ISO/TS 31050:2023

TECHNICAL ISO/TS
SPECIFICATION 31050
First edition
2023-10
Risk management — Guidelines for
managing an emerging risk to enhance
resilience
Management du risque — Lignes directrices relatives à la gestion des
risques émergents afin d'améliorer la résilience
Reference number
© ISO 2023
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
Contents Page
Foreword .v
Introduction . vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Emerging risks . 2
4.1 Nature of emerging risks . 2
4.2 Characterization of emerging risks . 3
4.2.1 General . 3
4.2.2 Knowledge aspects . 4
4.2.3 Measurement aspects . 5
4.2.4 Time dimension . 5
4.2.5 Volatility aspects . 6
4.3 Development of emerging risks . 6
4.4 Relationship between managing emerging risks and organizational resilience . 6
5 Principles . 7
5.1 General . 7
5.2 Integrated . 8
5.3 Structured and comprehensive . 8
5.4 Customized . 8
5.5 Inclusive . 8
5.6 Dynamic . 8
5.7 Best available information . 8
5.8 Human and cultural factors . 9
5.9 Continual improvement . 9
6 Process . . 9
6.1 Applying the ISO 31000 process to emerging risks . 9
6.2 Communication and consultation. 9
6.3 Scope, context and criteria . 10
6.3.1 Scope and context . 10
6.3.2 Criteria . 11
6.4 Risk assessment . 12
6.4.1 General .12
6.4.2 Identifying emerging risks .12
6.4.3 Analysing emerging risks . 13
6.4.4 Evaluating emerging risks . 14
6.5 Risk treatment .15
6.6 Monitoring and review .15
6.7 Recording and reporting . 16
7 Enhancing resilience by managing emerging risks.16
7.1 Capability development . 16
7.2 Emerging risks and resilience indicators . 18
8 Risk intelligence cycle and managing emerging risks .20
8.1 Overview . 20
8.2 Applying knowledge to decisions on emerging risks . 21
Annex A (informative) Examples of changes in context that can be sources of emerging
risks .22
Annex B (informative) Example of emerging risks description or recording template .23
Annex C (informative) Systemic risks .25
iii
Annex D (informative) Example factors that can influence managing emerging risks .26
Annex E (informative) Knowledge and risk intelligence cycle for managing emerging risks.28
Annex F (informative) Example of a completed resilience indicator template .32
Bibliography .34
iv
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO document should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
ISO draws attention to the possibility that the implementation of this document may involve the use
of (a) patent(s). ISO takes no position concerning the evidence, validity or applicability of any claimed
patent rights in respect thereof. As of the date of publication of this document, ISO had not received
notice of (a) patent(s) which may be required to implement this document. However, implementers are
cautioned that this may not represent the latest information, which may be obtained from the patent
database available at www.iso.org/patents. ISO shall not be held responsible for identifying any or all
such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see
www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 262, Risk management, in collaboration
with Technical Committee ISO/TC 292, Security and resilience.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.
v
Introduction
Emerging risks are characterized by their newness, insufficient data, and a lack of verifiable information
and knowledge needed for decision-making related to them. As these risks can develop with the
potential for large threats and opportunities, appropriate management of emerging risks should be
established as a part of an organization’s risk management. It should include changes in circumstances
or conditions related to multiple aspects of the organization’s external context and the implications for
its internal context.
Emerging risks can include, for example:
— risks arising from unrecognized changes in organizational contexts;
— risks created by innovation or social and technological development;
— risks related to new sources or previously unrecognized sources of risk;
— risks from new or modified processes, products or services.
Consequences of emerging risks can include, for example:
— exposure to unforeseen hazards and threats with uncertain outcomes;
— increased exposure to hazards and threats from known risk sources;
— lost or gained opportunities.
Managing the emerging risk should be knowledge-focused and dependent on the need to accumulate
verifiable data and information, especially when these are limited or inconsistent. With interpretation,
this information forms knowledge and creates intelligence for strategic, tactical and operational
decision-making.
To this aim, this document provides guidelines for applying ISO 31000 to managing emerging risks to
enhance organizational resilience. The focus is on emerging risks potentially having the most significant
consequences for the organization and its objectives. Applying the ISO 31000 principles and process to
managing the emerging risk requires an understanding of the different aspects of the context in which
the organization operates. In particular, this applies to the following:
— the continual scanning of changing circumstances or conditions that can result in an emerging
risk helps to develop knowledge and provide the intelligence needed for strategic, tactical and
operational decision-making;
— the identification of changes in an organizational context is often an early indicator or signal that
identifies vulnerabilities and the sources of emerging risks;
— managing emerging risks relies on the application of the ISO 31000 principles under conditions of
extreme uncertainty, increasing volatility, complexity and ambiguity within the multiple aspects of
the context in which the organization operates.
