ISO 31022:2020
(Main)Risk management — Guidelines for the management of legal risk
Risk management — Guidelines for the management of legal risk
This document gives guidelines for managing the specific challenges of legal risk faced by organizations, as a complementary document to ISO 31000. The application of these guidelines can be customized to any organization and its context. This document provides a common approach to the management of legal risk and is not industry or sector specific.
Management du risque — Lignes directrices relatives au management du risque juridique
Le présent document fournit des lignes directrices pour la gestion des défis spécifiques liés au risque juridique auxquels sont confrontés les organismes, à titre de document complémentaire à l'ISO 31000. L'application de ces lignes directrices peut être adaptée à n'importe quel organisme et à son contexte. Le présent document fournit une approche générique du management du risque juridique et n'est pas propre à une industrie ou à un secteur.
General Information
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 31022
First edition
2020-05
Risk management — Guidelines for
the management of legal risk
Management du risque — Lignes directrices relatives au management
du risque juridique
Reference number
©
ISO 2020
© ISO 2020
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2020 – All rights reserved
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Principles . 2
5 Legal risk management process . 4
5.1 General . 4
5.2 Establishing the relevant context and criteria . 5
5.2.1 General. 5
5.2.2 External context of legal risk . 5
5.2.3 Internal context of legal risk . 5
5.2.4 Defining the legal risk criteria . 6
5.3 Assessment of legal risk . 7
5.3.1 General. 7
5.3.2 Identification of legal risk . 7
5.3.3 Analysis of legal risk .10
5.3.4 Evaluation of legal risk .11
5.4 Treatment of legal risk .11
5.4.1 General.11
5.4.2 Choosing options for the treatment of legal risk .11
5.4.3 Evaluation of the current practices for the treatment of legal risk .12
5.4.4 Development and implementation of the risk treatment plan .12
5.5 Communication (internal and external), consultation and reporting mechanisms
for the management of legal risk .13
5.5.1 General.13
5.5.2 Communication, consultation and learning .13
5.5.3 Monitoring and review .14
5.5.4 Recording and reporting .14
6 Implementation of the management of legal risk.15
6.1 General .15
6.2 Policy for the management of legal risk .15
6.3 Roles and functions for the management of legal risk .15
6.4 Integrating the management of legal risk .16
6.5 Resource allocation for the management of legal risk .16
6.6 Awareness of legal risk .16
Annex A (informative) An example of a legal risk identification method — Legal risk
identification matrix (LRIM) .17
Annex B (informative) An example of a legal risk register .19
Annex C (informative) An example for estimating the likelihood of events related to legal risk .21
Annex D (informative) An example for estimating the consequences of events related to
legal risk .23
Annex E (informative) Key clauses to consider when reviewing contracts .25
Bibliography .31
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso .org/
iso/ foreword .html.
This document was prepared by Technical Committee ISO/TC 262, Risk management.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/ members .html.
iv © ISO 2020 – All rights reserved
Introduction
Organizations operate in a complex environment with a variety of legal risks. Not only are organizations
required to comply with the laws of all the countries within which they operate, legal and regulatory
requirements can vary between different countries, strengthening the need for organizations to
understand and have confidence in their processes. Organizations need to keep pace with legal
and regulatory environment changes and review their needs as new activities and operations are
developed. Organizations face considerable uncertainty when making decisions and taking actions that
can have significant legal consequences. The management of legal risk helps organizations to protect
and increase value.
This document provides guidance on activities that support organizations to manage legal risk
efficiently and cost effectively to meet the expectations of a wide range of stakeholders. By developing an
improved understanding of the external and internal legal context, organizations may be able to develop
new opportunities or improve operational performance. However, failure to meet the requirements and
expectations of stakeholders can have considerable and immediate negative consequences that could
affect an organization’s performance and reputation and might lead to criminal prosecution of top
management.
ISO 31000 provides a generic framework for the management of all types of risks, including legal
risk. This document is aligned with ISO 31000 and provides more specific guidelines applicable to the
management of legal risk. The purpose of this document is to develop an improved understanding of
the management of legal risk faced by an organization applying the principles of ISO 31000. These
guidelines are intended to help organizations and their top management to:
— achieve the strategic outcomes and objectives of the organization;
— encourage a more systematic and consistent approach to the management of legal risk, and to
identify and analyse a comprehensive range of issues so that legal risks are proactively treated with
the appropriate resources and supported by top management and by the right level of expertise;
— better understand and assess the extent and consequence of legal issues and risk, and to exercise
proper due diligence;
— identify, analyse and evaluate legal risks, and to provide a systematic way to make informed
decisions;
— enhance and encourage the identification of opportunities for continual improvement.
It should be noted that legal risk within this document is broadly defined and is not limited to,
for example, risk related to compliance or contractual matters. It includes these, but legal risk is
deliberately defined to also include risks from or to third parties where there is not necessarily a
contractual relationship with such third parties but where there is a possibility of litigation or other
action depending on the third parties’ contractual obligations with their stakeholders.
This document:
— provides guidance for the management of legal risk so it aligns with compliance activities and
provides the assurance needed to meet the obligations and objectives of the organization;
— can be used by organizations of all types and sizes to deliver a more structured and consistent
approach to the management of legal risk for the benefit of the organization and its stakeholders
across all processes;
— offers an integrated management approach to the identification, anticipation and management of
legal risk;
— supports and complements existing approaches, enhancing them by providing better information
and insight on potential issues that the organization could face;
— supports any process of compliance that organizations could have in place, such as a compliance or
other management system;
— supports the compliance function by more broadly identifying the organization’s legal and contract
rights and obligations.
It is intended that organizations using this document will benefit from improved commercial and
operational results, such as an enhanced reputation, better staff retention, improved stakeholder
relationships and greater synergies between resources and capabilities.
While this document is intended for use as part of the ISO 31000 framework, it should be noted that the
ISO 31000 framework may be used either on a standalone basis or with other management systems.
This document is not intended to:
— be a substitute for risk owners seeking expert legal advice (external or internal);
— apply to the process of law making or lobbying for new laws or changes to existing laws.
All references to the word “include” and “including” in this document should be interpreted as meaning
the wording “including, without limitation”.
vi © ISO 2020 – All rights reserved
INTERNATIONAL STANDARD ISO 31022:2020(E)
Risk management — Guidelines for the management of
legal risk
1 Scope
This document gives guidelines for managing the specific challenges of legal risk faced by organizations,
as a complementary document to ISO 31000. The application of these guidelines can be customized to
any organization and its context.
This document provides a common approach to the management of legal risk and is not industry or
sector specific.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 31000, Risk management — Guidelines
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 31000 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at http:// www .electropedia .org/
3.1
risk
effect of uncertainty on objectives
Note 1 to entry: An effect is a deviation from the expected. It can be positive, negative or both, and can address,
create or result in opportunities and threats.
Note 2 to entry: Objectives can have different aspects and categories, and can be applied at different levels.
[SOURCE: ISO 31000:2018, 3.1, modified — Note 3 to entry has been deleted.]
