Gestion des risques ISO 31000 : guide pratique
Conseil independant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y Leon) pour toute l'Espagne.
Conseil indépendant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y León) pour toute l'Espagne.
ISO 31000:2018 est le standard international de gestion des risques. Il definit principes, cadre et processus (identifier, analyser, évaluer, traiter).
ISO 31000:2018 est le standard international de gestion des risques. Define principes, cadre et processus (identifier, analyser, évaluer, traiter).
Toutes les normes ISO de systèmes de management exigent un approche basado en risques. ISO 31000 fournit le cadre général pour gérer cualquier tipo de risque en cualquier organisation, independientemente de sont tamano ou sector. Ce n'est pas une norme certifiable, mais est la referencia que alimenta la gestion des risques de ISO 9001, 14001, 45001 et 27001. Entenderla et aplicarla vous permet respecter les exigences de toutes ces normes avec un seulement processus coherente. Dans ce guide je vous emmene étape par étape avec un cas réel et outils concretes.
consultez notre guide connexe Pour la gestion des risques especifica de sécurité de l'information, consulta mon guide de analyse de risques avec MAGERIT.
- Le cadre de ISO 31000:2018
- Le processus de gestion des risques étape par étape
- Cas real: une PME industrial de 45 salariés
- Intégration avec les normes ISO
Le cadre de ISO 31000:2018
ISO 31000 definit la gestion des risques comme "le efecto de la incertidumbre sur les objectifs". Un risque n'est pas seulement une menace: egalement peut être une opportunité. Le cadre se structure en trois composants:
- Principes: par que gérer risques.
- Cadre de referencia: comme intégrer la gestion des risques en la organisation.
- Processus: que pasos continuer.
Le processus de gestion des risques étape par étape
1. Establecer le contexte
Define le périmètre et les criterios de risque avant commencer. Les criterios incluent que niveaux de risque sont aceptables pour tu organisation (apetito au risque), que escala de valoracion vas a utilizar (cualitativa ou cuantitativa) et que factores de risque vas a considerar (financieros, opérationnels, legales, reputacionales, technologiques, de sécurité).
2. Identification de risques
Identifie tous les risques que peuvent afectar au logro de les objectifs de tu organisation. Les tecnicas plus pratiques pour PME sont:
- Brainstorming estructurado avec le equipe directivo.
- Analyse PESTEL pour risques externes.
- Revue de incidents et problèmes pasados.
- Entrevistas avec responsables de processus.
- Analyse de la cadena de valeur: ou peut echouer chaque eslabon.
Organiza les risques par catégories: stratégiques, opérationnels, financieros, legales et regulatorios, technologiques, de personnes, ambientales et reputacionales.
3. Analyse de risques
Pour chaque risque identifie, évalué sont probabilité de materializacion (descend, media, elevee) et sont impact si se materializa (leve, moderado, grave, catastrofico). Le produit de les deux da le niveau de risque.
La matrice de risques (probabilité en un eje, impact en le autre) est la outil de visualizacion plus pratique. Les risques en la zona roja (elevee probabilité, eleve impact) requieren action inmediata. Les de la zona amarilla requieren vigilancia et planes de contingencia. Les de la zona verde se acceptent et monitorizan.
Exemple de matrice 5×5 pour PME
| Impact / Probabilité | Trois descend (1) | Descend (2) | Media (3) | Elevee (4) | Trois elevee (5) |
|---|---|---|---|---|---|
| Catastrofico (5) | 5 (amarillo) | 10 (rojo) | 15 (rojo) | 20 (rojo) | 25 (rojo) |
| Grave (4) | 4 (verde) | 8 (amarillo) | 12 (rojo) | 16 (rojo) | 20 (rojo) |
| Moderado (3) | 3 (verde) | 6 (amarillo) | 9 (amarillo) | 12 (rojo) | 15 (rojo) |
| Leve (2) | 2 (verde) | 4 (verde) | 6 (amarillo) | 8 (amarillo) | 10 (rojo) |
| Insignificante (1) | 1 (verde) | 2 (verde) | 3 (verde) | 4 (verde) | 5 (amarillo) |
4. Traitement de risques
Pour chaque risque que requiere action, selecciona une de les quatre opciones de traitement:
- Evitar le risque: eliminer la actividad que le genera.