Specific guidance is provided on:
— how to understand the nature and characteristics of emerging risks (see Clause 4);
— how the principles of risk management apply to emerging risks (see Clause 5);
— how the ISO 31000 risk management process is applied to emerging risks (see Clause 6);
— how resilience can be enhanced by managing emerging risks (see Clause 7);
— how to use the risk intelligence cycle for emerging risks (see Clause 8).
Further details are provided in Annexes A to F.
vi
The application of this document helps organizations to benefit from:
— increased awareness, reducing the likelihood of failing to anticipate emerging risks;
— early recognition of emerging risks and increased level of preparedness and resilience;
— timely dissemination of data and exchange of information among stakeholders;
— alignment of actions on emerging risks across all aspects of organizational contexts.
vii
TECHNICAL SPECIFICATION ISO/TS 31050:2023(E)
Risk management — Guidelines for managing an emerging
risk to enhance resilience
1 Scope
This document gives guidance on managing emerging risks that an organization can face. This
document complements ISO 31000.
This document is applicable to any organization, at any stage and to any activity of the organization. Its
application can be customized to suit different organizations or the context of different organizations.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 22300, Security and resilience — Vocabulary
ISO 22316, Security and resilience — Organizational resilience — Principles and attributes
ISO 31000, Risk management — Guidelines
IEC 31010, Risk management — Risk assessment techniques
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300, ISO 22316, ISO 31000,
IEC 31010 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
3.1
resilience attribute
feature or characteristic of an organization’s ability to absorb and adapt to a changing context
3.2
knowledge
outcome of the assimilation of information through learning
Note 1 to entry: Knowledge can be acquired through research, experience or education.
Note 2 to entry: Knowledge includes information, facts, principles, theories and practices related to a field of
work or study.
Note 3 to entry: Knowledge can be individual or collective. Collective knowledge is gained from people
collaborating and releasing their tacit and subconscious knowledge.
[SOURCE: ISO 56000:2020, 3.4.1]
3.3
intelligence
result of gathering, analysing and interpreting data, information and knowledge (3.2)
Note 1 to entry: Intelligence can be of different kinds, e.g. (but not limited to) market, technology, competition,
intellectual property or business.
[SOURCE: ISO 56006:2021, 3.1]
3.4
organizational resilience
ability of an organization to absorb, recover and adapt in a changing context
[SOURCE: ISO 22300:2021, 3.1.167, modified — “recover” has been added and "environment" has been
replaced with "context" in the definition.]
3.5
radical innovation
breakthrough innovation
innovation with a high degree of change
Note 1 to entry: Change can relate to the entity or its impact.
Note 2 to entry: Radical innovation is at the other end of the continuum to incremental innovation.
[SOURCE: ISO 56000:2020, 3.1.1.1]
3.6
disruptive innovation
innovation initially addressing less demanding needs, displacing established offerings
Note 1 to entry: Compared to established offerings, disruptive innovations are initially simpler offerings with
lower performance and they are generally more cost effective, requiring fewer resources and offered at lower
cost.
Note 2 to entry: Disruption occurs when a significant ratio of users or customers have adopted the innovation.
Note 3 to entry: Disruptive innovations can create new markets and value networks by addressing new users
and deploying new business and value realization models.
[SOURCE: ISO 56000:2020, 3.1.1.2]
4 Emerging risks
4.1 Nature of emerging risks
The nature of emerging risks (see the examples in Annex A and the example of data to be collected
about them in Annex B) can include:
— risks that have not been previously recognized or experienced by an organization;
— familiar risks in a new or unfamiliar context where the existing knowledge is not applicable;
— significantly evolving risk;
— systemic risks (see Annex C);
— a novel combination of risks.
If an organization does not consider emerging risks, it does not mean that the organization will not
be affected. In many cases, it is initially not possible to formulate scenarios of interest, to estimate
event likelihood, to anticipate consequences or to identify control options. To better understand the
nature of the particular emerging risk, the nature of similar risks that are better understood should be
considered.
The above risks can stem from changes of context in which the organization seeks to meet its objectives,
such as:
— organizational relationships;
— access to capital and capabilities;
— interactions or interdependencies with societal, geopolitical, environmental, economic,
technological, legal, perception (see Annex D) and ethical factors;
— the internal governance, cultural and operational aspects of its business.