3.2
legal risk
risk (3.1) related to legal, regulatory and contractual matters, and from non-contractual rights and
obligations
Note 1 to entry: Legal matters can have their origin in political decisions, national or international law (3.3),
including statute law, case law or common law, administrative acts, regulatory orders, codified law, judgments
and awards, procedural rules, memoranda of understanding or contracts.
Note 2 to entry: Contractual matters relate to situations where an organization (3.4) fails to meet its contractual
obligations or to enforce its contractual rights, or enters into contracts with terms and conditions that are
onerous, inadequate, unfair and/or unenforceable.
Note 3 to entry: Risk from non-contractual rights is the risk that an organization fails to assert its non-contractual
rights. For example, the failure of an organization to enforce its intellectual property rights, such as its rights
related to copyright, trademarks, patents, trade secrets and confidential information against a third party.
Note 4 to entry: Risk from non-contractual obligations is the risk that an organization’s behaviour and decision-
making can result in illegal behaviour or a failure in non-legislative duty-of-care (or civil duty) to third parties.
For example, an organization’s infringement of third-party intellectual property rights, failure to meet the
requisite standards of care due to customers (such as mis-selling), or inappropriate use or management of social
media resulting in a third-party claim of defamation or libel and tortious duty generally.
3.3
law
system of rules, principles and practices, which a region, country or community recognizes as regulating
the actions of organizations (3.4)
Note 1 to entry: Laws may include any:
— statute, regulation, codified law, by-law, ordinance or subordinate legislation;
— common or case law;
— binding court order, judgment or decree;
— applicable industry code or policy enforceable by law.
3.4
organization
person or group of people that has its own functions with responsibilities, authorities and relationships
to achieve its objectives
Note 1 to entry: The concept of organization includes sole-trader, company, corporation, firm, enterprise,
authority, partnership, charity or institution, or part or combination thereof, whether incorporated or not, public
or private.
[SOURCE: ISO 19600:2014, 3.2.1, modified — Note 1 to entry has been modified.]
4 Principles
The effective management of legal risk requires the values and principles introduced in ISO 31000, as
shown in Figure 1.
Figure 1 — Principles
2 © ISO 2020 – All rights reserved
These eight elements are described below in a) to h) in the context of the management of legal risk. In
addition, for the management of legal risk, the principle of “equity”, see i), should also be considered.
a) Integrated: The management of legal risk is integral to the overall governance and management of
the organization. The activities of the legal risk management process should be embedded into the
strategic planning, business decision-making and management processes of the organization. For
the integration of the management of legal risk into organizational processes and activities, proper
roles and responsibilities should be established within the organization. The management of legal
risk should be integrated with other management systems, such as compliance, safety, quality and
with internal controls. While assessing legal risks and considering treatment options, legal subject
matter experts should be consulted together with other experts or specialists.
b) Structured and comprehensive: While following the generic risk management process, it is
important to assess the organization’s legal risks within an appropriate context so that a
comprehensive and consistent approach to the management of legal risk can be adopted.
c) Customized: The management of legal risk in an organization should be customized to reflect
the differences of its external context, including the legal and regulatory environment and sector
characteristics, as well as its internal context, including the nature of the legal entity, organizational
objectives and values.
The organization should have a detailed understanding of the applicability, impact and
consequences of failure to comply with relevant laws, and processes to ensure that applicable new
or updated laws are adequately identified, assessed for impact and interpreted.
The organization should minimize the complexity and cost of legal proceedings. It should attempt
to minimize and manage the negative consequences of legal risk. The organization can actively
seek opportunities to avoid disputes or litigation by taking action to treat legal risks before an
adverse event occurs, or is likely to occur, or attempt to reach settlement in a way that balances
costs, commercial objectives, reputation and time invested by the organization.
d) Inclusive: By involving all stakeholders in the management of legal risk, an organization can mitigate
adverse events, including regulatory enforcement. The organization should take care to ensure
legal privilege (or its equivalent form of protection in the relevant jurisdiction) is maintained as far
as practicable and confidentiality is maintained, but in both instances such protections need to be
assessed against the benefits of inclusiveness.
e) Dynamic: An organization should monitor and adapt to changes in laws, public policy and the
context within which it operates, and establish appropriate early warning indicators.
f) Best available information: For the effective management of legal risk, in addition to the experience
of in-house legal counsel, if it exists, business intelligence, business analytics, legal databases and
systems (including case management), electronic file management tools and services should be used.
If necessary, know-how provided by external law firms, service providers or advisors can be used.
g) Human and cultural factors: Given that stakeholders can have different knowledge, expectations
and views regarding legal risk and, given that such views could be emotionally, socially, culturally
and politically constructed and perceived, the organization should develop formal and informal
mechanisms to help ensure that human and cultural factors do not adversely result in legal risks.
The organization should also seek to encourage the realization, benefits and opportunities of the
management of such risks. Every member in the organization should be aware of how each action
or non-action affects legal risk.
h) Continual improvement: An organization should take into consideration, and act on lessons learned,
post transaction reviews, best practices, professional advice from internal and external counsel,
and internal audit, and consider applicable changes in law.
i) Equity: For decision-makers, establishing the principles of equity guides the management of legal
risk and includes managing conflicts of interest and provides an unbiased, independent voice in
decisions and support due diligence and fairness for the best interests of an organization.
NOTE There is no one common agreed definition of equity, rather, “equity” incorporates different ideas
and concepts, including justice, fairness and equality.
5 Legal risk management process
5.1 General
The management of legal risk is iterative and should be integrated in all activities and operations of the
organization. The risk management process as applied to the management of legal risk is described in
5.2 to 5.5 and is illustrated in Figure 2. This diagram complements ISO 31000:2018, Figure 4.
Figure 2 — Process for the management of legal risk
Monitoring and reviewing, reporting, communication and consultation should be ongoing throughout the
entire process of the management of legal risk across the organization. Further details are given in 5.5.
4 © ISO 2020 – All rights reserved
5.2 Establishing the relevant context and criteria
5.2.1 General
In addition to ISO 31000:2018, 6.3, the organization should consider the external and internal context
given in 5.2.2 and 5.2.3, respectively.
5.2.2 External context of legal risk
The external context of legal risk refers to factors that are outside the organization but related to the
management of legal risk. It includes:
— relevant local and international laws and changes in relevant local and international laws;
— trade unions and employer organizations;
— external service providers and advisors supporting the management of legal risk, such as law firms,
external auditors, and service providers of information management and analytics;
— external stakeholders, such as businesses, civil society organizations, regulatory bodies, local
governments, the public, communities of interest, press and media, and special interest groups, and
their expectations regarding the management of legal risk;
— any acts or omissions of third parties, such as fraudulent and deceitful conduct by such third parties;
— applicable international agreements and memoranda of understanding;
— applicable market conditions related to the organization;
— third-party actions or claims;
— laws of the countries where the products/services provided are delivered or supplied.
When examining and understanding the external context of legal risk for organizations operating in
multiple jurisdictions, the environmental and cultural differences among different jurisdictions should
be considered. The extraterritorial application of national laws, which jurisdiction’s law applies in a
certain situation (i.e. conflict of laws and the mutual recognition of laws) and the identification of the
applicable jurisdiction may also require consideration.
