generic terms related to the management of risks faced by organizations.
2 Normative references
There are no normative references in this document.
3 Terms and definitions
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
3.1 Terms related to risk
3.1.1
risk
effect of uncertainty (3.1.3) on objectives (3.1.2)
Note 1 to entry: An effect is a deviation from the expected. It can be positive, negative or both, and can address,
create or result in opportunities (3.3.23) and threats (3.3.13).
Note 2 to entry: Objectives can have different aspects and categories, and can be applied at different levels.
Note 3 to entry: Risk is usually expressed in terms of risk sources (3.3.10), potential events (3.3.11), their
consequences (3.3.18) and their likelihood (3.3.16).
3.1.2
objective
result to be achieved
Note 1 to entry: An objective can be strategic, tactical or operational.
Note 2 to entry: Objectives can relate to different disciplines (such as financial, health and safety, and
environmental goals) and can apply at different levels (such as strategic, organization-wide, project, product and
process).
Note 3 to entry: An objective can be expressed in other ways, e.g. as an intended outcome, a purpose, an
operational criterion, as a management system objective, or by the use of other words with similar meaning (e.g.
aim, goal, target).
3.1.3
uncertainty
state, even partial, of deficiency of information related to understanding or knowledge
Note 1 to entry: In some cases, uncertainty can be related to the organization’s (3.3.7) context as well as to its
objectives (3.1.2).
Note 2 to entry: Uncertainty is the root source of risk (3.1.1), namely any kind of “deficiency of information” that
matters in relation to objectives (and objectives, in turn, relate to all relevant interested parties’ (3.3.2) needs and
expectations).
1
© ISO 2021 – All rights reserved
---------------------- Page: 6 ----------------------
ISO/FDIS 31073:2021(E)
3.2 Terms related to risk management
3.2.1
risk management
coordinated activities to direct and control an organization (3.3.7) with regard to risk (3.1.1)
3.2.2
risk management policy
statement of the overall intentions and direction of an organization (3.3.7) related to risk management
(3.2.1)
[SOURCE: ISO Guide 73:2009, 2.1.2]
3.2.3
risk management plan
scheme within the risk management framework specifying the approach, the management components
and resources to be applied to the management of risk (3.1.1)
Note 1 to entry: Management components typically include procedures, practices, assignment of responsibilities,
sequence and timing of activities.
Note 2 to entry: The risk management plan can be applied to a particular product, process and project, and part
or whole of the organization (3.3.7).
[SOURCE: ISO Guide 73:2009, 2.1.3]
3.3 Terms related to the risk management process
3.3.1
risk management process
systematic application of management policies, procedures and practices to the activities of
communicating, consulting, establishing the context, and identifying, analysing, evaluating, treating,
monitoring (3.3.40) and reviewing risk (3.1.1)
[SOURCE: ISO Guide 73:2009, 3.1]
3.3.2
interested party
stakeholder
person or organization (3.3.7) that can affect, be affected by, or perceives itself to be affected by a
decision or activity
3.3.3
risk perception
interested party’s (3.3.2) view on risk (3.1.1)
Note 1 to entry: Risk perception reflects the interested party’s needs, issues, knowledge, beliefs and values.
[SOURCE: ISO Guide 73:2009, 3.2.1.2, modified — “interested party” has replaced “stakeholder”, and
“risk” has replaced “a risk” in the definition.]
3.3.4
external context
external environment in which the organization (3.3.7) seeks to achieve its objectives (3.1.2)
Note 1 to entry: External context can include:
— the cultural, social, political, legal, regulatory, financial, technological, economic, natural and competitive
environment, whether international, national, regional or local;
— key drivers and trends having impact on the objectives of the organization; and
2
© ISO 2021 – All rights reserved
---------------------- Page: 7 ----------------------
ISO/FDIS 31073:2021(E)
— relationships with, and perceptions and values of, external interested parties (3.3.2).
[SOURCE: ISO Guide 73:2009, 3.3.1.1, modified — “interested parties” has replaced “stakeholders”.]