Emerging risks should be proactively identified and characterized from observing changes in
organizational contexts. Emerging risks are typically represented by a set of new circumstances or
conditions, not previously recognized, or changes in the characteristics of already identified risks. The
changes can be related to, for example:
— societal norms;
— organizational culture;
— perceptions;
— data, or information interpreted from data, about a risk or the way that risk evolves.
NOTE There are occasions when risks emerge with little prior visibility in the context.
4.2 Characterization of emerging risks
4.2.1 General
Effective and efficient management of the emerging risk requires the continual acquisition of knowledge
about the organization’s function, context, experience, access to data and emerging risk characteristics
(e.g. by applying the risk intelligence cycle, see Clause 8 and Annex E). The data, information and
knowledge acquired should be recorded appropriately (see 6.7 and Annex B).
The following factors can be of particular importance for the new knowledge about emerging risks:
a) possible deviations from the expected outcomes or consequences, either positive or negative, and
their likelihood;
b) sources and nature of risks;
c) other factors, such as the rate of development of risk and detectability.
Where the organization has not previously experienced particular changes in its context, it is
possible that data related to those changes are limited or that all characteristics of emerging risks
are not evident (e.g. for systemic risks, see Annex C). Understanding the characteristics of emerging
risks context depends upon available knowledge relating to nature and source, quantity and time, in
a volatile, uncertain context, complex and ambiguous circumstances. Consequently, the knowledge
acquired can be insufficient to identify changes in characteristics and potential sources of risk or, if an
emerging issue has been identified, to determine the likelihood and consequences of deviations from
expectations.
Due to high uncertainty, the interpretation of data and information can be biased by individual
perceptions (see Annex D).
Emerging risk characteristics should be categorized, for example, by considering the following elements:
— knowledge elements, including, for example:
— unknown changes in organizational contexts;
— weak signals of change subject to interpretation and bias;
— insufficient data to determine likelihood and consequences;
— volatility elements, including, for example:
— conditions or circumstances likely to change, rapidly or unpredictably;
— impact of change and consequences of an unknown variable;
— instability of data and information;
— uncertainty elements, including, for example:
— transition from early warnings and signals to emerging risks;
— determination of sources of emerging risks;
— complexity elements, including, for example:
— high level of interconnectedness of systems, parts or processes;
— unknown interdependencies throughout the organization’s context;
— interactions of emerging risks with other risks or activities that can result in non-linear effects;
— the systemic nature of certain risks (see Annex C);
— large degree of complexity of potential decisions and consequences;
— ambiguity elements, including, for example:
— limited data open to multiple interpretations and individual perceptions;
— lack of precedence for the development of knowledge and intelligence;
— lack of clarity on the cause and effect of changes in contexts;
— time dimension elements, including, for example:
— velocity of change in the organization’s context;
— rate of change in characteristics of emerging risks;
— controllability elements, including, for example, the effects of factors out of the organization’s
control, both in internal and external contexts;
— behavioural elements, including, for example, the effects of unexpected changes in contexts, people,
systems or processes (see Annex D).
Not all of the above characteristics apply necessarily to all emerging risks and are not unique to
emerging risks. The above categories, however, do represent a common theme for emerging risks,
which should be considered when managing them.
4.2.2 Knowledge aspects
Knowledge relating to emerging risks should be based on the quantity and quality of data available
and their usability as credible information to support decision-making. In order to manage emerging
risks effectively, the use of systems that can gather and interpret data about capabilities, possibilities,
changes and trends in the external context should be considered, taking into account that the knowledge
about emerging risk characteristics and their influence on the organization’s objectives can depend on
the data still missing or that are limited.
It should be noted that in the absence of adequate knowledge, understanding of emerging risks
can be influenced by individual perceptions, cognitive bias, group dynamics, misinformation or
misinterpretation, preventing the reliable assessment of likelihoods and consequences. In such cases,
[4]
the focus of managing emerging risks should be on assessing their plausibility and enhancing the
[5]
organization’s resilience .
As emerging risks evolve, knowledge about them and their characteristics also evolves with time.
NOTE Initially, there can be little understanding of the potential for issues arising from particular
circumstances. As data and information are collected and interpreted, knowledge increases, enabling
organizations to identify emerging risks and make decisions about their potential consequences.
This should be defined within the risk intelligence cycle. The application of knowledge as strategic
intelligence and improved decision-making should be systematic. See Clause 8 and Annex E.