- Mitigar: reduire la probabilité ou le impact avec contrôles et mesures.
- Transferir: pasar le risque a un tiers (seguros, subcontratacion, clauses contractuales).
- Aceptar: asumir le risque conscientemente lorsque le coût de tratarlo supera le benefice.
5. Registre et suivi
Manten un registre de risques actualizado avec chaque risque identifie, sont valoracion, le traitement seleccionado, le responsable, le état de les actions et la date de derniere revue. Revisa le registre au moins semestralmente et toujours que se produzcan cambios significativos en le contexte.
Cas real: une PME industrial de 45 salariés
Un fabricante de composants pour automocion (45 salariés, deux plantas en Castille-et-Leon) implanto sont premier registre estructurado de risques siguiendo ISO 31000 en preparacion de la intégration avec ISO 9001 et ISO 14001.
Resultats de la premiere iteracion:
- 47 risques identifies, agrupados en 8 catégories.
- 6 risques en zona roja (3 financieros vinculados a un client avec 35% du volumen, 2 opérationnels par dependencia de un unico fournisseur de materia prima critique, 1 cybersécurité par servidor sans replica).
- 19 risques en zona amarilla, 22 en zona verde.
Actions tomadas en les primeros 12 mois:
- Homologacion de un second fournisseur pour materia prima critique.
- Implantation de replica en cloud du servidor productivo.
- Contratacion de seguro de ciberriesgo et seguro de impago.
Investissement total traitement: 28.000 € premier an. Risque financiero residual estimado: 60% inferior au inicial. Le registre se integro posteriormente avec le analyse de risques de qualité et moyen ambiente au se certifier en ISO 9001 + 14001.
Intégration avec les normes ISO
La gestion des risques selon ISO 31000 satisface directement les exigences de la clause 6.1 de ISO 9001, 14001 et 45001 (actions pour abordar risques et opportunités) et est la base du analyse de risques exigido par ISO 27001 et le ENS.
Un seulement processus de gestion des risques avec diferentes perspectivas (qualité, moyen ambiente, sécurité laboral, sécurité de l'information) est plus efficient et coherente que processus separados pour chaque norme.
consultez notre guide connexe Consulta mon article sur système de management intégré pour comprendre comme unificar la gestion des risques de multiples normes.
Mini-glosario
- Risque: efecto de la incertidumbre sur les objectifs (ISO 31000).
- Apetito au risque: niveau de risque que la organisation est dispuesta a asumir.
- Tolerancia au risque: variacion aceptable respecto au apetito au risque.
- Risque residual: risque que queda après appliquer les traitements.
- Owner du risque: personne avec responsabilité et autorite pour gérer un risque.
- KRI (Key Risk Indicator): indicateur essentiel que monitoriza la evolucion de un risque.
- Risque inherente: risque sans avoir en cuenta les contrôles existentes.
Questions fréquentes
Cuantos risques doit identifier une PME?
Non il et a un numéro correcto. Lo razonable pour une premiere iteracion est entre 30 et 80 risques identifies, organizados par catégories. Lo importante n'est pas le numéro, mais que la lista soit exhaustiva en les catégories essentiel (non puedes avoir identifie 60 risques opérationnels et ninguno financiero ou legal).
Analyse cualitativo ou cuantitativo?
Pour PME sans equipe de risk management, le analyse cualitativo (matrice 5×5 avec etiquetas) est parfaitement valido et beaucoup plus rapide. Le analyse cuantitativo (probabilites porcentuales, impact monetario, esperanza matematica de perte) a sentido pour risques financieros trois especificos ou lorsque le regulador le exige (banca, seguros, sectores regulados).