5.2.3 Internal context of legal risk
The internal context of legal risk is substantially in the control of, or subject to the authority of, an
organization through its governing and management systems. It includes:
— the nature of the legal entity;
— the financial health of the organization and its business model;
— the internal legal structure of the organization and its governing processes and functions;
— the governance of the organization and its value structures for promoting integrity, such as a code
of conduct and other compliance guidelines;
— the current state of the organization’s legal matters and its approach to the management of legal risk;
— awareness campaigns on the orientation and continual improvement of performance in matters
of legal risk for stakeholders, and systems and arrangements to improve stakeholder behaviour
concerning laws and to deter fraudulent and deceitful conduct, such as compliance management
systems;
— past experiences and the history of legal disputes or events triggered by legal risk in the organization;
— assets that the organization owns, such as intellectual property and other legal rights for tangible
and intangible assets used for processes and activities;
— the effect of rights and obligations under contracts;
— the obligations arising from a duty of care;
— the cross-triggering effects of indemnities, warranties and non-reliance clauses in contracts;
— liabilities arising from labour, environmental, tax and other issues from mergers, acquisitions and
disposals;
— the internal policy regarding the management of legal risk;
— other information and resources related to legal risk and its management.
5.2.4 Defining the legal risk criteria
In addition to ISO 31000:2018, 6.3.4, the organization should consider the following.
Legal risk criteria:
— as a term, is a subset of organizational risk criteria;
— are measures that are identified and defined to evaluate a significant and acceptable level of a legal
risk or a group of legal risks;
— should reflect the objectives, values, resources, preferences and tolerance of overall risk management
in relation to legal risk;
— should be reviewed on a regular basis and at the beginning of any major project to update the criteria
and process for managing legal risk;
— can arise from, or be derived from, the application of laws or contractual obligations or liabilities;
— are dynamic and, once defined, belong to the function responsible for the management of legal risk;
— should be aligned with the organization’s overall approach to the management of legal risk and/
or policy. An organization should develop and adjust its legal risk criteria according to real-life
situations.
When determining the criteria for legal risk, factors to consider include:
— the organizational objectives and priorities;
— governance, including the hierarchical level of authorities and the allocation of accountabilities,
roles and responsibilities for the management of legal risk in the organization;
— relationships with third parties;
— the scope and objectives of the management of legal risk and the categories of legal risks;
— the principles adopted to determine the level of legal risks;
— the status of policies, protocols, frameworks, processes and methodologies for the management of
legal risk;
— stakeholders’ acceptance of legal risks or tolerance of the risk level;
— the measurements for the classification of risk levels.
The following situations can require the application of legal risk criteria:
— something that the organization is required by law to undertake, follow or approve;
6 © ISO 2020 – All rights reserved
— something related to a policy or contract that the organization is required by law to adopt or a
decision only the organization can legally make;
— something relating to a substantial issue of institutional liability or compliance, including
investigations by governments, allegations of widespread violations of the law, criminal conduct
that could implicate the organization, a major non-compliance, a loss of data that causes data
protection and privacy concerns, whistle-blower complaints, matters resulting in reputational loss
and any other lawsuits;
— laws relating to disclosure of information, incidents, violations and any other situation;
— lawsuits and settlements “not in the normal course of business” where either the amount involved
or the issue presented involves one or more of the other factors listed above.
The definition of the criteria for legal risk is process-driven in requiring that legal risks be characterized
and then measured so that they can be quantified and the appropriate risk treatment applied.
A proportionate response will require agreeing the criteria for legal risk, both at management level and
throughout the entire organization. Unduly narrow legal risk criteria can have the unintended result of
isolating the owners of legal risk from the larger operating risk context. This can create a silo effect that
isolates the management of legal risk from other elements of risk management.
Overly restrictive criteria for legal risk that do not fully integrate with the overall risk criteria adopted
by the organization can have the unintended consequence of offering an unduly narrow approach to
legal risk problems. This could mean that those charged with the legal function become involved only
when a crisis escalates, as opposed to at an early stage when earlier engagement would mitigate the
legal risk and they are in a better position to offer a treatment for the legal risk.
5.3 Assessment of legal risk
5.3.1 General
The assessment of legal risk is the overall process of the identification of legal risk, analysis of legal risk
and evaluation of legal risk.
It is essential to involve a cross-section of relevant individuals from the organization and experts,
including legal counsel (internal and external), with a balance of experience and expertise.
5.3.2 Identification of legal risk
5.3.2.1 Overview
The purpose of identifying legal risk is to find, recognize and describe the legal risks that can help
or prevent an organization to achieve or from achieving its objectives. To have a comprehensive
understanding of legal risk, the organization should identify the sources of legal risk, areas of
consequences, events (including changes in circumstances), their causes and their potential
consequences.
Through legal risk identification, the characteristics of the various legal risks of the organization
should be comprehensively, systematically and accurately described so that the objectives and scope
of the legal risk analysis in the next step can be clarified. The relevant and latest information, such as
applicable background information and facts (e.g. changes in applicable laws or market practice), needs
to be understood when identifying legal risks. In addition to identifying the possible events triggered
by legal risk, the possible causes, consequences and impact should be considered carefully.
Other than identifying actual or potential events triggered by legal risk, relevant legal risks
should be identified, irrespective of whether the sources of such events are under the control of the
organization, or whether their causes are known or not. The organization should select appropriate
legal risk identification tools and techniques applicable to its objectives, resources, capabilities and the
environment.
Several techniques for risk identification, which may be applied to the management of legal risk, can be
found in IEC 31010:2019, Clause 4.
5.3.2.2 Sources of information useful to the identification of legal risk
The organization should systematically identify its legal risks and the implications for its activities,
products, services and reputation. The organization should take these identified legal risks and
implications into account when establishing, developing, implementing, evaluating, maintaining,
revising and improving the management of legal risk.
The organization should document its legal risks in a manner that is appropriate to its size, complexity,
structure and operations.
An organization may identify legal risks related to:
— its organizational objectives and priorities;
— its governance and ethics structures, activities and operations, such as sales, services delivery,
production, marketing, procurement, foreign investment, human resources management, financial
management, organizational structure, reputation management, information and data management,
and information communications technology;
— cyber-attack, social engineering and other cyber threats;
— its interested parties, such as shareholders, regulatory bodies, directors, employees, unions,
business associates (including clients, customers, suppliers, vendors and investors), creditors,
debtors, communities and government;
— the misapplication or misinterpretation of the legal context, non-compliance with laws, breach of
contract, infringement of intellectual property rights, misconduct/intentional wrong-doing and
failure to exercise rights;
— responsibilities and accountabilities for the management of legal risk after their occurrence, which
can include criminal liabilities, administrative responsibilities, civil liabilities, regulatory fines and/
or compensation paid to third parties, etc.;
— the application of specific laws, and also conflict of laws or private international law;
— case law and common law (where applicable).
The organization should develop a process for the identification of legal risk. It may consider the factors
mentioned above. “Legal” in this context does not just refer to the laws of the jurisdiction in which
the parties are domiciled, incorporated, managed or operated. Risks can arise from international
legal obligations, including international and private international law obligations, penalties or other
outcomes.
Some of the sources of information that can be useful to the identification of legal risk are given in the
following examples.