4.2.3 Measurement aspects
The quality (e.g. integrity, reliability, accuracy, timely, relevancy) of available data and information
is essential for acquiring the knowledge necessary to assign values to the measurable elements of
emerging risk characteristics, including consequences and likelihood. The organization should establish
a system for timely acquisition of relevant data on weak signals or early warnings, as well their analysis
and analysis of changes in emerging risk characteristics. This analysis should include the ambiguity of
information, its limitations related to understanding the development of emerging risks, and trends
and patterns in the organization’s context, indicating the source of possible emerging risks.
4.2.4 Time dimension
Characterizing emerging risks should include the time dimensions, such as the rate at which
information necessary to understand and manage risk becomes available. Understanding the time-
related characteristics of emerging risks also influences data collection and analysis, the interpretation
of information and the creation of knowledge for timely decision-making in managing emerging risks.
Time until the necessary information becomes available also affects risk management control options
and the extent of expertise required.
Key time indicators as characteristics of emerging risks should include:
a) the rate (velocity) of change in conditions or circumstances;
b) the rate of development of an emerging risk;
c) the lead time from a change in circumstances or conditions to the identification of an emerging
risk;
d) the time to reach the maturity of data essential to information, knowledge and intelligence;
e) the time between context changes and the appearance of weak signals or early warnings;
f) the time from risk identification to event occurrence.
4.2.5 Volatility aspects
The emerging risk characteristics potentially leading to uncertain or unexpected changes and volatility
in the emerging risk can include:
— sudden recognition that circumstances are not understood well enough and that the organization is
unaware of potentially important data;
— unexpected and unanticipated step changes in contexts, capabilities and understanding of the
implications of those changes;
— rapid and unpredictable variability and unforeseen changes in the organizational context.
Information should be continually updated to increase the understanding of the reasons for these
changes. The characteristics and knowledge should be included as part of effective and efficient
decision-making on emerging risks.
4.3 Development of emerging risks
Understanding the various aspects of the organizational context should be considered as the key to
effective identification, analysis and evaluation of the emerging risk (see 4.1). Changes in any or all
these environmental aspects create changes in the organizational context with the potential to impact
organizational objectives, either positively or negatively.
Weak signals and first indicators of change in any aspect of the organization’s context are precursors
to potential emerging risk. In these circumstances, organizations should monitor identified changes in
any aspect of their context and continually gather and analyse data to determine the significance of a
change in any element or aspect, and to develop scenarios.
Close monitoring and review of changes in contexts, and increasing availability of data such as
likelihood, rate of change, magnitude and volatility of occurrence, time horizons and aspects of the
organization’s context, all contribute to clarity and a better understanding of identified issues and
potential emerging risks.
During the initial stages of an emerging risk development, the organization, especially one having
little or no previous knowledge or experience with emerging risks, should be aware that data can
be unavailable, limited, inconsistent, inaccurate or false. The process of interpretation of data into
verifiable information for decision-making should be, therefore, focused on reducing significant
uncertainties.
Although the continual monitoring and review of changes in characteristics of an emerging risk will
generally increase the quality and quantity of data collected, the organization should be aware of
circumstances where not all changes in its context can be identified or covered by the scenario analysis.
4.4 Relationship between managing emerging risks and organizational resilience
Organizational resilience enables an organization to deliver its objectives, survive and prosper. The
changes in the organizational context are often early indicators or are those that identify threats and
opportunities, vulnerabilities and the sources of an emerging risk.
With respect to possible threats, organizational resilience allows organizations to prepare for them,
absorb their impacts, recover from them and adapt to the changing conditions. With respect to possible
opportunities, organizational resilience allows organizations to adapt to gain from change, create
internal value and take measured risks confidently (see ISO 22316).
Efficient and effective managing of emerging risks should help to preclude and mitigate possible failures
to exploit opportunities or experience adverse effects on the organization’s important objectives, or
even the organization’s survival.
Therefore, the organizations should adopt and apply the principles of resilience and resilience
indicators (see Annex F). They should develop capabilities and attributes that enhance their ability to
survive and prosper. An organization’s ability to anticipate, prepare and respond to change should be
the key requirement for effectively managing emerging risks. Resilient organizations should, thus, be
characterized by their abilities that include the following:
— Anticipation: The ability to prepare for unexpected or unlikely events by developing foresight
capabilities and functions that are necessary to deal with any kind of unexpected event, both
favourable and adverse. This also means being ready to take advantage of potential opportunities
offered by changes in external contexts before competitors.
— Resistance and recovery: The ability to resist adverse situations and recover after disturbances and
return to a normal state beyond the maintenance and restoration of organizational functionality,
focusing on the advancement of organizational processes and capabilities.
— Adaptation: The ability to effectively develop situation-specific responses, adapt to disruptive
events and ultimately engage in transformative activities to capitalize on disruptive events.
