ISO 18128:2024

International
Standard
ISO 18128
First edition
Information and documentation —
2024-03
Records risks — Risk assessment
for records management
Reference number
© ISO 2024
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
3.1 Terms specific to risk . .2
3.2 Terms specific to records .2
4 Core concepts . . 3
4.1 Issues and concerns about uncertainty .3
5 Determining scope, context and criteria . 4
5.1 General .4
5.2 Defining the scope .4
5.3 External and internal context .5
5.3.1 General .5
5.3.2 External context .5
5.3.3 Internal context .5
5.4 Definition of records risk criteria.5
5.5 Risk description .6
6 Uses of risk assessment techniques . 7
7 Risk identification . 7
7.1 General .7
7.2 Techniques for identifying risks .8
7.2.1 General .8
7.2.2 Checklist analysis for risk identification .9
8 Risk analysis . 9
8.1 General .9
8.2 Techniques for analysing risks .10
8.2.1 General .10
8.2.2 Business impact analysis (BIA) .10
8.2.3 Human reliability analysis (HRA) .11
8.2.4 Bow tie analysis . 12
9 Risk evaluation .13
9.1 General . 13
9.2 Techniques for evaluating risk . 13
9.2.1 As low as reasonably practicable (ALARP). 13
9.2.2 Reliability-centred maintenance (RCM) .14
9.2.3 Risk indices .16
9.2.4 Cost/benefit analysis.18
Annex A (informative) Categorization of techniques following IEC 31010 .20
Annex B (informative) Checklist of uncertainties .22
Bibliography .26

iii
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out through
ISO technical committees. Each member body interested in a subject for which a technical committee
has been established has the right to be represented on that committee. International organizations,
governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely
with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are described
in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types
of ISO document should be noted. This document was drafted in accordance with the editorial rules of the
ISO/IEC Directives, Part 2 (see www.iso.org/directives).
ISO draws attention to the possibility that the implementation of this document may involve the use of (a)
patent(s). ISO takes no position concerning the evidence, validity or applicability of any claimed patent
rights in respect thereof. As of the date of publication of this document, ISO had not received notice of (a)
patent(s) which may be required to implement this document. However, implementers are cautioned that
this may not represent the latest information, which may be obtained from the patent database available at
www.iso.org/patents. ISO shall not be held responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions
related to conformity assessment, as well as information about ISO's adherence to the World Trade
Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 46, Information and documentation,
Subcommittee SC 11, Archives/records management.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.

iv
Introduction
Successful organizations identify and manage all their business risks. Identifying and managing the risks to
records processes, controls and systems (records risks) is the responsibility of the organization’s records
professionals.
This document is intended to help records professionals and people who have responsibility for records in
their organization to assess records risks.
This is distinct from the task of identifying and assessing the organization’s business risks to which creating
and keeping adequate records is one strategic response. The decisions to create records or not in response to
general business risks are business decisions, which should be informed by the analysis of the organization’s
records requirements undertaken by records professionals together with business managers. The premise
of this document is that the organization has created records of its business activities to meet operational
and other purposes and has established at least minimal mechanisms for the systematic management of the
records.
The consequence of records risk events can be the loss of, or damage to, records, which are therefore no
longer useable, reliable, authentic, complete, or unaltered, and therefore can fail to meet the organization’s
purposes.
The document provides guidance and examples based on the general risk management process established
in ISO 31000 (see Figure 1) to apply to records risks, including information on relevant risk assessment tools
and techniques. It covers the risk assessment components:
a) risk identification,
b) risk analysis, and
c) risk evaluation.
This document introduces and explains selected techniques from IEC 31010 that are applicable in a records
management environment (see Table A.2 for the list of techniques).
The results of the assessment of records risk should be incorporated into the organization’s general risk
management framework. Consequently, the organization will have better control of its records and their
quality for business purposes.
This document does not deal with risk treatment. Once the assessment of records risks has been completed,
the assessed risks are documented and communicated to the organization’s risk management section.
Response to the assessed risks should be undertaken as part of the organization’s overall risk management
program. The priority assigned by the records professional to the assessed risks is provided to inform the
organization’s decisions about managing those risks.

v
NOTE Source ISO 31000:2018, Figure 4
Figure 1 — Risk management process

vi
International Standard ISO 18128:2024(en)
Information and documentation — Records risks — Risk
assessment for records management
1 Scope
The document:
a) provides methods for identifying and documenting risks related to records, records processes, controls
and systems (records risks);
b) provides techniques for analysing records risks;
c) provides guidelines for conducting an evaluation of records risks.
This document intends to assist organizations in assessing records risks so they can ensure records continue
to meet identified business needs as long as required.
This document can be used by all organizations regardless of size, nature of their activities, or complexity of
their functions and structure.
This document does not directly address the mitigation of risks, as methods for these vary from organization
to organization.
It can be used by records professionals or people who have responsibility for records and records processes,
controls and/or systems in their organizations, and by auditors or managers who have responsibility for
risk management programs in their organizations.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes
requirements of this document. For dated references, only the edition cited applies. For undated references,
the latest edition of the referenced document (including any amendments) applies.
ISO 30300, Information and documentation — Records management — Core concepts and vocabulary
ISO 31000, Risk management — Guidelines
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 30300, ISO 31000 and the
following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/

3.1 Terms specific to risk
3.1.1
risk
effect of uncertainty on objectives
Note 1 to entry: An effect is a deviation from the expected. It can be positive, negative or both, and can address, create
or result in opportunities and threats.
Note 2 to entry: Uncertainty is the state, even partial, of deficiency of information related to, understanding or
knowledge of, an event, its consequence, or likelihood.
Note 3 to entry: Objectives can have different aspects and categories, and can be applied at different levels.
Note 4 to entry: Risk is usually expressed in terms of risk sources, potential events, their consequences and their
likelihood.
Note 5 to entry: In the high level structure’s core terms and definitions for management systems stated in ISO/IEC
Directives, Part 1:2019, Annex L , the definition of risk and the Notes to entry are slightly different.
[SOURCE: ISO 30300:2020, 3.1.26]
3.1.2
risk management
coordinated activities to direct and control an organization with regards to risk
[SOURCE: ISO 31000:2018, 3.2]
3.2 Terms specific to records
3.2.1
authoritative record
record (3.2.2) which possess the characteristics of authenticity, reliability, integrity and useability
[SOURCE: ISO 30300:2020, 3.2.3]
3.2.2
record
information created or received and maintained as evidence and as an asset by an organization, in pursuit of
legal obligations or in the course of conducting business
Note 1 to entry: to entry; Records are normally used in plural.
Note 2 to entry: In a management system standard (MSS) implementation, the records created to conduct and direct
the management system and to document its implementation are called documented information.
[SOURCE: ISO 30300:2020, 3.2.10]
3.2.3
records control
instrument for helping in the conduct of records processes (3.2.5)
EXAMPLE Examples of records controls include metadata schemas for records, business classification schemes,
access and permission rules, and disposition authorities.
[SOURCE: ISO 30300:2020, 3.5.6]
3.2.4
records management (preferred term)
recordkeeping (admitted term)
field responsible for the efficient and systematic governance of records (3.2.2), using records processes
(3.2.5), records controls (3.2.3) and records systems (3.2.7)
[SOURCE: ISO 30300:2020, 3.4.12]

3.2.5
records process
set of activities for managing authoritative records
[SOURCE: ISO 30300:2020, 3.4.13]
3.2.6
records requirements
requirements for evidence of a business function, activity or transaction and for for records processes
including how, and how long, records need to be kept
[SOURCE: ISO 30300:2020, 3.3.2]
3.2.7
records risk
risk (3.1.1) related to records (3.2.2), records processes (3.2.5), controls (3.2.3) and systems (3.2.8)
Note 1 to entry: Risk management of records is associated with appraisal and records requirements
3.2.8
records system
information system that manages records (3.2.2) over time
[SOURCE: ISO 30300:2020, 3.6.4]
4 Core concepts
4.1 Issues and concerns about uncertainty
Uncertainty is a term which embraces many underlying concepts. Commonly recognized forms of
uncertainty include decision uncertainty, which has particular relevance to risk management strategies, and
which identifies uncertainty associated with value systems, professional judgement, organizational values
and societal norms.
Examples of uncertainty include:
— uncertainty as to the truth of assumptions, including presumptions about how people or systems
might behave;
— variability in the parameters on which a decision is to be based;
— uncertainty in the validity or accuracy of models which have been established to make predictions about
the future;
— events (including changes in circumstances or conditions) whose occurrence, character or consequences
are uncertain;
— uncertainty associated with disruptive events;
— the uncertain outcomes of systemic issues, such as shortages of competent staff , that can have wide
ranging impacts which cannot be clearly defined;
— lack of knowledge which arises when uncertainty is recognized but not fully understood;
— unpredictability;
— uncertainty arising from the limitations of the human mind, for example in understanding complex data,
predicting situations with long-term consequences or making bias-free judgments.
Not all uncertainty is able to be understood and the significance of uncertainty might be hard or impossible
to define or influence. However, a recognition that uncertainty exists in a specific context enables early

warning systems to be put in place to detect change in a proactive and timely manner and make arrangements
to build resilience to cope with unexpected circumstances.
5 Determining scope, context and criteria
5.1 General
The purpose of establishing the scope, the context and criteria is to customize the risk management process,
enabling effective risk assessment and appropriate risk treatment.
In participating in the organization’s risk management processes, records professionals can take into
account:
a) their roles and responsibilities as technical experts in the field of records management, specifically in
assessing records risks;
b) extent and scope of the risk assessment activities, specifically understanding relationships with other
areas, such as incident management and information security. These relationships should be made
explicit to avoid conflicts and duplication of efforts, and to enable an integrated approach to risk
management;
c) methodology and reporting mechanisms, where, if possible, the standard risk assessment methodology
and techniques should be applied;
d) risk criteria, where general risk criteria for the organization are established, records risks should be
assessed using these criteria.
Assessing records risks should be integrated, where it exists, in the organization’s general risk management
process. Records professionals should consider the organization’s external and internal context, specifically
the organization’s requirements for authoritative records to support its business needs and objectives.
Where the organization has not established a general risk management process, records professionals need
to establish the risk criteria applying to records processes, controls and systems prior to the assessment
process.
5.2 Defining the scope
The organization should define the scope of its risk management activities.
The risk management process can be applied at different levels (e.g. strategic, operational, program, project,
or other activities). It is important to be clear about the scope under consideration, the relevant records
objectives to be considered and their alignment with organizational objectives.
For records risk management, when planning the approach, considerations include:
— records objectives and decisions that need to be made;
— outcomes from the records appraisal process;
— specifics inclusions and exclusions;
— appropriate risk assessment techniques;
— outcomes expected from the steps to be taken in the process;
— resources required, responsibilities and records to be kept;
— relationships with other projects, processes, activities and objectives.