EXAMPLE 1 Information that can be useful includes an understanding of the relevant:
— laws;
— external context of legal risk;
— internal context of legal risk;
— communication and consultations with internal stakeholders, e.g. internal personnel and external
stakeholders;
8 © ISO 2020 – All rights reserved
— existing legal risk criteria;
— legal risk plans;
— record-keeping requirements with respect to legal professional privilege, attorney–client privilege and work
product (or their equivalent concepts and terms under the relevant national law);
— data destruction and retention policies in accordance with data protection laws and regulation.
EXAMPLE 2 Compliance obligations that can be relevant to the identification of legal risk include:
— agreements with community groups or non-governmental organizations;
— agreements with public authorities and customers;
— organizational requirements and business ethics, such as policies, processes and procedures;
— voluntary principles or codes of practice;
— voluntary labelling or environmental commitments;
— any obligations arising under a contract;
— relevant organizational, industry and international standards.
To ensure the legal risks are identified comprehensively, systematically and accurately, the
organization should establish a legal risk identification methodology to meet its management needs.
This methodology is part of the process for the management of legal risk and should provide different
approaches to identifying legal risks, as well as enabling all organizational levels to identify and report
legal risks from a variety of perspectives.
An organization can then decide how to apply this methodology in the legal risk identification process.
The organization should have processes in place to identify new and changed laws and other legal-
risk-related obligations to ensure the ongoing management of legal risk. The organization should have
processes to evaluate the consequence of the identified changes and implement any necessary changes
in the management of legal risk.
EXAMPLE 3 Approaches to obtain information on changes to laws and changes to compliance obligations can
include:
— subscribing to the mailing lists of relevant regulators;
— membership of professional groups;
— subscribing to relevant information services;
— attending industry forums and seminars;
— monitoring the websites of regulators;
— monitor internal and external litigation trends and decisions;
— meeting with regulators;
— seeking advice from legal advisors;
— using law firm publications and their know-how/professional support lawyer teams;
— using independent and objective analysis, insights and advice from internal audits;
— developing and maintaining an internal legal risk knowledge database;
— monitoring the sources of compliance obligations (e.g. regulatory requirements and court decisions).
The organization should build a process for legal risk identification. It may choose one or more of the
approaches mentioned above.
An example of a legal risk identification method is given in Annex A. An example of a legal risk register
is given in Annex B.
Annex E presents and comments on key clauses to consider when reviewing contracts.
5.3.3 Analysis of legal risk
5.3.3.1 General
The analysis of legal risk includes qualitative or quantitative analysis of the identified legal risks. The
outcome of this analysis becomes the input for the evaluation and treatment of the legal risks. The
causes of the events triggered by the legal risks and the synergies arising between them, their likelihood
of occurrence and their consequences should be taken into consideration when analysing legal risk.
For the analysis of the likelihood and consequences of events triggered by legal risk, historical data
simulation, business analytics, artificial intelligence and modelling, as well as expert opinions, can
all be used, individually or in combination, see IEC 31010 for additional information on techniques.
Divergences between experts’ legal advice in relation to the legal risk should also be taken into
consideration.
Legal risks and other risks can arise jointly and transform into each other under certain conditions.
The organization should analyse the correlation between legal risks and other risks to understand
the consequences and relationships between the risk events. The interdependency/correlation among
legal risks and other risks needs to be understood in order to formulate an integrated strategy for the
management of legal risk and other risks.
5.3.3.2 Likelihood of events related to legal risk
The likelihood of events related to legal risk can involve the following factors:
— the range of laws, along with enforcement practices and conventions by the relevant regulatory
authorities;
— the improvement of, and compliance with, the existing framework for the management of legal risk,
including strategies, governance, internal rules and policies;
— employees’ and contractors’ demonstrated compliance with laws, and the rules and policies of the
organization;
— the frequency and number of activities related to legal risk occurring within a certain period;
— failure to record, analyse and learn from previous events;
— benchmarking the frequency and number of activities related to legal risk occurring within a certain
period against other organizations.
Annex C provides further guidance on estimating the likelihood of events related to legal risk.
5.3.3.3 Consequences of events related to legal risk
The consequences of events related to legal risk can involve the following factors:
— the different types of benefits and losses (financial and non-financial) that can be caused by the
events triggered by legal risk;
— adverse media (including social media, as well as traditional media) coverage;
— the amount and scope of benefits and losses (financial and non-financial), and stakeholders’
reactions to such consequences.
Annex D provides further guidance on estimating the consequences of events related to legal risk.
10 © ISO 2020 – All rights reserved
5.3.4 Evaluation of legal risk
Legal risk can be evaluated by comparing the results of various risk analyses with its risk criteria and
then prioritizing those legal risks. This evaluation should help decision-makers to consider various
legal risk treatment options. When possible
...
NORME ISO
INTERNATIONALE 31022
Première édition
2020-05
Management du risque — Lignes
directrices relatives au management
du risque juridique
Risk management — Guidelines for the management of legal risk
Numéro de référence
©
ISO 2020
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2020
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2020 – Tous droits réservés
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Principes . 2
5 Processus de management du risque juridique . 4
5.1 Généralités . 4
5.2 Établissement du contexte à considérer et des critères . 5
5.2.1 Généralités . 5
5.2.2 Contexte externe du risque juridique . 5
5.2.3 Contexte interne du risque juridique . 6
5.2.4 Définition des critères du risque juridique . 7
5.3 Appréciation du risque juridique . 8
5.3.1 Généralités . 8
5.3.2 Identification du risque juridique . 8
5.3.3 Analyse du risque juridique .11
5.3.4 Évaluation du risque juridique .12
5.4 Traitement du risque juridique .12
5.4.1 Généralités .12
5.4.2 Choix des options pour le traitement du risque juridique .12
5.4.3 Évaluation des pratiques actuelles pour le traitement du risque juridique .13
5.4.4 Élaboration et mise en œuvre du plan de traitement du risque .14
5.5 Mécanismes de communication (interne et externe), de consultation et
d’élaboration de rapports pour le management du risque juridique .15
5.5.1 Généralités .15
5.5.2 Communication, consultation et apprentissage .15
5.5.3 Suivi et revue .16
5.5.4 Enregistrement et élaboration de rapports .16
6 Mise en œuvre du management du risque juridique .16
6.1 Généralités .16
6.2 Politique de management du risque juridique .17
6.3 Rôles et fonctions pour le management du risque juridique .17
6.4 Intégration du management du risque juridique .18
6.5 Affectation des ressources pour le management du risque juridique .18
6.6 Sensibilisation au risque juridique .18
Annexe A (informative) Exemple de méthode d’identification du risque juridique —
Matrice d’identification du risque juridique (MIRJ) .19
Annexe B (informative) Exemple de registre des risques juridiques .21
Annexe C (informative) Exemple pour l’estimation de la vraisemblance des événements liés
au risque juridique .23
Annexe D (informative) Exemple d’estimation des conséquences des événements liés au
risque juridique.25
Annexe E (informative) Principales clauses à prendre en considération lors de l’examen
des contrats .27
Bibliographie .34
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www .iso .org/ avant -propos.