Determining an organization’s level of resilience prior to a disruptive event should be measured and
dependent upon the extent to which an organization has successfully managed a similar unexpected
event. Organizational resilience should include capability through which effective anticipation and
adaptation to emerging risks can be achieved.
5 Principles
5.1 General
The core of risk management and its purpose is value creation and protection. To achieve this, ISO 31000
outlines a set of principles, see Figure 1 a). These principles are equally applicable to the managing of
emerging risk.
a) Principles b) Process
Figure 1 — Principles and process in ISO 31000
Subclauses 5.2 to 5.9 give additional recommendations for applying those principles to managing
emerging risk. When applying these principles, the organization should ensure that emerging risks:
— are reviewed continually during their emerging stages to improve knowledge and understanding of
their characteristics and state;
— are assessed considering a broad range of possible future situations.
In addition, the organization should ensure that threats and opportunities are adequately managed,
recognizing the limitations, inconsistency, and variability of information and data.
5.2 Integrated
There is no additional guidance in addition to that provided in ISO 31000.
5.3 Structured and comprehensive
The organization should apply an agile approach where necessary for collecting and interpreting data,
producing information and converting knowledge into intelligence for use by decision-makers (see
Clause 8 and Annex E).
The organization should explicitly consider whether the acquisition of data (both structured and
unstructured) and their interpretation as information and the knowledge applied satisfies the
requirement of a comprehensive approach to risk management.
The approach should emphasize the importance of consistent identification work and communication
about emerging risks.
5.4 Customized
The organization should ensure its risk management framework and process are customized to reflect
the volatility, uncertainty, complexity and ambiguity of emerging risks consistent with its mission,
objectives and strategies.
5.5 Inclusive
The organization should identify and engage relevant stakeholders with an interest in the emerging
risk in an appropriate and timely manner to improve the extent of the organization’s knowledge by
learning from the experiences of different stakeholders that the organization can apply.
Even when data quality is poor and information is limited, the organization should continue to recognize
the credibility of the information if the source has sufficient credibility and expertise.
5.6 Dynamic
The organization should consider the potential for unexpected and disruptive changes in context. It
should develop a timely capability to anticipate, detect and respond to change. The organization should,
therefore, remain sufficiently agile, flexible and adaptable to accommodate plausible changes in the
external context.
The organization should ensure its risk management framework includes components designed to
anticipate and respond to changing circumstances and that sufficient flexibility exists within the risk
management process. The members of the organization should be able to adapt and apply different
tools and techniques to address the characteristics of emerging risks.
5.7 Best available information
Recognizing the lack of history and relevant current information when assessing emerging risks,
the organization should ensure the ongoing development of data gathering and verification and data
analysis to extract information relating to emerging risks to source the best information for decision-
making.
Clause 8 provides additional guidance on how to gather all available data and produce valuable
intelligence for decision-making regarding emerging risks.
5.8 Human and cultural factors
The organization should recognize that the lack of facts related to emerging risks can invalidate
established views. For this reason, information on emerging risks can significantly impact human
culture and behaviour. Therefore, the contribution of internal and external experts should be valued.
The organization should recognize that the availability and interpretation of data into credible
information can change significantly as emerging risks develop. Early perceptions can prove incorrect,
and previously established beliefs can be challenged.
5.9 Continual improvement
The organization should ensure that emerging risk management leads to new opportunities for
society and business, new learning and new experiences, including a critical review of the results of
previous risk analyses. The organization should explicitly identify this new level of understanding as
a catalyst for knowledge development, new and improved processes, and practices in and beyond risk
management.
The organization should ensure continual improvement leads to effective and efficient management
of emerging risks. These improvements should include data collation, information transformation and
sharing, and knowledge creation and enhancement while applying the risk management process.
Effective management of the emerging risk calls for foresight, which is also required for effective market
intelligence work, and new product and service development in both the public and private sectors.
Management of the emerging risk is fundamental to success in developing objectives and delivering
service to meet current requirements while preparing for the future.
6 Process
6.1 Applying the ISO 31000 process to emerging risks
The organization should apply the risk management process described in ISO 31000:2018, Clause 6
[see Figure 1 b)] to manage emerging risks. It should integrate activities into its structure, system,
operations and processes. The relevance of emerging risks should be considered at all levels and within
each organization’s function.
The application of the ISO 31000 process to emerging risks should use a structured approach with
sufficient flexibility to adapt to the latest information as emerging risk understanding grows. For
example, knowledge gained from risk analysis can be applied to anticipate changes in context.