Qui doit être dueno de chaque risque?
Le responsable funcional du processus ou le risque se materializa. Risque de impago de un client: direction financiera. Risque de fuga de information: direction de IT/sécurité. Risque de accidente laboral: direction de opérations. La regla: le dueno a autorite real pour mettre en oeuvre le traitement.
Chaque combien examiner le registre?
Minimum semestralmente pour la revue global, et de inmediato lorsque se produce un cambio relevante (nouveau client que pasa a être dominante, cambio regulatorio, incident que materializa un risque, lanzamiento de un nouveau produit/service). Anualmente conviene une revue exhaustiva avec la direction générale pour realinear avec le plan stratégique.
ISO 31000 est certifiable?
Non. ISO 31000 est une norme de directives, non certifiable. Ce que si se certifica est ISO 9001, 14001, 45001, 27001 ou ENS, toutes les lesquels incluent exigences de gestion des risques que se respectent aplicando ISO 31000. La certification se obtiene en la norme "madre", non en ISO 31000.
Comment gestiono les opportunités, non seulement les menaces?
Applique le meme processus a les opportunités: identifie posibles eventos positivos (entree en marché nouveau, adopcion de technologie, alianza, regulacion favorable), valora probabilité et impact, et decide traitement (potenciar, explorar, vigilar). Une entreprise que seulement géré menaces se queda corta: les opportunités non gestionadas sont aussi caras comme les menaces non controladas.
Checklist: 10 pasos pour implanter gestion des risques ISO 31000
- Define le périmètre: toute la entreprise ou un domaine concrete pour commencer?
- Acuerda criterios de probabilité et impact avec la direction.
- Disena la matrice de risques (cualitativa 5×5 pour commencer).
- Convoca taller de 4 heures avec le comite de direction pour identifier risques.
- Complementa avec entrevistas avec mandos intermedios essentiel.
- Valora chaque risque en probabilité et impact.
- Asigna dueno a chaque risque en zona amarilla et roja.
- Define traitement pour chaque risque (evitar, mitigar, transferir, accepter).
- Plasma tout en un registre unico (Excel sencillo ou modulo de tu ERP).
- Programa la revue semestral en la agenda du comite.
Necesitas implanter un processus de gestion des risques que cumpla avec toutes tus normes ISO? Hablamos et disenamos un analyse de risques integral adaptado a tu organisation.
Auteur : Angel Ortega Castro · consultant independant en stratégie, qualité et numerisation pour PME. Lie: Non Conformidades et Actions Correctivas ISO.
Besoin d'aide sur ce sujet?
Trabaja conmigo en Implantation et certification ISO
Conseil a mesure en implantation et certification ISO. Premiere session sans frais.
Reserver une session →Foire aux questions
Comment cela s'applique a ma PME ?
Cela s'applique si vous traitez des clients ou des données espagnols; le cadre est obligatoire au-dela de seuils que nous resumons dans le tableau.
Quel est le coût en 2026 ?
Fourchettes indicatives pour les PME de 10-50 salariés : 2 500-12 000 EUR pour la documentation + honoraires d'audit AENOR / BV / SGS / LRQA.
Quelle réglementation espagnole s'applique ?
BOE reference RD 311/2022 (ENS), Reglement UE 2016/679 (RGPD), LOPDGDD, NIS2, DORA et le reglement IA 2024/1689 selon le périmètre.
Combien de temps prend la mise en oeuvre ?
En moyenne 4-7 mois pour une seule norme ISO. Un SGI intégré (9001+14001+27001) prend habituellement 8-12 mois.
Peut-on cofinancer via Kit Digital ou Kit Consulting ?
Oui, Kit Consulting 2026 couvre jusqu'à 24 000 EUR d'heures-conseil; Kit Digital couvre les outils (CRM, ERP, cybersécurité) jusqu'à 29 000 EUR.
El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro