Principes

ISO 31000 présente les principes suivants :

• Intégration à toutes les activités de l’organisme.
• Approche globale et adaptée à l’entité.
• Prise en compte de toutes les parties prenantes.
• Evolution de la posture en fonction des changements et des évolutions.
• Qualité des informations sur lesquelles les analyses sont fondées.
• Prise en compte du facteur humain.
• Amélioration continue.

Cadre organisationnel

Le référentiel recommande un cadre organisationnel mis en valeur par les caractéristiques suivantes :

• Engagement de la Direction.
• Intégration à tous les départements.
• Connaissance fine des processus métiers et supports ainsi que de la chaine de sous-traitance.
• Définition des rôles et responsabilités.
• Gestion et affectation des ressources (humaines, système d’information, documentation).
• Communication assurant la circulation fluide de l’information.
• Planning précis de mise en œuvre des actions et des ressources.
• Mesure régulière des performances des analyses.
• Recherche d’amélioration continue.

Processus de gestion du risque

L’approche retenue dans ISO 31000 est classique mais prend en compte le volet des opportunités d’un risque.

• Définition du domaine d’application : contexte externe et interne et critères.
• Identification (sources, causes, menaces et opportunités, vulnérabilités et capacités, risques émergents, biais éventuels …), analyse (plus ou moins détaillée en fonction des objectifs afin de comprendre la nature du risque, la vraisemblance des événements et l’efficacité des moyens de maitrise existants) et évaluation (pouvant entrainer des décisions comme le réexamen des objectifs) du risque :
• Traitement du risque (refus, prise ou augmentation pour saisir une opportunité, élimination de la source, modification de la vraisemblance ou des conséquences).
• Présentation des résultats.
• Communication.
• Revue.

Source : ISO 31000

Le document ISO 31010 aborde les techniques d’évaluation des risques.