Emerging risks can influence each other and other risks faced by the organization. The organization
should consider emerging risks as part of a broader system rather than as discrete and individual
issues by considering possible interdependencies and interconnectedness. An approach which analyses
dependencies, relationships and interconnection should yield a thorough understanding beyond just
examining the individual risk components without a view of the whole system.
The risk intelligence cycle described in Clause 8 and Annex E can assist organizations and their decision-
makers in applying the risk management process described in ISO 31000.
6.2 Communication and consultation
In addition to ISO 31000:2018, 6.2, the following recommendations apply.
The organization should identify internal and external stakeholders and establish communication paths
so that when action is needed, the means of communication are already established. As with any risk,
stakeholders should include those who should be kept informed, those who will be consulted and those
who will participate in the different elements of the risk management process. Stakeholders can change
over time, and different stakeholders can be across different risk management elements. For example,
a wide range of unique experience and expertise can help identify emerging risks, while analysis of a
particular risk can require specific subject matter experts.
Engaging with relevant stakeholders assists in the identification of emerging risks and enables
stakeholders to provide information to support decisions and provide feedback on their implementation.
It enables information and knowledge about emerging risks to be shared with and among different
stakeholders (e.g. experts, regulators, shareholders, consumers, media, partners, suppliers, public
services, the general public). In this way, they can reach a common understanding of the risks and the
reasons behind any actions required to manage them.
There can be little knowledge of the implications of an emerging risk when it is first identified, and
it is, therefore, likely that different perspectives and perceptions appear about its significance to the
organization. Communication is essential for dealing with the different perceptions which can arise
(e.g. from the influence of social media or the presentation of false or misleading information in media
sources).
Rapidly developing emerging risks can necessitate swift decision-making, reinforcing the need for
enhanced communication and consultation. The possibility that other organizations or stakeholders
(e.g. partners, customers, suppliers) have experienced similar situations should be considered in order
to try to obtain relevant data and information.
The organization should:
— establish an
...

SPÉCIFICATION ISO/TS
TECHNIQUE 31050
Première édition
2023-10
Management du risque — Lignes
directrices pour le management d’un
risque émergent afin de renforcer la
résilience
Risk management — Guidelines for managing an emerging risk to
enhance resilience
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2023
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant-propos .v
Introduction . vi
1 Domaine d’application . 1
2 Références normatives .1
3 Termes et définitions . 1
4 Risques émergents . .2
4.1 Nature des risques émergents . 2
4.2 Caractérisation des risques émergents . 3
4.2.1 Généralités . 3
4.2.2 Aspects de connaissance . . 5
4.2.3 Aspects de mesurage . 5
4.2.4 Dimension temporelle . 5
4.2.5 Aspects de volatilité . 6
4.3 Développement des risques émergents . 6
4.4 Relation entre management des risques émergents et résilience organisationnelle . 7
5 Principes . 8
5.1 Généralités . 8
5.2 Intégré . 8
5.3 Structuré et complet/exhaustif . 8
5.4 Personnalisé. 9
5.5 Inclusif . 9
5.6 Dynamique . 9
5.7 Meilleure information disponible . 9
5.8 Facteurs humains et culturels . 9
5.9 Amélioration continue . 10
6 Processus .10
6.1 Application du processus de l’ISO 31000 aux risques émergents . 10
6.2 Communication et concertation . 10
6.3 Domaine d’application, contexte et critères . 11
6.3.1 Domaine d’application et contexte . 11
6.3.2 Critères.13
6.4 Appréciation du risque . 13
6.4.1 Généralités .13
6.4.2 Identifier les risques émergents . 13
6.4.3 Analyser les risques émergents . 14
6.4.4 Évaluer les risques émergents . 16
6.5 Traitement du risque . 17
6.6 Surveillance et revue . 17
6.7 Enregistrer et rendre compte . 18
7 Renforcer la résilience par le management des risques émergents .18
7.1 Développement de la capacité . 18
7.2 Risques émergents et indicateurs de résilience . 20
8 Cycle d’intelligence du risque et management des risques émergents .22
8.1 Vue d’ensemble . 22
8.2 Appliquer les connaissances pour les décisions sur les risques émergents .23
Annexe A (informative) Exemples de changements de contexte qui peuvent être sourcede
risques émergents .25
Annexe B (informative) Exemple de modèle pour la description ou l’enregistrementdes
risques émergents .26
Annexe C (informative) Risques systémiques .28
iii
Annexe D (informative) Exemples de facteurs qui peuvent influencer le managementdes
risques émergents .30
Annexe E (informative) Connaissances et cycle d’intelligence du risque pour le management
des risques émergents .32
Annexe F (informative) Exemple de modèle rempli pour un indicateur de résilience .37
Bibliographie .39
iv
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a
été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L’ISO attire l’attention sur le fait que la mise en application du présent document peut entraîner
l’utilisation d’un ou de plusieurs brevets. L’ISO ne prend pas position quant à la preuve, à la validité
et à l’applicabilité de tout droit de brevet revendiqué à cet égard. À la date de publication du présent
document, l’ISO n'avait pas reçu notification qu’un ou plusieurs brevets pouvaient être nécessaires à sa
mise en application. Toutefois, il y a lieu d’avertir les responsables de la mise en application du présent
document que des informations plus récentes sont susceptibles de figurer dans la base de données de
brevets, disponible à l'adresse www.iso.org/brevets. L’ISO ne saurait être tenue pour responsable de ne
pas avoir identifié tout ou partie de tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 262, Management du risque,
en collaboration avec le comité technique ISO/TC 292, Sécurité et résilience.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/fr/members.html.