Le présent document a été élaboré par le comité technique ISO/TC 262, Management du risque.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/ fr/ members .html.
iv © ISO 2020 – Tous droits réservés
Introduction
Les organismes évoluent dans un environnement complexe comportant divers risques juridiques. Non
seulement les organismes sont tenus de respecter le droit en vigueur dans tous les pays où ils exercent
leurs activités, mais les exigences juridiques et réglementaires peuvent varier d’un pays à l’autre, ce
qui renforce la nécessité, pour ces organismes, de comprendre et de faire confiance à leurs processus.
Les organismes doivent suivre le rythme de l’évolution de l’environnement juridique et réglementaire,
et revoir leurs besoins au fur et à mesure que de nouvelles activités et opérations se développent. Les
organismes font face à une incertitude considérable lorsqu’ils prennent des décisions et des mesures
qui peuvent avoir des conséquences juridiques importantes. Le management du risque juridique aide
les organismes à protéger et à accroître la valeur.
Le présent document fournit des recommandations relatives aux activités qui aident les organismes
à gérer le risque juridique de façon efficace et rentable afin de répondre aux attentes d’un large
éventail de parties prenantes. En encourageant une meilleure compréhension du contexte juridique
interne et externe, les organismes peuvent être en mesure de développer de nouvelles opportunités
ou d’améliorer leur performance opérationnelle. Cependant, le fait de ne pas répondre aux exigences et
aux attentes des parties prenantes peut avoir des conséquences négatives considérables et immédiates
qui pourraient affecter la performance et la réputation d’un organisme, et entraîner des poursuites
judiciaires à l’encontre de la direction.
L’ISO 31000 fournit un cadre générique pour le management de tous les types de risques, y compris
le risque juridique. Le présent document est aligné sur l’ISO 31000 et fournit des lignes directrices
plus spécifiques applicables au management du risque juridique. Le présent document a pour but de
permettre une meilleure compréhension du management du risque juridique auquel est confronté un
organisme qui applique les principes de l’ISO 31000. Ces lignes directrices visent à aider les organismes
et la direction à:
— atteindre les résultats et les objectifs stratégiques de l’organisme;
— encourager une approche plus systématique et cohérente du management du risque juridique, et
identifier et analyser un large éventail de questions, de sorte que les risques juridiques soient traités
de façon proactive avec les ressources appropriées et pris en charge par la direction et par le bon
niveau d’expertise;
— mieux comprendre et évaluer l’étendue et les conséquences des problèmes et risques juridiques et
exercer le devoir de vigilance approprié;
— identifier, analyser et évaluer les risques juridiques, et fournir un moyen systématique de prendre
des décisions éclairées;
— améliorer et encourager l’identification d’opportunités d’amélioration continue.
Il convient de noter que le risque juridique dans le présent document est défini de façon générale et ne
se limite pas, par exemple, au risque lié aux questions de conformité ou aux questions contractuelles.
Il inclut ces questions, mais le risque juridique est délibérément défini de manière à inclure également
les risques provenant de tiers ou à leur encontre alors qu’il n’existe pas nécessairement de relation
contractuelle avec ces tiers, mais lorsqu’il peut y avoir une possibilité de litige ou d’autre action relevant
des obligations contractuelles des tiers avec leurs parties prenantes.
Le présent document:
— fournit des recommandations relatives au management du risque juridique de manière à s’aligner sur
les activités de mise en conformité et fournit l’assurance nécessaire pour respecter les obligations
et les objectifs de l’organisme;
— peut être utilisé par les organismes de tous types et de toutes tailles afin d’offrir une approche plus
structurée et cohérente du management du risque juridique pour le bénéfice de l’organisme et de
ses parties prenantes dans tous les processus;
— propose une approche de management intégrée pour l’identification, l’anticipation et le management
du risque juridique;
— appuie et complète les approches existantes en les enrichissant grâce à l’apport de meilleures
informations et perspectives sur les problèmes potentiels auxquels l’organisme pourrait être
confronté;
— appuie tout processus de mise en conformité que les organismes pourraient avoir mis en place, tel
qu’un système de mise en conformité ou autre système de management;
— soutient la fonction de conformité en identifiant de façon plus générale les droits et obligations
juridiques et contractuels de l’organisme.
Il est attendu qu’en utilisant le présent document, les organismes puissent bénéficier de meilleurs
résultats commerciaux et opérationnels tels qu’une meilleure réputation, une fidélisation accrue du
personnel, des relations optimisées avec leurs parties prenantes et de plus grandes synergies entre
leurs ressources et leurs capacités.
Bien que le présent document soit destiné à être utilisé dans le cadre de l’ISO 31000, il convient de
noter que le cadre de l’ISO 31000 peut également être utilisé soit de façon autonome soit avec d’autres
systèmes de management.
Le présent document n’est pas destiné à:
— se substituer aux propriétaires de risques à la recherche de conseils juridiques auprès d’experts
(externes ou internes);
— s’appliquer au processus législatif ni au lobbying en faveur de nouvelles lois ou de la modification du
droit existant.
Il convient que toute référence aux mots «inclure», «comprendre», «incluant» et «comprenant» dans le
présent document soit interprétée au sens de «y compris, sans limitation».
vi © ISO 2020 – Tous droits réservés
NORME INTERNATIONALE ISO 31022:2020(F)
Management du risque — Lignes directrices relatives au
management du risque juridique
1 Domaine d’application
Le présent document fournit des lignes directrices pour la gestion des défis spécifiques liés au risque
juridique auxquels sont confrontés les organismes, à titre de document complémentaire à l’ISO 31000.
L’application de ces lignes directrices peut être adaptée à n’importe quel organisme et à son contexte.
Le présent document fournit une approche générique du management du risque juridique et n’est pas
propre à une industrie ou à un secteur.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s’applique (y compris les
éventuels amendements).
ISO 31000, Management du risque — Lignes directrices
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO 31000 ainsi que les suivants
s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse http:// www .electropedia .org/
3.1
risque
effet de l’incertitude sur les objectifs
Note 1 à l'article: Un effet est un écart par rapport à un attendu. Il peut être positif, négatif ou les deux à la fois, et
traiter, créer ou entraîner des opportunités et des menaces.
Note 2 à l'article: Les objectifs peuvent avoir différents aspects, être de catégories différentes, et peuvent
concerner différents niveaux.
[SOURCE: ISO 31000:2018, 3.1, modifiée — La Note 3 à l’article a été supprimée.]
3.2
risque juridique
risque (3.1) en lien avec des questions juridiques, réglementaires et contractuelles, ou avec des droits et
obligations non contractuels
Note 1 à l'article: Les questions juridiques peuvent avoir leur origine dans des décisions politiques, le droit (3.3)
national ou international, y compris le droit législatif, la jurisprudence, les actes administratifs, les ordonnances
réglementaires, les codes, les jugements et sentences, les règles de procédure, les protocoles d’accord ou les
contrats.
Note 2 à l'article: Les questions contractuelles ont trait aux situations dans lesquelles un organisme (3.4) ne
s’acquitte pas de ses obligations contractuelles ou ne fait pas respecter ses droits contractuels, ou conclut des
contrats assortis de conditions onéreuses, inadéquates, injustes et/ou inapplicables.