3.3.5
internal context
internal environment in which the organization (3.3.7) seeks to achieve its objectives (3.1.2)
Note 1 to entry: Internal context can include:
— governance, organizational structure, roles and accountabilities;
— policies, objectives, and the strategies that are in place to achieve them;
— the capabilities, understood in terms of resources and knowledge (e.g. capital, time, people, processes,
systems and technologies);
— information systems, information flows and decision-making processes (both formal and informal);
— relationships with, and perceptions and values of, internal interested parties (3.3.2);
— the organization’s culture;
— standards, guidelines and models adopted by the organization; and
— form and extent of contractual relationships.
[SOURCE: ISO Guide 73:2009, 3.3.1.2, modified — “interested parties” has replaced “stakeholders”.]
3.3.6
risk criteria
terms of reference against which the significance of risk (3.1.1) is evaluated
Note 1 to entry: Risk criteria are based on organizational objectiv
...
PROJET
NORME ISO/FDIS
FINAL
INTERNATIONALE 31073
ISO/TC 262
Management du risque — Vocabulaire
Secrétariat: BSI
Début de vote: Risk management — Vocabulary
2021-10-29
Vote clos le:
2021-12-24
LES DESTINATAIRES DU PRÉSENT PROJET SONT
INVITÉS À PRÉSENTER, AVEC LEURS OBSER-
VATIONS, NOTIFICATION DES DROITS DE PRO-
PRIÉTÉ DONT ILS AURAIENT ÉVENTUELLEMENT
CONNAISSANCE ET À FOURNIR UNE DOCUMEN-
TATION EXPLICATIVE.
OUTRE LE FAIT D’ÊTRE EXAMINÉS POUR
ÉTABLIR S’ILS SONT ACCEPTABLES À DES FINS
INDUSTRIELLES, TECHNOLOGIQUES ET COM-
Numéro de référence
MERCIALES, AINSI QUE DU POINT DE VUE
ISO/FDIS 31073:2021(F)
DES UTILISATEURS, LES PROJETS DE NORMES
INTERNATIONALES DOIVENT PARFOIS ÊTRE
CONSIDÉRÉS DU POINT DE VUE DE LEUR POSSI-
BILITÉ DE DEVENIR DES NORMES POUVANT
SERVIR DE RÉFÉRENCE DANS LA RÉGLEMENTA-
TION NATIONALE. © ISO 2021
---------------------- Page: 1 ----------------------
ISO/FDIS 31073:2021(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2021
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
© ISO 2021 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/FDIS 31073:2021(F)
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives .1
3 Termes et définitions . 1
3.1 Termes relatifs au risque . 1
3.2 Termes relatifs au management du risque . 2
3.3 Termes relatifs au processus de management du risque . 2
Bibliographie .10
Index .11
iii
© ISO 2021 – Tous droits réservés
---------------------- Page: 3 ----------------------
ISO/FDIS 31073:2021(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document
a été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (www.iso.org/patents).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www.iso.org/iso/foreword.html.
Le présent document a été élaboré par le comité technique ISO/TC 262, Management du risque.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/members.html.
iv
© ISO 2021 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/FDIS 31073:2021(F)
Introduction
Le présent document fournit du vocabulaire de base pour développer une compréhension commune des
concepts et termes relatifs au management du risque entre les différents organismes et fonctions et, et
pour toutes sortes d’applications et de types de risques.
Concernant la terminologie relative au management du risque applicable aux risques auxquels les
organismes font face, l’intention est de donner la préférence aux définitions fournies dans le présent
document.
Le management du risque est différent selon les applications. Il peut donc être nécessaire, dans
certains cas, de compléter le vocabulaire fourni dans le présent document. Lorsque des termes relatifs
au management du risque sont utilisés dans une norme, il est impératif que la signification qu’ils sont
censés avoir dans le contexte de la norme ne soit pas mal interprétée et qu’ils ne fassent l’objet ni d’une
description inexacte, ni d’une mauvaise utilisation. La terminologie proposée dans le présent document
peut devoir être remplacée par la terminologie spécifique d’une discipline, le cas échéant.