5.3 External and internal context
5.3.1 General
The external and internal context is the environment in which the organization seeks to define and achieve
its objectives. Understanding the context is important because:
— risk management takes place in the context of the objectives and activities of the organization;
— organizational factors can be a source of risk;
— the purpose and scope of the risk management process can be interrelated with the objectives of the
organization as a whole.
5.3.2 External context
The external context can include factors such as the social and cultural, legal, regulatory, financial,
technological, economic, natural and competitive environment. External changes to the organization’s
context can affect the organization’s operations and can directly or consequently impact its records
requirements.
5.3.3 Internal context
The internal context can include factors such as:
— governance, organizational structure, roles and responsibilities;
— change of executive leadership such as elected officials or boards;
— political interference;
— information and recordkeeping culture, behaviour and practice;
— recordkeeping capacity and ethics;
— records and information systems, information flows and decision-making processes;
— technologies implemented, including legacy systems and external collaboration systems;
— standards, best practices, policies, guidelines and procedures adopted by the organization.
Internal changes to the organization context can impact the organization’s operations and can directly affect
records, records processes, controls and systems.
5.4 Definition of records risk criteria
5.4.1 The organization should specify the amount and type of risk that it can or can not take, relative
to its objectives. It should also define criteria to evaluate the significance of risk to support decision-
making processes. Records risk criteria should be aligned with the general risk criteria and with the risk
management framework.
While risk criteria should be established at the beginning of the risk assessment process, they are dynamic
and should be continually reviewed and amended, if necessary.
5.4.2 Risk criteria should be based on the organization’s business, legal and other requirements, and the
views of stakeholders. To set risk criteria, the following should be considered:
a) how consequences (both positive and negative) and likelihood will be defined and measured;
b) time-related factors;
c) consistency in the use of measurements;
d) how the level of risk is to be determined;
e) how combinations and sequences of multiple risks will be taken into account;
f) the organization’s capacity;
g) how to decide when a risk is acceptable and/or tolerable;
h) how to decide when a risk needs treatment or escalation.
5.4.3 To set records risk criteria, the following should be considered:
a) the nature and type of uncertainties that can affect records objectives and outcomes;
b) criticality or value of the records processes, controls and systems to the business operations;
c) value of the records created and the functions, activities or transactions it supports;
d) level of losses or impact on the authenticity, reliability, integrity and usability of the records;
e) size and scope of the records systems in the organization;
f) the reliability, security, procedure compliance, comprehensiveness, systematization and availability of
records systems;
g) records system’ integration with other business systems;
h) impacts of the risk to users and stakeholders;
i) risk events and the outcomes that needs to be avoided or seen as an opportunity;
j) amount and effectiveness of existing or possible practicable controls over the risk;
k) any benefits or opportunities presented by the risk to records or records management.
5.5 Risk description
Identified risks are generally described and communicated in the form of risk statements. Well-defined risk
statements present useful and relevant information which enable organizations to utilize risk information
to support decision making across the organization.
Risk statements should be clear, concise and relevant to the organization’s business and its objectives. A
well-defined risk statement can contain components such as:
— records, process or systems at risk;
— sources of risk or areas of uncertainty;
— event;
— consequences of the source of risk and event.
An example of a risk statement is shown in Figure 2:

Figure 2 — Example of a risk statement
Clear, specific records risk statements should be developed to:
— raise awareness and understanding of records risks relevant to the organization;
— help plan and improve responses to risks;
— help improve records processes, controls and systems.
6 Uses of risk assessment techniques
The techniques described in this document provide a means to improve understanding of the risk assessment
process and its implications for decision making.
ISO 31000 describes principles for managing risk and the foundations and organizational arrangements that
enable risk to be managed. It specifies a process that enables risk to be recognized, understood and modified
as necessary, according to criteria that are established as part of the process.
IEC 31010 describes multiple risk assessment techniques which are used:
— where further understanding is required about what risks exist or about a particular risk;
— within a risk management process leading to actions to treat risk;
— within a decision where a range of options each involving risk needs to be compared or optimized.
The way in which risk is assessed depends on the situation's complexity and novelty, and the level of relevant
knowledge and understanding.
The techniques included and explained in this International Standard are applicable in a records management
environment.
7 Risk identification
7.1 General
The purpose of records risk identification is to find, recognize and describe risks that can positively or
negatively affect the ability of records to support the needs of the organization. The risk identification
process includes identifying the causes and sources of the risk, events, situations, or circumstances
which can have an impact upon the organization’s objectives. Positive records risks, often referred to as
opportunities, should also be considered. These can include risks that would strengthen an organization’s
records management capacity.
Specifically, records risks are identified based on their potential to:
— compromise or preserve the authenticity, reliability, integrity and useability of records;
— weaken or strengthen records processes, controls and systems;
— threaten or safeguard the reliability, security, procedure compliance, comprehensiveness and
systematization of records systems.

Records professionals should identify all records risks, whether or not their sources are under their control
or the organization’s control. Consideration should be given that there can be more than one type of outcome,
which can result in a variety of tangible or intangible consequences.
To identify records risks, records professionals should:
— understand the organization and its context (both external and internal), including any issues relevant
to its objectives and that could affect its ability to achieve its business outcomes;
— identify business critical areas;
— identify records needs and requirements;
— document how, where and why records are created, captured, managed, and disposed of;
— assess the value and criticality of the records created and managed by the organization;
— consider the recordkeeping and information culture and behaviours and how these could affect records
processes, controls and systems;
— be aware and have an understanding of the records systems and other business systems used to support
the organization’s activities;
— compile a list of possible sources of risks, including records system vulnerabilities and existing systems
controls.
7.2 Techniques for identifying risks
7.2.1 General
There are numerous techniques for risk identification. To ensure that records support the business needs
of the organization, records professionals should obtain inputs from various stakeholders such as subject
matter experts, users and business owners. Risks can be identified through the formal risk management
activities and through other normal organizational activities such as:
— assessment against standards;
— records of incidents or complaints;
— quality assurance and quality control activities;
— appraisal for records (more information can be found in ISO/TR 21946);
— audit activities;
— routine team meetings.
Records professionals can use different tools and techniques such as:
— brainstorming, to help identify new risks and innovative solutions;
— checklist analysis, where checklists relevant to the categories and particular event can be developed and
assessed. Previous risk registers can be used as a starting point in risk identification;
— interviews, to get in-depth information and to allow exploration of issues on an individual basis;
— root cause analysis, to identify potential sources and causes of risks based on a similar event that has
happened in the past.
Identified risks should be documented through the appropriate mechanisms in the organization.

7.2.2 Checklist analysis for risk identification
Checklists are used during risk assessment in various ways such as to assist in understanding the context,
in identifying risk and in grouping risks for various purposes during analysis. They are also used when
managing risk, for example to classify controls and treatments, to define accountabilities and responsibilities,
or to report and communicate risk. This is one of the techniques one we can use in identifying records risks
but there are other techniques.
A checklist can be based on experience of past failures and successes but more formally risk typologies
and taxonomies can be developed to categorize or classify risks based on common attributes. Examples
of commonly used checklists, classifications or taxonomies used at a strategic level to identify factors in
the internal and external context include strengths, weaknesses, opportunities and threats (SWOT),
and political, economic, social, technological, environmental, legal, ethical and demographic (PESTLE or
STEEPLED). At an operational level, hazard checklists are used to identify hazards by source of risk or by
consequence. See Table 1 for a checklist example.
Table 1 — Checklist with examples of sources of records risks
Category Possible source of risks
Records Inadequate records creation processes
Inadequate records capture processes
Incorrect format when creating records
Incomplete metadada when capturing records
Records processes System functionality to capture and manage records and metadata
was not designed.
Lack or inadequate documentation for the processes.
Missing, incomplete, and/or inconsistent data captured.
Skill level of system administrators and their understanding of the
records processes requirements for managing records in systems.
Technology and format obsolescence.
Records controls Inadequate records controls in capturing records in the system.
Inadequate access rules, permissions and security policies.
User accidentally compromises sensitive data or information.
Records systems Inadequate planning and control mechanisms within the business
process and its system implementation.
Infeasibility of technology deployed against existing technology.
Lack of expertise and/or lack of resources to implement, maintain
and keep the systems up to date.
Changes in business and operating systems affecting records systems.
Lack of support and maintenance.
Inadequate system performance in terms of productivity, efficiency,
consistency, or other measures.
In general, the more specific the checklist, the more restricted its use to the particular context in which it is
developed. ISO 30301:2019, Annex A can serve as a basis to develop a checklist related to records processes,
controls and systems.
NOTE Annex B is an example of a checklist of areas of uncertainty that can assist with determining records risks
in an organisation.
8 Risk analysis
8.1 General
The purpose of risk analysis is to comprehend the nature of risk and its characteristics including, where
appropriate, the level of risk. Risk analysis involves a detailed consideration of uncertainties, risk sources,

consequences, likelihood, events, scenarios, controls and their effectiveness. An event can have multiple
causes and consequences and can affect multiple objectives.
Risk analysis provides an input to risk evaluation, to decisions on whether risk needs to be treated and how,
and on the most appropriate risk treatment strategy and methods. The results provide insight for decisions,
where choices are being made, and the options involve different types and levels of risk.
8.2 Techniques for analysing risks
8.2.1 General
Risk analysis can be undertaken with varying degrees of detail and complexity, depending on the purpose of
the analysis, the availability and reliability of information, and the resources available. Risk analysis should
consider factors such as:
— the likelihood of events and consequences;
— the nature and magnitude of consequences;
— complexity and connectivity;
— time-related factors and volatility;
— sensitivity and confidence levels.
Analysis techniques can be qualitative, quantitative or a combination of these, depending on the
circumstances and intended use. In the following clauses some techniques for the analysis of records risks
are explained, but there are other techniques one can use for this purpose.
8.2.2 Business impact analysis (BIA)
This technique analyses how incidents and events can affect records and records management in the
organization, and identifies and quantifies the capabilities that would be needed to manage it. Specifically, a
BIA provides an agreed understanding of:
— the criticality of key records processes, systems and controls, associated resources and the key
interdependencies that exist for an organization;
— how disruptive events will affect the capacity and capability of achieving critical records objectives;
— the capacity and capability needed to manage the impact of a disruption and recover to agreed levels of
records management operation.
BIA can be used to determine the criticality and recovery time frames of records processes and associated
resources (e.g. people, information technology, systems) to enable appropriate planning for disruptive
events. BIA also assists in determining interdependencies and interrelationships between records processes,
and internal and external parties.
BIA can be undertaken using questionnaires, interviews, structured workshops or a combination of all three.
It provides information that helps the organization determine and select appropriate records continuity
strategies to enable effective response and recovery from a disruptive incident.
The inputs to conduct effective BIA to analyse records risks can include:
— information concerning the objectives, strategic direction, environment, assets, and interdependencies
of the organization;
— overview of the organization's business products and services and their relationship to records processes
and systems;
— an assessment of priorities from previous management review;