Note 3 à l'article: Le risque lié aux droits non contractuels est le risque qu’un organisme ne fasse pas valoir ses
droits non contractuels. Par exemple, le fait qu’un organisme ne fasse pas respecter ses droits de propriété
intellectuelle, tels que ses droits relatifs au droit d’auteur, aux marques de commerce, aux brevets, aux secrets
commerciaux et aux informations confidentielles, vis-à-vis d’un tiers.
Note 4 à l'article: Le risque lié aux obligations non contractuelles est le risque que le comportement et la prise
de décisions d’un organisme soit en fait un comportement illégal ou un manquement au devoir de diligence
non législatif (ou devoir civil) envers des tiers. Par exemple, un organisme qui enfreint les droits de propriété
intellectuelle d’un tiers, qui ne respecte pas les règles d’attention requises envers les clients (comme la vente
trompeuse), ou qui utilise ou gère de manière inappropriée des réseaux sociaux entraînant une poursuite en
diffamation ou en dénonciation calomnieuse de la part d’un tiers et qui, d’une manière générale, présente des
engagements ambigües.
3.3
droit
système de règles, principes et pratiques qu’une région, un pays ou une communauté reconnaît comme
étant un système qui régit les actions des organismes (3.4)
Note 1 à l'article: Le droit peut inclure n’importe lequel des éléments suivants:
— loi, réglementation, code, décret, ordonnance ou texte d’application;
— jurisprudence;
— décision judiciaire contraignante, jugement ou arrêté;
— code spécifique à l’activité ou politique applicable, prévu par la loi.
3.4
organisme
personne ou groupe de personnes ayant des fonctions définies avec les responsabilités, l’autorité et les
relations lui permettant d’atteindre ses objectifs
Note 1 à l'article: Le concept d’organisme englobe sans s’y limiter, les travailleurs indépendants, les compagnies,
les sociétés, les firmes, les entreprises, les administrations, les partenariats, les organisations caritatives ou
les institutions, ou bien une partie ou une association des entités précédentes, ayant soit un statut de société
commerciale soit un autre statut, de droit public ou privé.
[SOURCE: ISO 19600:2014, 3.2.1, modifiée — La Note 1 à l’article a été modifiée.]
4 Principes
Le management efficace du risque juridique repose sur les valeurs et les principes présentés dans
l’ISO 31000, comme illustré à la Figure 1.
2 © ISO 2020 – Tous droits réservés
Figure 1 — Principes
Ces huit éléments sont décrits ci-dessous, de a) à h), dans le contexte du management du risque
juridique. En outre, pour le management du risque juridique, il convient que le principe d’«équité», voir
i), soit également pris en considération.
a) Intégré: le management du risque juridique fait partie intégrante de la gouvernance et de la
gestion globales de l’organisme. Il convient que les activités du processus de management
du risque juridique soient intégrées aux processus de planification stratégique, de prise de
décisions opérationnelles et de management de l’organisme. Pour l’intégration du management
du risque juridique dans les processus et activités de l’organisme, il convient que des rôles et des
responsabilités appropriés soient définis au sein de l’organisme. Il convient que le management du
risque juridique soit intégré à d’autres systèmes de management, comme la conformité, la sécurité,
la qualité et avec les contrôles internes. Lors de l’évaluation des risques juridiques et de l’examen
des options de traitement, il convient que des experts en matière juridique soient consultés avec
d’autres experts ou spécialistes.
b) Structuré et global: tout en suivant le processus générique de management du risque, il est
important d’évaluer les risques juridiques de l’organisme dans un contexte approprié afin de
pouvoir adopter une approche globale et cohérente du management du risque juridique.
c) Adapté: il convient que le management du risque juridique au sein d’un organisme soit adapté
pour refléter les particularités de son contexte externe, y compris l’environnement juridique et
réglementaire et les caractéristiques du secteur, ainsi que son contexte interne, y compris la nature
de l’entité juridique, les objectifs et les valeurs de l’organisme.
Il convient que l’organisme ait une compréhension approfondie de l’applicabilité des droits,
de l’impact et des conséquences d’une incapacité à se conformer aux droits applicables, et des
processus visant à s’assurer que les droits nouveaux ou actualisés sont identifiés de manière
satisfaisante, leur impact correctement évalué et interprétés.
Il convient que l’organisme réduise au minimum la complexité et le coût des procédures judiciaires.
Il convient que l’organisme tente de réduire le plus possible et de maîtriser les conséquences
négatives d’un risque juridique. L’organisme peut chercher activement des moyens d’éviter les
différends ou les litiges en prenant des mesures pour traiter les risques juridiques avant qu’un
événement indésirable ne se produise, ou ne soit susceptible de se produire, ou tenter de parvenir
à un règlement d’une manière qui permet de peser avantages et inconvénients sur les coûts, les
objectifs commerciaux, la réputation et le temps consacré par l’organisme.
d) Inclusif: en impliquant toutes les parties prenantes dans le management du risque juridique,
un organisme peut atténuer les événements indésirables, y compris le durcissement de la
réglementation. Il convient que l’organisme veille à ce que le secret professionnel (ou la forme
équivalente de protection dans la juridiction concernée) soit maintenu dans la mesure du possible
et que la confidentialité soit préservée, mais dans les deux cas, il est nécessaire que ces protections
soient évaluées par rapport aux avantages de l’inclusivité.
e) Dynamique: il convient qu’un organisme suive et s’adapte à l’évolution des droits, des politiques
publiques et au contexte dans lequel il exerce ses activités, et établisse des indicateurs d’alerte
précoce appropriés.
f) Meilleure information disponible: pour un management efficace du risque juridique, outre
l’expérience des conseillers juridiques internes, si elle existe, il convient de recourir à l’intelligence
économique, au business analytics, à des bases de données et des systèmes juridiques (incluant la
gestion des cas), à des outils et des services de gestion des dossiers électroniques. Si nécessaire, il
est possible d’avoir recours au savoir-faire proposé par des cabinets juridiques, des prestataires de
services ou des conseillers externes.
g) Facteurs humains et culturels: étant donné que les parties prenantes peuvent avoir des
connaissances, des attentes et des points de vue différents en matière de risque juridique et que ces
points de vue peuvent être construits et perçus sur les plans émotif, social, culturel et politique, il
convient que l’organisme élabore des mécanismes formels et informels pour contribuer à faire en
sorte que les facteurs humains et culturels n’entraînent pas de risques juridiques. Il convient que
l’organisme cherche également à encourager la réalisation du management de tels risques ainsi que
les avantages et les opportunités qui en découlent. Il convient que tous les membres de l’organisme
soient conscients de la façon dont chaque action ou inaction influe sur le risque juridique.
h) Amélioration continue: il convient qu’un organisme tienne compte des enseignements du passé,
des analyses postérieures aux transactions, des bonnes pratiques, des conseils professionnels de
conseillers internes et externes, des audits internes et des évolutions juridiques à appliquer, et y
donne suite.
i) Équité: pour les décideurs, l’instauration de principes d’équité guide le management du risque
juridique et comprend la gestion des conflits d’intérêts. Elle permet également de faire entendre une
voix objective et indépendante dans les décisions et favorise le devoir de vigilance et l’impartialité
dans l’intérêt supérieur de l’organisme.