Outre le fait de gérer les menaces compromettant la réalisation de leurs objectifs, les organismes ont
de plus en plus recours à des processus de management du risque et développent également de plus
en plus une approche de management du risque intégrée afin d’améliorer la gestion des opportunités
potentielles. Par conséquent, les termes et définitions figurant dans le présent document couvrent des
notions et des applications plus larges que celles fournies dans d’autres documents. Étant donné que
les organismes adoptent de plus en plus une approche plus large du management du risque, le présent
document aborde toutes les applications et tous les secteurs.
Le présent document de vocabulaire reflète l’attention actuelle que l’ISO/TC 262 porte au management
des risques auxquels font face les organismes.
Le présent document encourage une compréhension mutuelle et homogène, ainsi qu’une approche
cohérente, de la description des activités liées au management du risque, et l’utilisation d’une
terminologie du management du risque harmonisée dans les processus et cadres de travail concernant
le management des risques auxquels les organismes font face.
Le présent document est destiné à être utilisé par:
— les personnes impliquées dans le management du risque;
— les personnes impliquées dans les activités de l’ISO et de l’IEC;
— les personnes élaborant à un niveau national ou pour un secteur spécifique des normes, des guides,
des modes opératoires et des codes de bonnes pratiques relatifs au management du risque.
Concernant les principes et lignes directrices du management du risque, voir l’ISO 31000:2018.
v
© ISO 2021 – Tous droits réservés
---------------------- Page: 5 ----------------------
PROJET FINAL DE NORME INTERNATIONALE ISO/FDIS 31073:2021(F)
Management du risque — Vocabulaire
1 Domaine d’application
Le présent document définit des termes génériques relatifs au management des risques auxquels font
face les organismes.
2 Références normatives
Le présent document ne contient aucune référence normative.
3 Termes et définitions
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
3.1 Termes relatifs au risque
3.1.1
risque
effet de l’incertitude (3.1.3) sur les objectifs (3.1.2)
Note 1 à l'article: Un effet est un écart par rapport à un attendu. Il peut être positif, négatif ou les deux à la fois, et
traiter, créer ou entraîner des opportunités (3.3.23) et des menaces (3.3.13).
Note 2 à l'article: Les objectifs peuvent avoir différents aspects, être de catégories différentes, et peuvent
concerner différents niveaux.
Note 3 à l'article: Un risque est généralement exprimé en termes de sources de risque (3.3.10) et d’événements
(3.3.11) potentiels avec leurs conséquences (3.3.18) et leur vraisemblance (3.3.16).
3.1.2
objectif
résultat à atteindre
Note 1 à l'article: Un objectif peut être stratégique, tactique ou opérationnel.
Note 2 à l'article: Les objectifs peuvent se rapporter à différents domaines (tels que la finance, la santé, la sécurité,
et l’environnement) et peuvent s’appliquer à divers niveaux (au niveau stratégique, à un niveau concernant
l’organisme dans son ensemble ou afférant à un projet, un produit ou un processus, par exemple).
Note 3 à l'article: Un objectif peut être exprimé de différentes manières: par exemple, par un résultat escompté,
un besoin, un critère opérationnel, en tant qu’objectif de système de management ou par l’utilisation d’autres
termes ayant la même signification (par exemple, finalité, but, cible).
3.1.3
incertitude
état, même partiel, de manque d’informations qui entrave la compréhension ou la connaissance
Note 1 à l'article: Dans certains cas, l’incertitude peut être liée au contexte de l’organisme (3.3.7) ainsi qu’à ses
objectifs (3.1.2).
1
© ISO 2021 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO/FDIS 31073:2021(F)
Note 2 à l'article: L’incertitude est la source profonde du risque (3.1.1), à savoir tout «manque d’informations»
influençant les objectifs (ces derniers influençant, à leur tour, tous les besoins et toutes les attentes des parties
intéressées [3.3.2]).