— details of the activities and functions of the organization, including processes, resources, relationships
with other organizations, supply chains, outsourced processes and functions, and stakeholders;
— information to enable assessment of financial, legal and operational consequences of loss of vital records;
— a list of people from relevant areas of the organization and/or stakeholders that will be contacted.
The outputs include:
— a prioritized list of the organization’s products and services;
— a prioritized list of critical processes and associate interdependencies;
— documented impacts from a loss of records and its impact in the critical business processes, including
financial, legal, environmental and operational impacts;
— information on records needed to re-establish critical processes.
8.2.3 Human reliability analysis (HRA)
This technique refers to a group of techniques that aim to evaluate a person's contribution to the system
reliability and safety by identifying and analysing the potential for an incorrect action. HRA is applied at a
tactical level to particular tasks where correct performance is critical.
The technique can be used during the design, implementation and modification stages of records
management so that they are designed and maintained to minimize errors. For example, HRA can be used:
— during design so that records systems are designed to minimize the probability of error by workers;
— to improve procedures so as to reduce errors.
A hierarchical task analysis is first carried out to identify steps and sub-steps within activities in the records
processes and systems.
Potential error mechanisms are identified for each sub-step often using a set of keyword prompts (such as
too early, too late, wrong object, wrong action, right object).
Sources of these errors (such as distraction, lack of available time, misfiling, etc.) can be identified and the
information can be used to reduce the likelihood of error within the task.
Factors within the individuals themselves, the organization or the environment that influence the probability
of error [such as performance shaping factors (PSFs)] are also identified.
The probability of an incorrect action can be estimated by various methods including using a data-base
of similar tasks or expert judgement, such as processing guidelines. Typically, a nominal error rate for a
task type is defined and then a multiplier is applied to represent behavioural or environmental factors that
increase or decrease the probability of failure.
Outputs of this technique include:
— a list of errors or extraordinary performance that can occur and methods by which they can be enhanced
through redesign of the records system;
— human performance modes, types, causes and consequences;
— a qualitative or quantitative assessment of the risk posed by differences in performance.
Various methods have been developed to apply these basic steps. Early methods placed a strong emphasis on
estimating the likelihood of failure. More recent qualitative methods focus on cognitive causes of variations
in human performance with greater analysis of the way performance is modified by external factors and
less on attempting to calculate a failure probability.

8.2.4 Bow tie analysis
A bow tie is a graphical depiction of pathways from the causes of an event to its consequences. It shows the
controls that modify the likelihood of the event and those that modify the consequences if the event occurs.
Bow tie diagrams can be constructed starting from fault and event trees, but are more often drawn directly
by a team in a workshop scenario.
This technique is used to display and communicate information about risks in situations where an event has
a range of possible causes and consequences. A bow tie is used when assessing controls to check that each
pathway from cause to event and event to consequence has effective controls, and that factors that could
cause controls to fail (including management systems failures) are recognized. It can be used as the basis
of a means to record information about a risk that does not fit the simple linear representation of a risk
register.
NOTE IEC 31010:2019, Fig
...

Norme
internationale
ISO 18128
Première édition
Information et documentation —
2024-03
Risques liés aux documents
d’activité — Appréciation du risque
pour la gestion des documents
d’activité
Information and documentation — Records risks — Risk
assessment for records management
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2024
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
3.1 Termes spécifiques au risque .2
3.2 Termes spécifiques aux documents d’activité .2
4 Concepts principaux. 3
4.1 Questions et préoccupations relatives à l’incertitude .3
5 Définition du domaine d’application, du contexte et des critères . 4
5.1 Généralités .4
5.2 Définition du domaine d’application .4
5.3 Contexte interne et externe .5
5.3.1 Généralités .5
5.3.2 Contexte externe .5
5.3.3 Contexte interne .5
5.4 Définition des critères de risques liés aux documents d’activité .6
5.5 Description du risque .7
6 Utilisations des techniques d’appréciation du risque . 7
7 Identification du risque . 8
7.1 Généralités .8
7.2 Techniques d’identification des risques .9
7.2.1 Généralités .9
7.2.2 Analyse des listes de contrôle pour l’identification du risque .9
8 Analyse du risque . 10
8.1 Généralités .10
8.2 Techniques d’analyse des risques .11
8.2.1 Généralités .11
8.2.2 Analyse d’impact sur l’activité (AIA) .11
8.2.3 Analyse de fiabilité humaine (AFH) . 12
8.2.4 Analyse «nœud papillon». 13
9 Évaluation du risque . 14
9.1 Généralités .14
9.2 Techniques d’évaluation des risques . .14
9.2.1 Critère du niveau le plus bas que l’on peut raisonnablement atteindre (ALARP,
de l’anglais «As low as reasonably practicable») .14
9.2.2 Maintenance basée sur la fiabilité (MBF) . 15
9.2.3 Indices de risque .18
9.2.4 Analyse coût/bénéfice . 20
Annexe A (informative) Catégorisation des techniques conformément à l’IEC 31010 .23
Annexe B (informative) Liste de contrôle visant à identifier les zones d’incertitude .26
Bibliographie .31

iii
Avant propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux
de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général
confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire
partie du comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (IEC) en ce qui concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a
été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L’ISO attire l’attention sur le fait que la mise en application du présent document peut entraîner l’utilisation
d’un ou de plusieurs brevets. L’ISO ne prend pas position quant à la preuve, à la validité et à l’applicabilité de
tout droit de brevet revendiqué à cet égard. À la date de publication du présent document, l’ISO n'avait pas
reçu notification qu’un ou plusieurs brevets pouvaient être nécessaires à sa mise en application. Toutefois,
il y a lieu d’avertir les responsables de la mise en application du présent document que des informations
plus récentes sont susceptibles de figurer dans la base de données de brevets, disponible à l'adresse
www.iso.org/brevets. L’ISO ne saurait être tenue pour responsable de ne pas avoir identifié tout ou partie de
tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de
l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles techniques au
commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 46, Information et documentation, sous-
comité SC 11, Archives/Gestion des documents d’activité.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve à l’adresse www.iso.org/fr/members.html.

iv
Introduction
Les organismes performants identifient et gèrent tous les risques liés à leur activité. L’identification et le
management des risques liés aux processus, aux moyens de maîtrise et aux systèmes documentaires (risques
liés aux documents d’activité) relèvent de la responsabilité des professionnels de la gestion des documents
d’activité de l’organisme.
Le présent document est destiné à aider les professionnels de la gestion des documents d’activité et les
personnes responsables, au sein de leur organisme, des documents d’activité à apprécier les risques liés aux
documents d’activité.
Il s’agit d’une activité distincte de la tâche consistant à identifier et apprécier les risques professionnels de
l’organisme, pour lequel la création et la tenue des documents d’activité appropriés constituent une réponse
stratégique. Les décisions relatives à la création ou non des documents d’activité pour répondre aux risques
généraux de l’activité sont des décisions de gestion qu’il convient d’éclairer par l’analyse des exigences
de l’organisme en matière de documents d’activité. Cette analyse est assurée par des professionnels de
la gestion des documents d’activité conjointement avec les dirigeants. Le présent document repose sur le
principe que l’organisme a créé des documents d’activité concernant ses activités professionnelles pour
répondre à des objectifs opérationnels ou autres, et qu’il a mis en place au moins les mécanismes minimaux
de gestion systématique de ces documents d’activité.
Les conséquences des événements porteurs de risques pour les documents d’activité peuvent se traduire par
la perte ou la détérioration des documents d’activité qui, par conséquent, ne sont plus exploitables, fiables,
authentiques, complets ou inaltérés et qui, donc, peuvent ne plus répondre aux objectifs de l’organisme.
Le présent document fournit des recommandations et des exemples en se basant sur le processus général
de management du risque défini dans l’ISO 31000 (voir Figure 1) à appliquer aux risques liés aux documents
d’activité, y compris des informations sur les outils et techniques d’appréciation du risque pertinents. Il
couvre les composantes de l’appréciation du risque suivantes:
a) identification du risque,
b) analyse des risques et
c) évaluation du risque.
Le présent document présente et détaille certaines techniques de l’IEC 31010 applicables dans un
environnement de gestion des documents d’activité (voir le Tableau A.2 pour consulter la liste des
techniques).
Il convient d’intégrer au cadre organisationnel général de management du risque de l’organisme les résultats
de l’appréciation des risques liés aux documents d’activité. Ainsi, l’organisme aura un meilleur contrôle de
ses documents d’activité et de leur qualité pour répondre aux besoins de ses objectifs professionnels.
Le présent document n’aborde pas le traitement des risques. Une fois l’appréciation des risques liés aux
documents d’activité achevée, les risques faisant l’objet de l’appréciation sont documentés et communiqués
au service chargé du management du risque au sein de l’organisme. Il convient que la réponse à apporter aux
risques faisant l’objet de l’appréciation entre dans le cadre du programme global de management du risque
de l’organisme. Le professionnel de la gestion des documents d’activité attribue une priorité aux risques
faisant l’objet de l’appréciation pour étayer les décisions de l’organisme relatives au management de ces
risques.
v
NOTE Source: ISO 31000:2018, Figure 4
Figure 1 — Processus de management du risque

vi
Norme internationale ISO 18128:2024(fr)
Information et documentation — Risques liés aux documents
d’activité — Appréciation du risque pour la gestion des
documents d’activité
1 Domaine d’application
Le présent document fournit:
a) des méthodes visant à identifier et à documenter les risques liés aux documents d’activité ainsi qu’aux
processus, moyens de maîtrise et systèmes documentaires;
b) des techniques d’analyse des risques liés aux documents d’activité;
c) des lignes directrices pour effectuer une évaluation des risques liés aux documents d’activité.
Le présent document a pour objet d’aider les organismes à apprécier les risques liés aux documents
d’activité de manière qu’ils puissent s’assurer que les documents d’activité répondent toujours aux besoins
professionnels identifiés aussi longtemps que nécessaire.
Le présent document peut être utilisé par tous les organismes, quelles que soient leur taille, la nature de
leurs activités ou la complexité de leurs fonctions et de leur structure.
Le présent document ne traite pas directement de l’atténuation des risques, les méthodes en la matière
différant d’un organisme à l’autre.
Il peut être utilisé par des professionnels de la gestion des documents d’activité ou par des responsables
de documents d’activité ainsi que de processus, moyens de maîtrise et systèmes documentaires liés aux
documents d’activité au sein d’un organisme, ainsi que par des auditeurs ou des dirigeants responsables des
programmes de management du risque de leur organisme.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique. Pour
les références non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
ISO 30300, Information et documentation — Systèmes de gestion des documents d'activité — Principes
essentiels et vocabulaire
ISO 31000, Management du risque — Lignes directrices
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO 30300, l’ISO 31000 ainsi que les
suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation,
consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/