v
Introduction
Les risques émergents se caractérisent par leur nouveauté, des données insuffisantes et un manque
d’informations et connaissances vérifiables nécessaires pour la prise de décision vis-à-vis de ceux-ci.
Ces risques pouvant se développer avec des menaces et opportunités potentiellement importantes,
il convient d’établir un management approprié des risques émergents en tant que partie du management
du risque de l’organisme. Il convient que le management des risques émergents couvre les changements
de circonstances ou conditions associées aux multiples aspects du contexte externe de l’organisme et
les implications pour son contexte interne.
Les risques émergents peuvent inclure, par exemple:
— les risques découlant de modifications non reconnues des contextes organisationnels;
— les risques engendrés par une innovation ou une avancée technologique et sociale;
— les risques liés à de nouvelles sources de risque ou à des sources de risque non reconnues jusqu’alors;
— les risques dus à des processus, produits ou services nouveaux ou modifiés.
Les conséquences de risques émergents peuvent inclure, par exemple:
— une exposition à des dangers et menaces non anticipés aux issues incertaines;
— une exposition accrue à des dangers et menaces provenant de sources de risque connues;
— des opportunités perdues ou gagnées.
Il convient de cibler le management des risques émergents sur les connaissances et sur la nécessité
d’accumuler des données et informations vérifiables, en particulier lorsque celles-ci sont limitées ou
incohérentes. Après interprétation, ces informations forment les connaissances et créent l’intelligence
nécessaire à la prise de décision stratégique, tactique et opérationnelle.
Dans cette optique, le présent document fournit des lignes directrices pour appliquer l’ISO 31000 au
management des risques émergents afin de renforcer la résilience organisationnelle. Il cible les risques
émergents ayant potentiellement les plus importantes conséquences pour l’organisme et ses objectifs.
L’application des principes et du processus de l’ISO 31000 au management des risques émergents
exige de comprendre les différents aspects du contexte dans lequel l’organisme opère. Cela implique
notamment:
— le balayage en continu des circonstances ou conditions changeantes qui peuvent engendrer un
risque émergent afin de développer des connaissances et fournir l’intelligence nécessaire à une
prise de décision stratégique, tactique et opérationnelle;
— l’identification des changements dans un contexte organisationnel qui est souvent un indicateur ou
signal précoce qui identifie des vulnérabilités et les sources de risques émergents;
— le management des risques émergents qui s’appuie sur les principes de l’ISO 31000 dans des
conditions d’incertitude extrême, de volatilité, complexité et ambiguïté croissantes concernant
les multiples aspects du contexte dans lequel l’organisme opère.
Des recommandations spécifiques sont fournies sur les points suivants:
— comment comprendre la nature et les caractéristiques des risques émergents (voir Article 4);
— comment les principes du management du risque s’appliquent aux risques émergents (voir Article 5);
— comment le processus de management du risque de l’ISO 31000 s’applique aux risques émergents
(voir Article 6);
— comment la résilience peut être renforcée par le management des risques émergents (voir Article 7);
vi
— comment utiliser le cycle d’intelligence du risque pour les risques émergents (voir Article 8).
De plus amples détails figurent aux Annexes A à F.
L’application du présent document permet aux organismes de bénéficier:
— d’une conscience accrue, réduisant la vraisemblance de manquer d’anticipation à l’égard des risques
émergents;
— d’une reconnaissance précoce des risques émergents et d’un meilleur niveau de préparation et
de résilience;
— d’une diffusion de données et d’un échange d’informations entre parties prenantes en temps
opportun;
— d’un alignement des actions sur les risques émergents pour tous les aspects de contextes
organisationnels.
vii
SPÉCIFICATION TECHNIQUE ISO/TS 31050:2023(F)
Management du risque — Lignes directrices pour le
management d’un risque émergent afin de renforcer la
résilience
1 Domaine d’application
Le présent document donne des recommandations relatives au management des risques émergents
auxquels un organisme peut être confronté. Le présent document complète l’ISO 31000.