NOTE Il n’y a pas de définition convenue de l’équité, plutôt, «l’équité» incorpore différentes idées et
concepts, y compris la justice, l’équité et l’égalité.
5 Processus de management du risque juridique
5.1 Généralités
Le management du risque juridique est une activité itérative et il convient de l’intégrer à toutes les
activités et opérations de l’organisme. Le processus de management du risque appliqué au management
du risque juridique est décrit de 5.2 à 5.5 et est illustré à la Figure 2. Ce diagramme complète
l’ISO 31000:2018, Figure 4.
4 © ISO 2020 – Tous droits réservés
Figure 2 — Processus de management du risque juridique
Il convient que le suivi et la revue, l’élaboration de rapports, la communication et la consultation
se poursuivent tout au long du processus de management du risque juridique dans l’ensemble de
l’organisme. Plus de détails sont donnés en 5.5.
5.2 Établissement du contexte à considérer et des critères
5.2.1 Généralités
Outre l’ISO 31000:2018, 6.3, il convient que l’organisme prenne en considération les contextes externe
et interne présentés respectivement en 5.2.2 et 5.2.3.
5.2.2 Contexte externe du risque juridique
Le contexte externe du risque juridique renvoie à des facteurs extérieurs à l’organisme, mais qui sont
liés au management du risque juridique. Il comprend:
— le droit local et international applicable et les modifications du droit local et international applicable;
— les syndicats et les organisations patronales;
— les prestataires de services et les conseillers externes qui contribuent au management du risque
juridique, comme les cabinets d’avocats, les auditeurs externes et les prestataires de services de
gestion et d’analyse de l’information;
— les parties prenantes externes telles que les entreprises, les organismes de la société civile, les
organismes de réglementation, les collectivités locales, le public, les communautés d’intérêts, la
presse et les médias, ainsi que les groupes d’intérêts particuliers et leurs attentes concernant le
management du risque juridique;
— tout acte ou omission d’un tiers, tel qu’un comportement frauduleux et trompeur de la part de ce tiers;
— les accords internationaux applicables et les protocoles d’accord;
— les conditions du marché applicables à l’organisme;
— les actions ou réclamations de tiers;
— le droit des pays où les produits/services fournis sont livrés ou fournis.
Pour l’examen et la compréhension du contexte externe du risque juridique pour les organismes
qui exercent leurs activités dans plusieurs juridictions, il convient de tenir compte des différences
environnementales et culturelles entre les différentes juridictions. L’application extraterritoriale d’un
droit national, la détermination de la loi applicable en matière de compétence juridictionnelle dans une
situation donnée (c’est-à-dire conflit de lois et reconnaissance mutuelle du droit) et l’identification de la
juridiction compétente peuvent également nécessiter un examen.
5.2.3 Contexte interne du risque juridique
Le contexte interne du risque juridique est essentiellement sous le contrôle ou l’autorité d’un organisme
par l’entremise de ses systèmes de gouvernance et de management. Il comprend:
— la nature de l’entité juridique;
— la santé financière de l’organisme et son modèle économique;
— la structure juridique interne de l’organisme, les processus et les fonctions qui le régissent;
— la gouvernance de l’organisme et ses structures de valeurs visant à promouvoir l’intégrité, comme
un code de conduite et autres lignes directrices en matière de conformité;
— l’état actuel des questions juridiques de l’organisme et son approche en matière de management du
risque juridique;
— les campagnes de sensibilisation sur l’orientation et l’amélioration continue des performances
en matière de risque juridique pour les parties prenantes, et les systèmes et dispositifs visant à
améliorer le comportement des parties prenantes en ce qui concerne le droit et à dissuader les
comportements frauduleux et trompeurs tels que les systèmes de management de la conformité;
— les expériences passées et les antécédents de litiges ou d’événements juridiques provoqués par un
risque juridique au sein de l’organisme;
— les actifs que possède l’organisme, tels que la propriété intellectuelle et les autres droits légaux sur
les actifs corporels et incorporels utilisés pour les processus et les activités;
— l’effet des droits et obligations en vertu de contrats;
— les obligations découlant d’un devoir de diligence;
— les effets déclencheurs croisés des indemnisations, des garanties et des clauses de non-responsabilité
dans les contrats;
6 © ISO 2020 – Tous droits réservés
— les passifs résultant de questions sociales, environnementales, fiscales et autres, provenant de
fusions, d’acquisitions et de cessions;
— la politique interne concernant le management du risque juridique;
— les autres informations et ressources relatives au risque juridique et à son management.
5.2.4 Définition des critères du risque juridique
Outre l’ISO 31000:2018, 6.3.4, il convient que l’organisme prenne en considération les éléments suivants.
Les critères du risque juridique:
— en tant que terme, désignent un sous-ensemble des critères de risque de l’organisme;
— sont des démarches qui sont identifiées et définies pour évaluer un niveau significatif et acceptable
d’un risque juridique ou d’un groupe de risques juridiques;
— il convient qu’elles reflètent les objectifs, les valeurs, les ressources, les préférences et la tolérance
de l’ensemble du management du risque par rapport au risque juridique;
— il convient qu’elles soient examinées régulièrement et au début de tout projet d’envergure afin de
mettre à jour les critères et le processus de management du risque juridique;
— peuvent provenir ou découler de l’application du droit ou d’obligations ou de responsabilités
contractuelles;
— sont dynamiques et, une fois définies, relèvent de la fonction de responsable du management du
risque juridique;
— il convient qu’elles soient alignées sur l’approche globale de l’organisme en matière de management
du risque juridique et/ou sa politique. Il convient qu’un organisme élabore et ajuste ses critères de
risque juridique en fonction des situations réelles.
Lors de la détermination des critères du risque juridique, les facteurs à prendre en compte incluent:
— les objectifs et priorités de l’organisme;
— la gouvernance, y compris le niveau hiérarchique des pouvoirs et l’attribution des obligations de
rendre compte, les rôles et les responsabilités en matière de management du risque juridique au
sein de l’organisme;
— les relations avec les tiers;
— le périmètre et les objectifs du management du risque juridique et les catégories de risques
juridiques;
— les principes retenus pour déterminer le niveau des risques juridiques;
— l’état des politiques, des protocoles, des cadres, des processus et des méthodes pour le management
du risque juridique;
— l’acceptation par les parties prenantes des risques juridiques ou leur tolérance à l’égard du niveau
de risque;
— les échelles de mesure pour la classification des niveaux de risque.
Les situations suivantes peuvent nécessiter l’application des critères du risque juridique:
— cas où la loi oblige l’organisme à mettre en œuvre, suivre ou approuver quelque chose;
— cas où la loi oblige l’organisme à adopter une politique ou un cadre contractuel ou une décision que
seul l’organisme peut légalement prendre;
— cas où se produisent une question importante de responsabilité institutionnelle ou de conformité
incluant les enquêtes administratives, les allégations de violations généralisées du droit, un
comportement criminel qui pourrait mettre en cause l’organisme, une non-conformité majeure, une
perte de données posant des problèmes de protection des données et de confidentialité, les plaintes
de lanceurs d’alerte, les questions entraînant une perte de réputation et toute autre poursuite
judiciaire;
— les lois relatives à l’obligation de révélation d’informations, d’incidents ou de violations et de toute
autre situation;
— les poursuites et les règlements «hors du cours normal des activités» lorsque le montant en cause ou
la question soulevée implique un ou plusieurs des autres facteurs énumérés ci-dessus.