3.1 Termes spécifiques au risque
3.1.1
risque
effet de l’incertitude sur la réalisation des objectifs
Note 1 à l'article: Un effet est un écart par rapport à une attente. Il peut être positif, négatif ou les deux à la fois, et peut
prendre en compte, créer ou aboutir à des opportunités et des menaces.
Note 2 à l'article: L’incertitude est l’état, même partiel, de manque d’information relativement à la compréhension ou la
connaissance d’un événement, de ses conséquences ou de sa vraisemblance.
Note 3 à l'article: Les objectifs peuvent comprendre différents aspects et différentes catégories et s’appliquer à
différents niveaux.
Note 4 à l'article: Un risque est souvent exprimé en termes de sources de risque, d’événements potentiels, de leurs
conséquences et de leur vraisemblance.
Note 5 à l'article: Dans les termes et définitions de la structure de niveau supérieure des systèmes de management
indiqués dans les Directives ISO/IEC, Partie 1:2019 Annexe L, la définition de risque et les Notes à l’article sont
légèrement différentes.
[SOURCE: ISO 30300:2020, 3.1.26]
3.1.2
management du risque
activités coordonnées dans le but de diriger et piloter un organisme vis-à-vis du risque
[SOURCE: ISO 31000:2018, 3.2]
3.2 Termes spécifiques aux documents d’activité
3.2.1
document d’activité faisant autorité
document d’activité (3.2.2) ayant des caractéristiques d’authenticité, de fiabilité, d’intégrité et d’utilisabilité
[SOURCE: ISO 30300:2020, 3.2.3]
3.2.2
document d’activité
informations créées, reçues et préservées comme preuve et actif par un organisme, dans l’exercice de ses
obligations légales ou la conduite des opérations liées à son activité
Note 1 à l'article: L’expression «documents d’activité» est généralement utilisée au pluriel.
Note 2 à l'article: Lors de la mise en œuvre d’une Norme de systèmes de management (NSM), les documents d’activité
créés pour conduire et orienter le système de management ainsi que pour documenter sa mise en œuvre sont appelés
informations documentées.
[SOURCE: ISO 30300:2020, 3.2.10]
3.2.3
moyens de maîtrise des documents d’activité
outils d’aide à la conduite des processus liés aux documents d’activité (3.2.5)
EXEMPLE Les moyens de maîtrise des documents d’activité incluent par exemple les référentiels de métadonnées
pour la gestion des documents d’activité, les plans de classement fonctionnels, les règles d’accès et d’habilitation, et le
référentiel de gestion des documents d’activité.
[SOURCE: ISO 30300:2020, 3.5.6]

3.2.4
gestion des documents d’activité (terme à privilégier)
conservation des documents d’activité (terme admis)
domaine en charge de la stratégie et du contrôle efficace et systématique des documents d’activité (3.2.2),
au moyen de processus liés aux documents d’activité (3.2.5), de moyens de maîtrise des documents d’activité
(3.2.3) et de systèmes documentaires (3.2.7)
[SOURCE: ISO 30300:2020, 3.4.12]
3.2.5
processus liés aux documents d’activité
ensemble d’activités visant à gérer les documents d’activité faisant autorité
[SOURCE: ISO 30300:2020, 3.4.13]
3.2.6
exigence relative aux documents d’activité
exigences de preuve de la fonction, de l’activité ou de l’opération des processus liés aux documents d’activité
et de quelle manière ainsi que la durée de leur conservation
[SOURCE: ISO 30300:2020, 3.3.2]
3.2.7
risque lié aux documents d’activité
risque (3.1.1) lié aux processus liés aux documents d’activité (3.2.5), aux moyens de maîtrise des documents
d’activité (3.2.3) et aux systèmes documentaires (3.2.8)
Note 1 à l'article: Le management du risque des documents d’activité est associé à l’appréciation et aux exigences
relatives aux documents d’activité.
3.2.8
système documentaire
système d’information qui gère les documents d’activité (3.2.2) dans le temps
[SOURCE: ISO 30300:2020, 3.6.4]
4 Concepts principaux
4.1 Questions et préoccupations relatives à l’incertitude
L’incertitude est un terme recouvrant de nombreux concepts sous-jacents. L’une des formes communément
reconnues de l’incertitude est l’incertitude décisionnelle. Cette dernière est particulièrement pertinente
dans le cadre des stratégies de management du risque et identifie l’incertitude associée aux systèmes de
valeur, au discernement professionnel, aux valeurs organisationnelles ainsi qu’aux normes sociétales.
Quelques exemples d’incertitude:
— l’incertitude liée à la véracité des hypothèses, y compris les suppositions concernant le comportement
potentiel des personnes ou des systèmes;
— la variabilité des paramètres sur lesquels repose une décision;
— l’incertitude concernant la validité ou l’exactitude des modèles établis pour prédire des faits futurs;
— les événements (y compris les changements de circonstances ou de conditions) dont la fréquence, le
caractère ou les conséquences sont incertains;
— l’incertitude liée aux événements perturbateurs;
— les résultats incertains concernant des problèmes systémiques, tels que le manque de personnel
compétent, qui peuvent avoir des impacts très variés ne pouvant être clairement définis;

— le manque de connaissances lorsqu’une incertitude est identifiée mais pas vraiment comprise;
— l’imprévisibilité;
— l’incertitude due aux limites de l’esprit humain (par exemple, pour comprendre des données complexes,
prédire des situations entraînant des conséquences à long terme et émettre des jugements non biaisés).
Il n’est pas possible de comprendre toutes les incertitudes et il peut s’avérer difficile, voire impossible, de
définir ou d’influer sur leur importance. Toutefois, reconnaître que l’incertitude existe dans un contexte
spécifique permet d’instaurer des systèmes d’alerte précoce afin de détecter tout changement de manière
proactive et opportune et d’effectuer des ajustements afin d’assurer une certaine résilience en cas de
circonstances inattendues.
5 Définition du domaine d’application, du contexte et des critères
5.1 Généralités
L’établissement du domaine d’application, du contexte et des critères a pour but d’adapter le processus
de management du risque, en permettant une appréciation du risque efficace et un traitement du risque
approprié.
Lorsque les professionnels de la gestion des documents d’activité sont impliqués dans les processus de
management du risque de l’organisme, ils peuvent prendre en compte:
a) leurs rôles et responsabilités en tant qu’experts techniques du domaine de la gestion des documents
d’activité, et notamment dans l’appréciation des risques liés aux documents d’activité;
b) l’étendue et le domaine d’application des activités d’appréciation du risque, en particulier la
compréhension des relations avec d’autres domaines, tels que la gestion des incidents et la sécurité des
informations. Il convient que ces relations soient rendues explicites afin d’éviter tout conflit ainsi que
toute duplication des efforts et de permettre une approche intégrée du management du risque;
c) la méthodologie et les mécanismes de rapports (il convient que la méthodologie et les techniques
d’appréciation du risque normalisées soient appliquées, dans la mesure du possible);
d) les critères de risque: lorsque l’organisme dispose de critères de risques généraux, il convient que les
risques liés aux documents d’activité soient appréciés en utilisant ces critères.
Il convient d’intégrer l’appréciation des risques liés aux documents d’activité dans le processus général de
management du risque de l’organisme, lorsqu’il en existe un. Il convient que les professionnels de la gestion
des documents d’activité prennent en compte le contexte interne et externe de l’organisme, en particulier les
exigences de l’organisme par rapport aux documents d’activité faisant autorité afin d’appuyer les besoins et
objectifs professionnels.
Lorsque l’organisme ne dispose pas de processus général de management du risque, il est nécessaire que
les professionnels de la gestion des documents d’activité déterminent des critères de risque s’appliquant
aux processus, aux moyens de maîtrise et aux systèmes documentaires préalablement au processus
d’appréciation.
5.2 Définition du domaine d’application
Il convient que l’organisme définisse le domaine d’application de ses activités de management du risque.
Le processus de management du risque peut être appliqué à différents niveaux (par exemple, au niveau de
la stratégie, des opérations, des programmes, des projets ou d’autres activités). Il est important d’être clair
sur le domaine d’application en question, les objectifs documentaires pertinents à prendre en compte et leur
alignement par rapport aux objectifs organisationnels.