3.2 Termes relatifs au management du risque
3.2.1
management du risque
activités coordonnées dans le but de diriger et piloter un organisme (3.3.7) vis-à-vis du risque (3.1.1)
3.2.2
politique de management du risque
déclaration des intentions et des orientations générales d’un organisme (3.3.7) en relation avec le
management du risque (3.2.1)
[SOURCE: Guide ISO 73:2009, 2.1.2]
3.2.3
plan de management du risque
programme inclus dans le cadre organisationnel de management du risque, spécifiant l’approche, les
composantes du management et les ressources auxquelles doit avoir recours le management du risque
(3.1.1)
Note 1 à l'article: Les composantes du management incluent, par exemple, les procédures, les pratiques,
l’attribution des responsabilités, le déroulement chronologique des activités.
Note 2 à l'article: Le plan de management du risque peut être appliqué à un produit, un processus, un projet
particulier, à une partie de l’organisme ou à l’organisme (3.3.7) tout entier.
[SOURCE: Guide ISO 73:2009, 2.1.3]
3.3 Termes relatifs au processus de management du risque
3.3.1
processus de management du risque
application systématique de politiques, procédures et pratiques de management aux activités de
communication, de concertation, d’établissement du contexte, ainsi qu’aux activités d’identification,
d’analyse, d’évaluation, de traitement, de surveillance (3.3.40) et de revue des risques (3.1.1)
[SOURCE: Guide ISO 73:2009, 3.1]
3.3.2
partie intéressée
partie prenante
personne ou organisme (3.3.7) susceptible d’affecter, d’être affecté ou de se sentir affecté par une
décision ou une activité
3.3.3
perception du risque
point de vue d’une partie intéressée (3.3.2) concernant les risques (3.1.1)
Note 1 à l'article: La perception du risque reflète les besoins, les questions, les connaissances, les convictions et
les valeurs de la partie intéressée.
Note 2 à l'article: [SOURCE: Guide ISO 73:2009, 3.2.1.2, modifié — «partie intéressée» remplace «partie prenante»
et «les risques» remplace «un risque» dans la définition.]
3.3.4
contexte externe
environnement externe dans lequel l’organisme (3.3.7) cherche à atteindre ses objectifs (3.1.2)
Note 1 à l'article: Le contexte externe peut inclure:
2
© ISO 2021 – Tous droits réservés
---------------------- Page: 7 ----------------------
ISO/FDIS 31073:2021(F)
— l’environnement culturel, social, politique, légal, réglementaire, financier, technologique, économique,
naturel et concurrentiel, au niveau international, national, régional ou local;
— les facteurs et tendances ayant un impact déterminant sur les objectifs de l’organisme, et
— les relations avec les parties intéressées (3.3.2) externes, leurs perceptions et leurs valeurs.
[SOURCE: Guide ISO 73:2009, 3.3.1.1, modifié —« parties intéressées » remplace «parties prenantes».]
3.3.5
contexte interne
environnement interne dans lequel l’organisme (3.3.7) cherche à atteindre ses objectifs (3.1.2)
Note 1 à l'article: Le contexte interne peut inclure:
— la gouvernance, l’organisation, les rôles et responsabilités;
— les politiques, les objectifs et les stratégies mises en place pour atteindre ces derniers;
— les capacités, en termes de ressources et de connaissances (par exemple, capital, temps, personnels, processus,
systèmes et technologies);
— les systèmes d’information, les flux d’information et les processus de prise de décision (à la fois formels et
informels);
— les relations avec les parties intéressées (3.3.2) internes, leurs perceptions et leurs valeurs;
— la culture de l’organisme;
— les normes, lignes directrices et modèles adoptés par l’organisme, et
— la forme et l’étendue des relations contractuelles.
[SOURCE: Guide ISO 73:2009, 3.3.1.2, modifié —« parties intéressées » remplace «parties prenantes».]
3.3.6
critères de risque
termes de référence vis-à-vis desquels l’importance des risques (3.1.1) est évaluée
Note 1 à l'article: Les critères de risque sont fondés sur les objectifs (3.1.2) de l’organisme ainsi que sur le contexte
externe (3.3.4) et interne (3.3.5).
Note 2 à l'article: Les critères de risque peuvent être issus de normes, de lois, de politiques et d’autres exigences.
[SOURCE: Guide ISO 73:2009, 3.3.1.3, modifié — «
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.