La définition des critères du risque juridique est fondée sur un processus qui exige que les risques
juridiques soient caractérisés puis mesurés afin qu’ils puissent être quantifiés et que le traitement
approprié du risque puisse être appliqué.
Une réponse adéquate nécessitera l’acceptation des critères du risque juridique, tant au niveau de la
direction que dans l’ensemble de l’organisme. Des critères de risque juridique trop étroits peuvent avoir
pour résultat involontaire d’isoler les propriétaires du risque juridique du contexte plus large du risque
opérationnel. Cela peut créer un «effet de silo» qui isole le management du risque juridique des autres
éléments du management du risque.
Des critères de risque juridique trop restrictifs qui ne s’intègrent pas pleinement aux critères de risque
globaux adoptés par l’organisme peuvent avoir pour conséquence involontaire d’offrir une approche
excessivement réductrice des problèmes de risque juridique. Cela pourrait signifier que les personnes
chargées de la fonction juridique ne soient impliquées que lorsqu’une crise prend de l’ampleur, par
opposition à une étape antérieure où une intervention plus précoce atténuerait le risque juridique et où
elles seraient mieux à même de proposer un traitement pour le risque juridique.
5.3 Appréciation du risque juridique
5.3.1 Généralités
L’appréciation du risque juridique est le processus global d’identification, d’analyse et d’évaluation du
risque juridique.
Il est essentiel d’impliquer un panel d’experts et de personnes compétentes de l’organisme, y compris
des conseillers juridiques (internes et externes) alliant expérience et expertise.
5.3.2 Identification du risque juridique
5.3.2.1 Présentation
L’identification du risque juridique a pour but de rechercher, reconnaître et décrire les risques
juridiques qui peuvent aider ou empêcher un organisme d’atteindre ses objectifs. Pour bien comprendre
le risque juridique, il convient que l’organisme identifie les sources de risque juridique, les domaines
de conséquences, les événements (y compris les changements de circonstances), leurs causes et leurs
éventuelles conséquences.
Dans le cadre de l’identification du risque juridique, il convient de décrire de façon exhaustive,
systématique et précise les caractéristiques des divers risques juridiques de l’organisme, afin que les
objectifs et le périmètre de l’analyse du risque juridique à l’étape suivante puissent être clarifiés. Il est
nécessaire que les informations pertinentes et les plus récentes, telles que les informations et les faits
de l’environnement opérationnel (par exemple, les modifications du droit applicable ou des pratiques
du marché) soient comprises lors de l’identification des risques juridiques. En plus d’identifier les
événements susceptibles d’être provoqués par un risque juridique, il convient d’examiner avec soin les
causes, les conséquences et l’impact possibles.
8 © ISO 2020 – Tous droits réservés
Outre l’identification des événements réels ou potentiels provoqués par un risque juridique, il convient
d’identifier les risques juridiques pertinents pour l’organisme, que les sources de ces événements soient
sous son contrôle ou que leurs causes soient connues ou non. Il convient que l’organisme choisisse des
outils et des techniques appropriés d’identification du risque juridique, applicables à ses objectifs, ses
ressources et ses capacités, et à l’environnement.
Plusieurs techniques d’identification du risque, pouvant être appliquées au management du risque
juridique, sont indiquées dans l’IEC 31010:2019, Article 4.
5.3.2.2 Sources d’information utiles à l’identification du risque juridique
Il convient que l’organisme identifie systématiquement ses risques juridiques et les répercussions sur
ses activités, ses produits, ses services et sa réputation. Il convient que l’organisme tienne compte des
risques juridiques identifiés et de leurs répercussions lors de l’établissement, de l’élaboration, de la
mise en œuvre, de l’évaluation, de la tenue à jour, de la révision et de l’amélioration du management du
risque juridique.
Il convient que l’organisme documente ses risques juridiques d’une manière appropriée à sa taille, sa
complexité, sa structure et ses opérations.
Un organisme peut identifier les risques juridiques relatifs aux éléments suivants:
— ses objectifs et priorités en tant qu’organisme;
— ses structures de gouvernance et d’éthique, ses activités et ses opérations, telles que la vente,
la prestation de services, la production, le marketing, les achats, l’investissement à l’étranger, la
gestion des ressources humaines, la gestion financière, l’organisation, la gestion de la réputation, la
gestion de l’information et des données, et les technologies de l’information et des communications;
— les cyberattaques, les atteintes psychologiques via les réseaux sociaux et autres cybermenaces;
— ses parties prenantes, telles que les actionnaires, les instances réglementaires, les administrateurs,
les employés, les syndicats, les partenaires commerciaux (y compris les clients, les fournisseurs, les
vendeurs et les investisseurs), les créanciers, les débiteurs, les collectivités territoriales et groupes
d’intérêt, et l’administration;
— la mauvaise application ou la mauvaise interprétation du contexte juridique, le non-respect du droit,
la rupture de contrat, la violation des droits de propriété intellectuelle, un mauvais comportement/
un acte répréhensible intentionnel et le défaut d’exercice de ses droits;
— les responsabilités et les obligations de rendre compte en matière de management du risque juridique
après son apparition, ce qui peut comprendre des responsabilités pénales, des responsabilités
administratives, des responsabilités civiles, des amendes réglementaires et/ou des indemnités
versées à des tiers, etc.;
— l’application d’éléments de droit spécifiques ainsi que les conflits de lois ou le droit international privé;
— la jurisprudence (le cas échéant).
Il convient que l’organisme élabore un processus d’identification du risque juridique. Il peut prendre en
considération les facteurs mentionnés ci-dessus. «Juridique» dans ce contexte ne se réfère pas seulement
au droit de la juridiction dans laquelle les parties sont domiciliées, constituées, gérées ou exploitées.
Les risques peuvent découler d’obligations juridiques internationales, y compris d’obligations de droit
international et de droit international privé, de pénalités ou d’autres conséquences.
Certaines des sources d’information qui peuvent être utiles à l’identification du risque juridique sont
présentées dans les exemples suivants.
EXEMPLE 1 Les informations qui peuvent être utiles incluent la compréhension des éléments applicables
suivants:
— le droit;
— le contexte externe du risque juridique;
— le contexte interne du risque juridique;
— la communication et les consultations avec les parties prenantes internes, par exemple le personnel interne
et les parties prenantes externes;
— les critères de risque juridique existants;
— les schémas de risque juridique;
— les exigences relatives à la conservation des enregistrements dans le respect du secret professionnel, de la
confidentialité des échanges entre l’avocat et son client et du secret des pièces (ou leurs concepts et termes
équivalents dans le droit national applicable);
— les politiques de destruction et de conservation des données, conformément à la réglementation et au droit
applicable en matière
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...