Concernant le management des risques liés aux documents d’activité, lors de la planification de l’approche,
les considérations suivantes sont à prendre en compte:
— les objectifs liés aux documents d’activité et les décisions qu’il est nécessaire de prendre;
— les résultats du processus d’appréciation des documents d’activité;
— les inclusions et exclusions spécifiques;
— les techniques appropriées d’appréciation du risque;
— les résultats attendus des étapes du processus;
— les ressources nécessaires, les responsabilités et les documents d’activité à conserver;
— les relations avec d’autres projets, processus, activités et objectifs.
5.3 Contexte interne et externe
5.3.1 Généralités
Le contexte interne et externe est l’environnement dans lequel l’organisme cherche à définir et atteindre ses
objectifs. La compréhension du contexte est importante car:
— le management du risque s’applique dans le contexte des objectifs et des activités de l’organisme;
— les facteurs organisationnels peuvent être une source de risque;
— la finalité et le domaine d’application du processus de management du risque peuvent être corrélés aux
objectifs de l’organisme dans son ensemble.
5.3.2 Contexte externe
Le contexte externe peut inclure des facteurs tels que les environnements socioculturel, légal, réglementaire,
financier, technologique, économique, naturel et concurrentiel. Les changements externes au contexte de
l’organisme peuvent affecter les opérations de ce dernier et influer, directement ou consécutivement, sur les
exigences relatives à ses documents d’activité.
5.3.3 Contexte interne
Le contexte interne peut comprendre des facteurs tels que:
— la gouvernance, la structure organisationnelle, les rôles et les responsabilités;
— des changements au niveau du leadership exécutif (par exemple, les représentants élus ou le conseil
d’administration);
— les ingérences politiques;
— la culture, les comportements et les pratiques liés à l’information et à la conservation des documents
d’activité;
— les capacités et l’éthique relatives à la conservation des documents d’activité;
— les systèmes de documents d’activité et d’information, les flux d’informations et les processus de prise de
décision;
— les technologies mises en place, y compris les systèmes hérités et les systèmes de collaboration externe;
— les normes, les meilleures pratiques, les politiques, les lignes directrices et les procédures adoptées par
l’organisme.
Les changements internes au contexte de l’organisme peuvent influer sur les opérations de ce dernier et
affecter directement les documents d’activité ainsi que les processus, moyens de maîtrise et systèmes
documentaires.
5.4 Définition des critères de risques liés aux documents d’activité
5.4.1 Il convient que l’organisme spécifie le niveau et le type de risque qu’il peut ou non prendre en
fonction de ses objectifs. Il convient également qu’il définisse des critères permettant d’évaluer l’importance
du risque afin d’étayer les processus décisionnels. Il convient que les critères de risques liés aux documents
d’activité soient alignés avec les critères de risque généraux ainsi qu’avec le cadre général de management
du risque.
Bien qu’il convienne d’établir les critères de risque au début du processus d’appréciation du risque, ces
critères sont dynamiques et il convient qu’ils soient revus en permanence et modifiés si nécessaire.
5.4.2 Il convient que les critères de risque soient basés sur les exigences professionnelles, les exigences
légales et d’autres exigences de l’organisme, ainsi que sur les opinions des parties prenantes. Pour fixer les
critères de risque, il convient de prendre en compte les éléments suivants:
a) la façon dont les conséquences (positives et négatives) et la vraisemblance seront définies et mesurées;
b) les facteurs liés au temps;
c) la cohérence dans l’utilisation des mesures;
d) la méthode de détermination du niveau de risque;
e) la façon dont les combinaisons et séquences de plusieurs risques seront prises en compte;
f) la capacité de l’organisme;
g) la méthode pour déterminer si un risque est acceptable et/ou tolérable;
h) la méthode pour déterminer s’il est nécessaire de traiter ou de signaler un risque.
5.4.3 Pour fixer les critères de risques liés aux documents d’activité, il convient de prendre en compte les
éléments suivants:
a) la nature et le type des incertitudes pouvant avoir une incidence sur les objectifs et résultats liés aux
documents d’activité;
b) le caractère critique ou la valeur des processus, moyens de maîtrise et systèmes documentaires par
rapport aux opérations professionnelles;
c) la valeur des documents d’activité créés et les fonctions, activités ou transactions qu’ils concernent;
d) le niveau de pertes ou d’impact lié à l’authenticité, la fiabilité, l’intégrité et utilisabilité des documents
d’activité;
e) la taille et le domaine d’application des systèmes documentaires au sein de l’organisme;
f) la fiabilité, la sécurité, la conformité aux procédures, l’exhaustivité, la systématisation et la disponibilité
des systèmes documentaires;
g) l’intégration des systèmes documentaires par rapport à d’autres systèmes de l’activité;
h) les impacts liés aux risques pour les utilisateurs et les parties prenantes;
i) les événements porteurs de risques et les résultats qu’il est nécessaire d’éviter ou de considérer comme
des opportunités;
j) le nombre et l’efficacité des moyens de maîtrise existants ou qu’il est possible de mettre en pratique
concernant les risques;
k) tout avantage ou toute opportunité accompagnant les risques liés aux documents d’activité ou à la
gestion des documents d’activité.
5.5 Description du risque
Les risques identifiés sont généralement décrits et partagés dans des déclarations de risques. Une déclaration
de risques bien définie présente des informations relatives aux risques utiles et pertinentes qui permettent
d’étayer la prise de décision dans l’ensemble de l’organisme.
Il convient que les déclarations de risques soient claires, concises et pertinentes par rapport à l’activité et
aux objectifs de l’organisme. Une déclaration de risques bien définie peut contenir des éléments tels que:
— les documents d’activité et processus ou systèmes documentaires à risque;
— les sources de risque ou les zones d’incertitude;
— les événements;
— les conséquences associées à la source de risques et à l’événement porteur de risques.
La Figure 2 présente un exemple de déclaration de risques:
Figure 2 — Exemple d’une déclaration de risques
Il convient d’élaborer des déclarations de risques liés aux documents d’activité qui soient claires et précises afin:
— de sensibiliser aux risques liés aux documents d’activité pertinents pour l’organisme et de comprendre
ces risques;
— d’aider à planifier et à améliorer les réponses aux risques;
— d’aider à améliorer les processus, moyens de maîtrise et systèmes documentaires.
6 Utilisations des techniques d’appréciation du risque
Les techniques décrites dans le présent document offrent des moyens de mieux comprendre le processus
d’appréciation du risque et ses implications pour la prise de décision.
L’ISO 31000 décrit les principes de management du risque ainsi que les fondements et adaptations
organisationnelles permettant de gérer les risques. Elle spécifie un processus permettant de reconnaître,
de comprendre et d’influer sur les risques, le cas échéant, en fonction de critères établis au sein même du
processus.
L’IEC 31010 décrit plusieurs techniques d’appréciation du risque utilisées:
— lorsqu’il est requis de mieux comprendre les risques existants ou un risque en particulier;
— au sein d’un processus de management du risque menant à des actions pour traiter les risques;

— lorsqu’il est nécessaire de comparer ou d’optimiser plusieurs options porteuses de risques en vue de
prendre une décision.
La manière d’apprécier les risques dépend de la complexité et du caractère inédit de la situation, ainsi que du
niveau de connaissances en la matière et de compréhension.
Les techniques incluses et détaillées dans la présente Norme internationale sont applicables dans un
environnement de gestion des documents d’activité.
7 Identification du risque
7.1 Généralités
La finalité de l’identification des risques liés aux documents d’activité est de trouver, reconnaître et décrire
les risques pouvant avoir une incidence, positive ou négative, sur la capacité des documents d’activité à
répondre aux besoins de l’organisme. Le processus d’identification des risques englobe l’identification des
causes et des sources du risque, des évènements, des situations ou des circonstances pouvant avoir des
conséquences sur les objectifs de l’organisme. Il convient également d’envisager les risques positifs liés aux
documents d’activité (souvent appelés «opportunités»). Ces opportunités peuvent comprendre les risques
susceptibles de renforcer les capacités de gestion des documents d’activité d’un organisme.
Les risques liés aux documents d’activité sont plus particulièrement identifiés par rapport à leur capacité à:
— compromettre ou préserver l’authenticité, la fiabilité, l’intégrité et utilisabilité des documents d’activité;
— fragiliser ou renforcer les processus, moyens de maîtrise et systèmes documentaires;
— menacer ou préserver la fiabilité, la sécurité, la conformité à la procédure, l’exhaustivité et la
systématisation des systèmes documentaires.
Il convient que les professionnels de la gestion des documents d’activité identifient tous les risques liés aux
documents d’activité, que la source de ces risques soit sous leur contrôle ou sous le contrôle de l’organisme. Il
convient de tenir compte du fait qu’il peut y avoir plusieurs types de résultat pouvant avoir des conséquences
diverses, tangibles ou intangibles.
Afin d’identifier les risques liés aux documents d’activité, il convient que les professionnels de la gestion des
documents d’activité:
— comprennent l’organisme et son contexte (interne comme externe), y compris toute question pertinente
au regard de ses objectifs et qui peut affecter sa capacité à obtenir les résultats d’activité souhaités;
— identifient les domaines d’activité critiques;
— identifient les besoins et exigences relatifs aux documents d’activité;
— documentent comment, où et pourquoi les documents d’activité sont créés, capturés, gérés et éliminés;
— évaluent la valeur et le caractère critique des documents d’activité créés et gérés par l’organisme;
— prennent en compte la culture ainsi que les comportements relatifs à la conservation des documents
d’activité et à l’information, et la manière dont ces facteurs peuvent affecter les processus, moyens de
maîtrise et systèmes documentaires;
— connaissent et comprennent le système documentaire ainsi que d’autres systèmes professionnels
destinés à appuyer les activités de l’organisme;
— établissent une liste de sources possibles de risques, y compris les vulnérabilités du système documentaire
et les moyens de maîtrise des systèmes existants.

7.2 Techniques d’identification des risques
7.2.1 Généralités
Il existe de nombreuses techniques d’identification du risque. Afin de s’assurer que les documents d’activité
appuient les besoins professionnels de l’organisme, il convient que les professionnels de la gestion des
documents d’activité recueillent les contributions de différentes parties prenantes, telles que les experts en
la matière, les utilisateurs et les chefs d’entreprise. Les risques peuvent être identifiés grâce aux activités
formelles de management du risque, ainsi qu’à des activités organisationnelles classiques telles que:
— l’évaluation de la conformité aux normes;
— la consignation des incidents ou réclamations;
— les activités d’assurance qualité et de contrôle de la qualité;
— l’appréciation des documents d’activité (l’ISO/TR 21946 fournit de plus amples informations à ce sujet);
— les activités d’audit;
— les réunions d’équipe régulières.
Les professionnels de la gestion des documents d’activité peuvent utiliser différents outils et techniques comme:
— un brainstorming, afin d’identifier de nouveaux risques et des solutions innovantes;
— une analyse des listes de contrôle, lors de laquelle les listes de contrôle pertinentes au regard des
catégories et de certains événements peuvent être élaborées et évaluées. Il est possible de se servir des
précédents registres de risque comme point de départ pour l’identification des risques;
— des entretiens, afin d’obtenir des informations approfondies et de permettre l’exploration des problèmes
au cas par cas;
— une analyse des causes premières, afin d’identifier les sources et causes potentielles de risques sur la
base d’événements similaires qui se sont produits par le passé.
Il convient que les risques identifiés soient documentés grâce aux mécanismes appropriés au sein de
l’organisme.
7.2.2 Analyse des listes de contrôle pour l’identification du risque
Les listes de contrôle sont utilisées de plusieurs manières lors de l’appréciation du risque afin d’aider à
comprendre le contexte, identifier les risques et regrouper ces derniers à différentes fins pendant l’analyse.
Elles sont également utiles dans le management du risque: par exemple, pour classer les contrôles et
traitements, pour définir les pouvoirs et responsabilités ou pour consigner les risques et communiquer à leur
sujet. Il s’agit là d’une technique qu’il est possible d’utiliser pour identifier des risques liés aux documents
d’activité, mais il existe d’autres techniques.
Une liste de contrôle peut s’appuyer sur l’expérience des échecs et réussites passés, mais des typologies et
taxonomies de risque plus formelles peuvent être élaborées afin de catégoriser ou de classer les risques
selon des attributs communs. L’analyse des forces, faiblesses, opportunités et menaces SWOT (de l’anglais:
«Strengths, Weaknesses, Opportunities and Threats»), et l’analyse politique, économique, sociologique,
technologique, environnemental et légal PESTEL (ou STEEPLED, de l’anglais: «Social, Technological,
Economic, Environmental, Political, Legal, Ethical, Demographics») sont des exemples de listes de contrôle,
de classifications ou de taxonomies communément utilisées au niveau stratégique pour identifier les
facteurs des contextes externe et interne. Au niveau des opérations, des listes de contrôle sont utilisées
afin d’identifier les dangers selon les sources ou les conséquences liées aux risques. Le Tableau 1 donne un
exemple de liste de contrôle.
Tableau 1 — Liste de contrôle comportant des exemples de sources de risques liés aux documents
d’activité
Catégorie Source potentielle de risques
Documents d’activité Processus de création de documents d’activité inadéquats
Processus de capture de documents d’activité inadéquats
Format de création de documents d’activité incorrect
Métadonnées incomplètes lors de la capture des documents d’acti-
vité
Processus liés aux documents d’activité Aucune fonctionnalité conçue pour capturer et gérer les docu-
ments d’activité et métadonnées au sein du système.
Manque de documentation ou documentation inappropriée par
rapport aux processus.
Données capturées manquantes, incomplètes et/ou incohérentes.
Niveau de qualification des administrateurs systèmes et compré-
hension qu’ils ont des exigences relatives aux processus liés aux
documents d’activité pour la gestion des documents d’activité dans
les systèmes.
Obsolescence de la technologie et du format.
Moyens de maîtrise des documents d’activité Moyens de maîtrise des documents d’activité inadaptés lors de la
capture des documents d’activité dans le système.
Règles d’accès et d’habilitation et politiques de sécurité inadaptées.
Données ou informations sensibles accidentellement compromises
par l’utilisateur.
Systèmes documentaires Mécanismes de planification et de contrôle inadaptés au niveau du
processus professionnel et de la mise en œuvre du système.
Incompatibilité de la technologie déployée par rapport à la techno-
logie existante.
Manque d’expertise et/ou de ressources pour mettre en œuvre,
maintenir et mettre à jour les systèmes.
Changements apportés à l’activité et aux systèmes d’exploitation
ayant une incidence sur les systèmes documentaires.
Manque d’assistance et de maintenance.
Performances du système inadaptées concernant la productivité,
l’efficience, la régularité ou d’autres mesures.
En général, plus la liste de contrôle est spécifique, plus son utilisation se restreint au contexte particulier
dans lequel elle a été élaborée. L’Annexe A de l’ISO 30301:2019 peut servir de base pour élaborer un
...

ISO/PRF 18128:2024(fr)
ISO/TC 46/SC 11
Date : Première édition
2024-03
Secrétariat : SA
Information et documentation — Risques liés aux documents
d’activité — Appréciation du risque pour la gestion des documents
d’activité
Information and documentation ― Record — Records risks ―— Risk asssessmentassessment for records
management
ÉPREUVE
ISO/PRF 18128:2024(fr)
© ISO 2024
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvreoeuvre, aucune partie
de cette publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique
ou mécanique, y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable.
Les demandes d’autorisation peuvent être adresséesUne autorisation peut être demandée à l’ISO à l’adresse ci-après ou
au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, GenèveGeneva
Tél. : + Phone: + 41 22 749 01 11
E-mail : copyright@iso.org
Site Web Website: www.iso.org
Publié en Suisse
© ISO 2024 – Tous droits réservés

ii
ISO/PRF 18128:2024(fr)
Sommaire Page
Avant propos . iv
Introduction . vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
3.1 Termes spécifiques au risque . 2
3.2 Termes spécifiques aux documents d’activité. 2
4 Concepts principaux . 3
4.1 Questions et préoccupations relatives à l’incertitude . 3
5 Définition du domaine d’application, du contexte et des critères . 4
5.1 Généralités . 4
5.2 Définition du domaine d’application . 5
5.3 Contexte interne et externe . 5
5.3.1 Généralités . 5
5.3.2 Contexte externe . 5
5.3.3 Contexte interne . 6
5.4 Définition des critères de risques liés aux documents d’activité . 6
5.5 Description du risque . 7
6 Utilisations des techniques d’appréciation du risque . 8
7 Identification du risque . 9
7.1 Généralités . 9
7.2 Techniques d’identification des risques . 10
7.2.1 Généralités . 10
7.2.2 Analyse des listes de contrôle pour l’identification du risque . 10
8 Analyse du risque. 12
8.1 Généralités . 12
8.2 Techniques d’analyse des risques . 12
8.2.1 Généralités . 12
8.2.2 Analyse d’impact sur l’activité (AIA) . 12
8.2.3 Analyse de fiabilité humaine (AFH) . 13
8.2.4 Analyse «nœud papillon» . 14
9 Évaluation du risque . 16
9.1 Généralités . 16
9.2 Techniques d’évaluation des risques . 17
9.2.1 Critère du niveau le plus bas que l’on peut raisonnablement atteindre (ALARP, de
l’anglais «As low as reasonably practicable») . 17
9.2.2 Maintenance basée sur la fiabilité (MBF). 18
9.2.3 Indices de risque . 20
9.2.4 Analyse coût/bénéfice . 23
Annex A (informative) Catégorisation des techniques conformément à l’IEC 31010 . 26
Annex B (informative) Liste de contrôle visant à identifier les zones d’incertitude . 30
Bibliographie . 35

© ISO 2024 – Tous droits réservés

iii
ISO/PRF 18128:2024(fr)
Avant propos
L'ISOIntroduction . vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions. 1
3.1 Termes spécifiques au risque . 2
3.2 Termes spécifiques aux documents d’activité . 2
4 Concepts principaux . 3
4.1 Questions et préoccupations relatives à l’incertitude . 3
5 Définition du domaine d’application, du contexte et des critères . 4
5.1 Généralités . 4
5.2 Définition du domaine d’application . 5
5.3 Contexte interne et externe . 5
5.3.1 Généralités . 5
5.3.2 Contexte externe . 5
5.3.3 Contexte interne . 6
5.4 Définition des critères de risques liés aux documents d’activité . 6
5.5 Description du risque . 7
6 Utilisations des techniques d’appréciation du risque . 8
7 Identification du risque . 9
7.1 Généralités . 9
7.2 Techniques d’identification des risques . 10
7.2.1 Généralités . 10
7.2.2 Analyse des listes de contrôle pour l’identification du risque . 10
8 Analyse du risque . 11
8.1 Généralités . 11
8.2 Techniques d’analyse des risques . 12
8.2.1 Généralités . 12
8.2.2 Analyse d’impact sur l’activité (AIA) . 12
8.2.3 Analyse de fiabilité humaine (AFH) . 13
8.2.4 Analyse « nœud papillon » . 14
9 Évaluation du risque . 16
9.1 Généralités . 16
9.2 Techniques d’évaluation des risques . 16
9.2.1 Critère du niveau le plus bas que l’on peut raisonnablement atteindre (ALARP, de
l’anglais « As low as reasonably practicable ») . 16
9.2.2 Maintenance basée sur la fiabilité (MBF). 17
9.2.3 Indices de risque . 20
9.2.4 Analyse coût/bénéfice . 22
Annexe A (informative) Catégorisation des techniques conformément à l’IEC 31010. 25
Annexe B (informative) Liste de contrôle visant à identifier les zones d’incertitude . 29
Bibliographie . 34
© ISO 2024 – Tous droits réservés

iv
ISO/PRF 18128:2024(fr)
Avant propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismesd'organismes
nationaux de normalisation (comités membres de l’ISO). L’élaborationl'ISO). L'élaboration des Normes
internationales est en général confiée aux comités techniques de l’ISOl'ISO. Chaque comité membre intéressé
par une étude a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISOl'ISO participent également aux travaux.
L’ISOL'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites
dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents critères
d’approbationd'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives www.iso.org/directives).
L’ISO attire l’attention sur le fait que la mise en application du présent document peut entraîner l’utilisation
d’un ou de plusieurs brevets. L’ISO ne prend pas position quant à la preuve, à la validité et à l’applicabilité de
tout droit de brevet revendiqué à cet égard. À la date de publication du présent document, l’ISO n’avaitn'avait
pas reçu notification qu’un ou plusieurs brevets pouvaient être nécessaires à sa mise en application. Toutefois,
il y a lieu d’avertir les responsables de la mise en application du présent document que des informations plus
récentes sont susceptibles de figurer dans la base de données de brevets, disponible à l’adresse
www.iso.org/patents.l'adresse www.iso.org/brevets. L’ISO ne saurait être tenue pour responsable de ne pas
avoir identifié tout ou partie de tels droits de brevetpropriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions spécifiques
de l’ISOl'ISO liés à l’évaluationl'évaluation de la conformité, ou pour toute information au sujet de
l’adhésionl'adhésion de l’ISOl'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant
les obstacles techniques au commerce (OTC), voir le lien suivant : www.iso.org/iso/foreword.htmlavant-
propos.
Le présent document a été élaboré par le comité technique ISO/TC 46, Information et documentation, sous--
comité SC 11, Archives/Gestion des documents d’activité.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve à l’adresse www.iso.org/members.htmlwww.iso.org/fr/members.html.
© ISO 2024 – Tous droits réservés

v
ISO/PRF 18128:2024(fr)
Introduction
Les organismes performants identifient et gèrent tous les risques liés à leur activité. L’identification et le
management des risques liés aux processus, aux moyens de maîtrise et aux systèmes documentaires (risques
liés aux documents d’activité) relèvent de la responsabilité des professionnels de la gestion des documents
d’activité de l’organisme.
Le présent document est destiné à aider les professionnels de la gestion des documents d’activité et les
personnes responsables, au sein de leur organisme, des documents d’activité à apprécier les risques liés aux
documents d’activité.
Il s’agit d’une activité distincte de la tâche consistant à identifier et apprécier les risques professionnels de
l’organisme, pour lequel la création et la tenue des documents d’activité appropriés constituent une réponse
stratégique. Les décisions relatives à la création ou non des documents d’activité pour répondre aux risques
généraux de l’activité sont des décisions de gestion qu’il convient d’éclairer par l’analyse des exigences de
l’organisme en matière de documents d’activité. Cette analyse est assurée par des professionnels de la gestion
des documents d’activité conjointement avec les dirigeants. Le présent document repose sur le principe que
l’organisme a créé des documents d’activité concernant ses activités professionnelles pour répondre à des
objectifs opérationnels ou autres, et qu’il a mis en place au moins les mécanismes minimaux de gestion
systématique de ces documents d’activité.
Les conséquences des événements porteurs de risques pour les documents d’activité peuvent se traduire par
la perte ou la détérioration des documents d’activité qui, par conséquent, ne sont plus exploitables, fiables,
authentiques, complets ou inaltérés et qui, donc, peuvent ne plus répondre aux objectifs de l’organisme.
Le présent document fournit des recommandations et des exemples en se basant sur le processus général de
management du risque défini dans l’ISO 31000 (voir Figure 1) à appliquer aux risques liés aux documents
d’activité, y compris des informations sur les outils et techniques d’appréciation du risque pertinents. Il couvre
les composantes de l’appréciation du risque suivantes :
a) identification du risque,
b) analyse des risques et
c) évaluation du risque.
Le présent document présente et détaille certaines techniques de l’IEC 31010 applicables dans un
environnement de gestion des documents d’activité (voir le Tableau A.2 pour consulter la liste des
techniques).
Il convient d’intégrer au cadre organisationnel général de management du risque de l’organisme les résultats
de l’appréciation des risques liés aux documents d’activité. Ainsi, l’organisme aura un meilleur contrôle de ses
documents d’activité et de leur qualité pour répondre aux besoins de ses objectifs professionnels.
Le présent document n’aborde pas le traitement des risques. Une fois l’appréciation des risques liés aux
documents d’activité achevée, les risques faisant l’objet de l’appréciation sont documentés et communiqués
au service chargé du management du risque au sein de l’organisme. Il convient que la réponse à apporter aux
risques faisant l’objet de l’appréciation entre dans le cadre du programme global de management du risque
de l’organisme. Le professionnel de la gestion des documents d’activité attribue une priorité aux risques
faisant l’objet de l’appréciation pour étayer les décisions de l’organisme relatives au management de ces
risques.
© ISO 2024 – Tous droits réservés

vi
ISO/PRF 18128:2024(fr)
NOTE Source : ISO 31000:2018, Figure 4
Figure 1 — Processus de management du risque
© ISO 2024 – Tous droits réservés

vii
ISO/PRF 18128:2024(fr)
Information et documentation — Risques liés aux documents
d’activité — Appréciation du risque pour la gestion des documents
d’activité
1 Domaine d’application
Le présent document fournit :
a) des méthodes visant à identifier et à documenter les risques liés aux documents d’activité ainsi qu’aux
processus, moyens de maîtrise et systèmes documentaires ;
b) des techniques d’analyse des risques liés aux documents d’activité ;
c) des lignes directrices pour effectuer une évaluation des risques liés aux documents d’activité.
Le présent document a pour objet d’aider les organismes à apprécier les risques liés aux documents d’activité
de manière qu’ils puissent s’assurer que les documents d’activité répondent toujours aux besoins
professionnels identifiés aussi longtemps que nécessaire.
Le présent document peut être utilisé par tous les organismes, quelles que soient leur taille, la nature de leurs
activités ou la complexité de leurs fonctions et de leur structure.
Le présent document ne traite pas directement de l’atténuation des risques, les méthodes en la matière
différant d’un organisme à l’autre.
Il peut être utilisé par des professionnels de la gestion des documents d’activité ou par des responsables de
documents d’activité ainsi que de processus, moyens de maîtrise et systèmes documentaires liés aux
documents d’activité au sein d’un organisme, ainsi que par des auditeurs ou des dirigeants responsables des
programmes de management du risque de leur organisme.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur contenu,
des exigences du présent document. Pour les références datées, seule l’édition citée s’applique. Pour les
références non datées, la dernière édition du document de référence s’appliques'applique (y compris les
éventuels amendements).
ISO 30300, Information et documentation — Systèmes de gestion des documents d’activité d'activité —
Principes essentiels et vocabulaire
ISO 31000, Management du risque — Lignes directrices
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions donnés dansde l’ISO 30300 et, l’ISO 31000,
ainsi que les suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation,
consultables aux adresses suivantes ::
— ISO Online browsing platform: disponible à l’adresse https://www.iso.org/obp
© ISO 2024 – Tous droits réservés

ISO/PRF 18128:2024(fr)
— IEC Electropedia: disponible à l’adresse https://www.electropedia.org/
3.1 Termes spécifiques au risque
3.1.1
risque
effet de l’incertitude sur la réalisation des objectifs
Note 1 à l’article l'article: Un effet est un écart par rapport à une attente. Il peut être positif, négatif ou les deux à la fois,
et peut prendre en compte, créer ou aboutir à des opportunités et des menaces.
Note 2 à l’article l'article: L’incertitude est l’état, même partiel, de manque d’information relativement à la
compréhension ou la connaissance d’un événement, de ses conséquences ou de sa vraisemblance.
Note 3 à l’article l'article: Les objectifs peuvent comprendre différents aspects et différentes catégories et s’appliquer à
différents niveaux.
Note 4 à l’article l'article: Un risque est souvent exprimé en termes de sources de risque, d’événements potentiels, de
leurs conséquences et de leur vraisemblance.
Note 5 à l’article l'article: Dans les termes et définitions de la structure de niveau supérieure des systèmes de
management indiqués dans les Directives ISO/IEC, Partie 1:2019 Annexe L, la définition de risque et les Notes à l’article
sont légèrement différentes.
[SOURCE : ISO 30300:2020, 3.1.26]
3.1.2
management du risque
activités coordonnées dans le but de diriger et piloter un organisme vis-à-vis du risque
[SOURCE : ISO 31000:2018, 3.2]
3.2 Termes spécifiques aux documents d’activité
3.2.1
document d’activité faisant autorité
document d’activité (3.2.2) ayant des caractéristiques d’authenticité, de fiabilité, d’intégrité et d’utilisabilité
[SOURCE : ISO 30300:2020, 3.2.3]
3.2.2
document d’activité
informations créées, reçues et préservées comme preuve et actif par un organisme, dans l’exercice de ses
obligations légales ou la conduite des opérations liées à son activité
Note 1 à l’article : l'article: L’expression « documents d’activité » est généralement utilisée au pluriel.
Note 2 à l’article l'article: Lors de la mise en œuvre d’une Norme de systèmes de management (NSM), les documents
d’activité créés pour conduire et orienter le système de management ainsi que pour documenter sa mise en œuvre sont
appelés informations documentées.
[SOURCE : ISO 30300:2020, 3.2.10]
3.2.3
moyens de maîtrise des documents d’activité
outils d’aide à la conduite des processus liés aux documents d’activité (3.2.5)
© ISO 2024 – Tous droits réservés

ISO/PRF 18128:2024(fr)
EXEMPLE Les moyens de maîtrise des documents d’activité incluent par exemple les référentiels de métadonnées
pour la gestion des documents d’activité, les plans de classement fonctionnels, les règles d’accès et d’habilitation, et le
référentiel de gestion des documents d’activité.
[SOURCE : ISO 30300:2020, 3.5.6]
3.2.4
gestion des documents d’activité (terme à privilégier)
conservation des documents d’activité (terme admis)
domaine en charge de la stratégie et du contrôle efficace et systématique des documents d’activité (3.2.2), au
moyen de processus liés aux documents d’activité (3.2.5), de moyens de maîtrise des documents d’activité (3.2.3)
et de systèmes documentaires (3.2.7)
[SOURCE : ISO 30300:2020, 3.4.12]
3.2.5
processus liés aux documents d’activité
ensemble d’activités visant à gérer les documents d’activité faisant autorité
[SOURCE : ISO 30300:2020, 3.4.13]
3.2.6
exigence relative aux documents d’activité
exigences de preuve de la fonction, de l’activité ou de l’opération des processus liés aux documents d’activité
et de quelle manière ainsi que la durée de leur conservation
[SOURCE : ISO 30300:2020, 3.3.2]
3.2.7
risque lié aux documents d’activité
risque (3.1.1) lié aux processus liés aux documents d’activité (3.2.5), aux moyens de maîtrise des documents
d’activité (3.2.3) et aux systèmes documentaires (3.2.8)
Note 1 à l’article l'article: Le management du risque des documents d’activité est associé à l’appréciation et aux
exigences relatives aux documents d’activité.
3.2.8
système documentaire
système d’information qui gère les documents d’activité (3.2.2) dans le temps
[SOURCE : ISO 30300:2020, 3.6.4]
4 Concepts principaux
4.1 Questions et préoccupations relatives à l’incertitude
L’incertitude est un terme recouvrant de nombreux concepts sous-jacents. L’une des formes communément
reconnues de l’incertitude est l’incertitude décisionnelle. Cette dernière est particulièrement pertinente dans
le cadre des stratégies de management du risque et identifie l’incertitude associée aux systèmes de valeur, au
discernement professionnel, aux valeurs organisationnelles ainsi qu’aux normes sociétales.
Quelques exemples d’incertitude :
— l’incertitude liée à la véracité des hypothèses, y compris les suppositions concernant le comportement
potentiel des personnes ou des systèmes ;
© ISO 2024 – Tous droits réservés

ISO/PRF 18128:2024(fr)
— la variabilité des paramètres sur lesquels repose une décision ;
— l’incertitude concernant la validité ou l’exactitude des modèles établis pour prédire des faits futurs ;
— les événements (y compris les changements de circonstances ou de conditions) dont la fréquence, le
caractère ou les conséquences sont incertains ;
— l’incertitude liée aux événements perturbateurs ;
— les résultats incertains concernant des problèmes systémiques, tels que le manque de personnel
compétent, qui peuvent avoir des impacts très variés ne pouvant être clairement définis ;
— le manque de connaissances lorsqu’une incertitude est identifiée mais pas vraiment comprise ;
— l’imprévisibilité ;
— l’incertitude due aux limites de l’esprit humain (par exemple, pour comprendre des données complexes,
prédire des situations entraînant des conséquences à long terme et émettre des jugements non biaisés).
Il n’est pas possible de comprendre toutes les incertitudes et il peut s’avérer difficile, voire impossible, de
définir ou d’influer sur leur importance. Toutefois, reconnaître que l’incertitude existe dans un contexte
spécifique permet d’instaurer des systèmes d’alerte précoce afin de détecter tout changement de manière
proactive et opportune et d’effectuer des ajustements afin d’assurer une certaine résilience en cas de
circonstances inattendues.
5 Définition du domaine d’application, du contexte et des critères
5.1 Généralités
L’établissement du domaine d’application, du contexte et des critères a pour but d’adapter le processus de
management du risque, en permettant une appréciation du risque efficace et un traitement du risque
approprié.
Lorsque les professionnels de la gestion des documents d’activité sont impliqués dans les processus de
management du risque de l’organisme, ils peuvent prendre en compte :
a) leurs rôles et responsabilités en tant qu’experts techniques du domaine de la gestion des documents
d’activité, et notamment dans l’appréciation des risques liés aux documents d’activité ;
b) l’étendue et le domaine d’application des activités d’appréciation du risque, en particulier la
compréhension des relations avec d’autres domaines, tels que la gestion des incidents et la sécurité des
informations. Il convient que ces relations soient rendues explicites afin d’éviter tout conflit ainsi que
toute duplication des efforts et de permettre une approche intégrée du management du risque ;
c) la méthodologie et les mécanismes de rapports (il convient que la méthodologie et les techniques
d’appréciation du risque normalisées soient appliquées, dans la mesure du possible) ;);
d) les critères de risque : lorsque l’organisme dispose de critères de risques généraux, il convient que les
risques liés aux documents d’activité soient appréciés en utilisant ces critères.
Il convient d’intégrer l’appréciation des risques liés aux documents d’activité dans le processus général de
management du risque de l’organisme, lorsqu’il en existe un. Il convient que les professionnels de la gestion
des documents d’activité prennent en compte le contexte interne et externe de l’organisme, en particulier les
© ISO 2024 – Tous droits réservés

ISO/PRF 18128:2024(fr)
exigences de l’organisme par rapport aux documents d’activité faisant autorité afin d’appuyer les besoins et
objectifs professionnels.
Lorsque l’organisme ne dispose pas de processus général de management du risque, il est nécessaire que les
professionnels de la gestion des documents d’activité déterminent des critères de risque s’appliquant aux
processus, aux moyens de maîtrise et aux systèmes documentaires préalablement au processus
d’appréciation.
5.2 Définition du domaine d’application
Il convient que l’organisme définisse le domaine d’application de ses activités de management du risque.
Le processus de management du risque peut être appliqué à différents niveaux (par exemple, au niveau de la
stratégie, des opérations, des programmes, des projets ou d’autres activités). Il est important d’être clair sur
le domaine d’application en question, les objectifs documentaires pertinents à prendre en compte et leur
alignement par rapport aux objectifs organisationnels.
Concernant le management des risques liés aux documents d’activité, lors de la planification de l’approche, les
considérations suivantes sont à prendre en compte :
— les objectifs liés aux documents d’activité et les décisions qu’il est nécessaire de prendre ;
— les résultats du processus d’appréciation des documents d’activité ;
— les inclusions et exclusions spécifiques ;
— les techniques appropriées d’appréciation du risque ;
— les résultats attendus des étapes du processus ;
— les ressources nécessaires, les responsabilités et les documents d’activité à conserver ;
— les relations avec d’autres projets, processus, activités et objectifs.
5.3 Contexte interne et externe
5.3.1 Généralités
Le contexte interne et externe est l’environnement dans lequel l’organisme cherche à définir et atteindre ses
objectifs. La compréhension du contexte est importante car :
— le management du risque s’applique dans le contexte des objectifs et des activités de l’organisme ;
— les facteurs organisationnels peuvent être une source de risque ;
— la finalité et le domaine d’application du processus de management du risque peuvent être corrélés aux
objectifs de l’organisme dans son ensemble.
5.3.2 Contexte externe
Le contexte externe peut inclure des facteurs tels que les environnements socioculturel, légal, réglementaire,
financier, technologique, économique, naturel et concurrentiel. Les changements externes au contexte de
l’organisme peuvent affecter les opérations de ce dernier et influer, directement ou consécutivement, sur les
exigences relatives à ses documents d’activité.
© ISO 2024 – Tous droits réservés

ISO/PRF 18128:2024(fr)
5.3.3 Contexte interne
Le contexte interne peut comprendre des facteurs tels que :
— la gouvernance, la structure organisationnelle, les rôles et les responsabilités ;
— des changements au niveau du leadership exécutif (par exemple, les représentants élus ou le conseil
d’administration) ;);
— les ingérences politiques ;
— la culture, les comportements et les pratiques liés à l’information et à la conservation des documents
d’activité ;
— les capacités et l’éthique relatives à la conservation des documents d’activité ;
— les systèmes de documents d’activité et d’information, les flux d’informations et les processus de prise de
décision ;
— les technologies mises en place, y compris les systèmes hérités et les systèmes de collaboration externe ;
— les normes, les meilleures pratiques, les politiques, les lignes directrices et les procédures adoptées par
l’organisme.
Les changements internes au contexte de l’organisme peuvent influer sur les opérations de ce dernier et
affecter directement les documents d’activité ainsi que les processus, moyens de maîtrise et systèmes
documentaires.
5.4 Définition des critères de risques liés aux documents d’activité
5.4.1 Il convient que l’organisme spécifie le niveau et le type de risque qu’il peut ou non prendre en fonction
de ses objectifs. Il convient également qu’il définisse des critères permettant d’évaluer l’importance du risque
afin d’étayer les processus décisionnels. Il convient que les critères de risques liés aux documents d’activité
soient alignés avec les critères de risque généraux ainsi qu’avec le cadre général de management du risque.
Bien qu’il convienne d’établir les critères de risque au début du processus d’appréciation du risque, ces
critères sont dynamiques et il convient qu’ils soient revus en permanence et modifiés si nécessaire.
5.4.2 Il convient que les critères de risque soient basés sur les exigences professionnelles, les exigences
légales et d’autres exigences de l’organisme, ainsi que sur les opinions des parties prenantes. Pour fixer les
critères de risque, il convient de prendre en compte les éléments suivants :
a) la façon dont les conséquences (positives et négatives) et la vraisemblance seront définies et mesurées ;
b) les facteurs liés au temps ;
c) la cohérence dans l’utilisation des mesures ;
d) la méthode de détermination du niveau de risque ;
e) la façon dont les combinaisons et séquences de plusieurs risques seront prises en compte ;
f) la capacité de l’organisme ;
g) la méthode pour déterminer si un risque est acceptable et/ou tolérable ;
© ISO 2024 – Tous droits réservés

ISO/PRF 18128:2024(fr)
h) la méthode pour déterminer s’il est nécessaire de traiter ou de signaler un risque.
5.4.3 Pour fixer les critères de risques liés aux documents d’activité, il convient de prendre en compte les
éléments suivants :
a) la nature et le type des incertitudes pouvant avoir une incidence sur les objectifs et résultats liés aux
documents d’activité ;
b) le caractère critique ou la valeur des processus, moyens de maîtrise et systèmes documentaires par
rapport aux opérations professionnelles ;
c) la valeur des documents d’activité créés et les fonctions, activités ou transactions qu’ils concernent ;
d) le niveau de pertes ou d’impact lié à l’authenticité, la fiabilité, l’intégrité et utilisabilité des documents
d’activité ;
e) la taille et le domaine d’application des systèmes documentaires au sein de l’organisme ;
f) la fiabilité, la sécurité, la conformité aux procédures, l’exhaustivité, la systématisation et la disponibilité
des systèmes documentaires ;
g) l’intégration des systèmes documentaires par rapport à d’autres systèmes de l’activité ;
h) les impacts liés aux risques pour les utilisateurs et les parties prenantes ;
i) les événements porteurs de risques et les résultats qu’il est nécessaire d’éviter ou de considérer comme
des opportunités ;
j) le nombre et l’efficacité des moyens de maîtrise existants ou qu’il est possible de mettre en pratique
concernant les risques ;
k) tout avantage ou toute opportunité accompagnant les risques liés aux documents d’activité ou à la gestion
des documents d’activité.
5.5 Description du risque
Les risques identifiés sont généralement décrits et partagés dans des déclarations de risques. Une déclaration
de risques bien définie présente des informations relatives aux risques utiles et pertinentes qui permettent
d’étayer la prise de décision dans l’ensemble de l’organisme.
Il convient que les déclarations de risques soient claires, concises et pertinentes par rapport à l’activité et aux
objectifs de l’organisme. Une déclaration de risques bien définie peut contenir des éléments tels que :
— les documents d’activité et processus ou systèmes documentaires à risque ;
— les sources de risque ou les zones d’incertitude ;
— les événements ;
— les conséquences associées à la source de risques et à l’événement porteur de risques.
La Figure 2 présente un exemple de déclaration de risques :
© ISO 2024 – Tous droits réservés

ISO/PRF 18128:2024(fr)
Figure 2 — Exemple d’une déclaration de risques
Il convient d’élaborer des déclarations de risques liés aux documents d’activité qui soient claires et précises
afin :
— de sensibiliser aux risques liés aux documents d’activité pertinents pour l’organisme et de comprendre
ces risques ;
— d’aider à planifier et à améliorer les réponses aux risques ;
— d’aider à améliorer les processus, moyens de maîtrise et systèmes documentaires.
6 Utilisations des techniques d’appréciation du risque
Les techniques décrites dans le présent document offrent des moyens de mieux comprendre le processus
d’appréciation du risque et ses implications pour la prise de décision.
L’ISO 31000 décrit les principes de management du risque ainsi que les fondements et adaptations
organisationnelles permettant de gérer les risques. Elle spécifie un processus permettant de reconnaître, de
comprendre et d’influer sur les risques, le cas échéant, en fonction de critères établis au sein même du
processus.
L’IEC 31010 décrit plusieurs techniques d’appréciation du risque utilisées :
— lorsqu’il est requis de mieux comprendre les risques existants ou un risque en particulier ;
— au sein d’un processus de management du risque menant à des actions pour traiter les risques ;
— lorsqu’il est nécessaire de comparer ou d’optimiser plusieurs options porteuses de risques en vue de
prendre une décision.
La manière d’apprécier les risques dépend de la complexité et du caractère inédit de la situation, ainsi que du
niveau de connaissances en la matière et de compréhension.
Les techniques incluses et détaillées dans la présente Norme internationale sont applicables dans un
environnement de gestion des documents d’activité.
© ISO 2024 – Tous droits réservés

ISO/PRF 18128:2024(fr)
7 Identification du risque
7.1 Généralités
La finalité de l’identification des risques liés aux documents d’activité est de trouver, reconnaître et décrire
les risques pouvant avoir une incidence, positive ou négative, sur la capacité des documents d’activité à
répondre aux besoins de l’organisme. Le processus d’identification des risques englobe l’identification des
causes et des sources du risque, des évènements, des situations ou des circonstances pouvant avoir des
conséquences sur les objectifs de l’organisme. Il convient également d’envisager les risques positifs liés aux
documents d’activité (souvent appelés « opportunités »). Ces opportunités peuvent comprendre les risques
susceptibles de renforcer les capacités de gestion des documents d’activité d’un organisme.
Les risques liés aux documents d’activité sont plus particulièrement identifiés par rapport à leur capacité à :
— compromettre ou préserver l’authenticité, la fiabilité, l’intégrité et utilisabilité des documents d’activité ;
— fragiliser ou renforcer les processus, moyens de maîtrise et systèmes documentaires ;
— menacer ou préserver la fiabilité, la sécurité, la conformité à la procédure, l’exhaustivité et la
systématisation des systèmes documentaires.
Il convient que les professionnels de la gestion des documents d’activité identifient tous les risques liés aux
documents d’activité, que la source de ces risques soit sous leur contrôle ou sous le contrôle de l’organisme. Il
convient de tenir compte du fait qu’il peut y avoir plusieurs types de résultat pouvant avoir des conséquences
diverses, tangibles ou intangibles.
Afin d’identifier les risques liés aux documents d’activité, il convient que les professionnels de la gestion des
documents d’activité :
— comprennent l’organisme et son contexte (interne comme externe), y compris toute question pertinente
au regard de ses objectifs et qui peut affecter sa capacité à obtenir les résultats d’activité souhaités ;
— identifient les domaines d’activité critiques ;
— identifient les besoins et exigences relatifs aux documents d’activité ;
— documentent comment, où et pourquoi les documents d’activité sont créés, capturés, gérés et éliminés ;
— évaluent la valeur et le caractère critique des documents d’activité créés et gérés par l’organisme ;
— prennent en compte la culture ainsi que les comportements relatifs à la conservation des documents
d’activité et à l’information, et la manière dont ces facteurs peuvent affecter les processus, moyens de
maîtrise et systèmes documentaires ;
— connaissent et comprennent le système documentaire ainsi que d’autres systèmes professionnels destinés
à appuyer les activités de l’organisme ;
— établissent une liste de sources possibles de risques, y compris les vulnérabilités du système documentaire
et les moyens de maîtrise des systèmes existants.
© ISO 2024 – Tous droits réservés

ISO/PRF 1
...