Le présent document est applicable à tout organisme, à tout stade et à toute activité de l’organisme.
Son application peut être personnalisée afin de s’ajuster à différents organismes ou au contexte de
différents organismes.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s’applique (y compris les
éventuels amendements).
ISO 22300, Sécurité et résilience — Vocabulaire
ISO 22316, Sécurité et résilience — Résilience organisationnelle — Principes et attributs
ISO 31000, Management du risque — Lignes directrices
IEC 31010, Management du risque — Techniques d'appréciation du risque
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions de l’ISO 22300, l’ISO 22316, l’ISO 31000,
l’IEC 31010 ainsi que les suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
3.1
attribut de résilience
élément ou caractéristique de l’aptitude d’un organisme à absorber et s’adapter dans un contexte
changeant
3.2
connaissance
résultat de l’assimilation d’informations grâce à l’apprentissage
Note 1 à l'article: Les connaissances peuvent être acquises par la recherche, l’expérience ou l’éducation.
Note 2 à l'article: Les connaissances comprennent des informations, des faits, des principes, des théories et
des pratiques liés à un domaine de travail ou d’étude.
Note 3 à l'article: Les connaissances peuvent être individuelles ou collectives. Les connaissances collectives sont
acquises auprès de personnes collaborant et diffusant leurs connaissances tacites et subconscientes.
[SOURCE: ISO 56000:2020, 3.4.1]
3.3
intelligence
résultat de la collecte, de l’analyse et de l’interprétation des données, des informations et des
connaissances (3.2)
Note 1 à l'article: L’intelligence peut être de différents types, comprenant par exemple (sans s’y limiter)
l’intelligence de marché, l’intelligence technologique, l’intelligence concurrentielle, l’intelligence de la propriété
intellectuelle ou l’intelligence économique.
[SOURCE: ISO 56006:2021, 3.1]
3.4
résilience organisationnelle
aptitude d’un organisme à absorber, se rétablir et s’adapter dans un contexte changeant
[SOURCE: ISO 22300:2021, 3.1.167, modifié — «se rétablir»a été ajouté et «environnement» a été
remplacé par «contexte» dans la définition.]
3.5
innovation radicale
innovation présentant un haut degré de changement
Note 1 à l'article: Le changement peut se rapporter à l’entité ou à son impact.
Note 2 à l'article: L’innovation radicale se situe à l’autre bout de la chaîne de valeur par rapport à l’innovation
incrémentale (c’est-à-dire changements progressifs).
[SOURCE: ISO 56000:2020, 3.1.1.1]
3.6
innovation disruptive
innovation qui, dans un premier temps, répond à des besoins moins exigeants et remplace des offres
établies
Note 1 à l'article: Par rapport aux offres établies, les innovations disruptives sont au départ des offres plus
simples de moindre performance et elles sont généralement plus rentables, nécessitent moins de ressources et
sont proposées à un coût plus faible.
Note 2 à l'article: La disruption intervient lorsqu’un ratio important d’utilisateurs ou de clients a adopté
l’innovation.
Note 3 à l'article: Les innovations disruptives peuvent créer de nouveaux marchés et réseaux de valeur en
s’adressant à de nouveaux utilisateurs et en déployant de nouveaux modèles d’entreprise et de création de valeur.
[SOURCE: ISO 56000:2020, 3.1.1.2]
4 Risques émergents
4.1 Nature des risques émergents
Les risques émergents (voir exemples à l’Annexe A et voir exemple de données à collecter les concernant
à l’Annexe B) peuvent être de différente nature, par exemple:
— les risques qui n’ont pas jusqu’alors été reconnus ou vécus par un organisme;
— les risques familiers mais dans un contexte nouveau ou non familier où les connaissances existantes
ne sont pas applicables;
— un risque qui évolue de manière significative;
— les risques systémiques (voir Annexe C);
— une nouvelle combinaison de risques.
Si un organisme ne prend pas en considération les risques émergents, cela ne signifie pas que
l’organisme ne sera pas affecté. Dans bon nombre de cas, il n’est pas possible au départ de formuler
des scénarios d’étude, d’estimer la vraisemblance d’un événement, d’anticiper les conséquences ou
d’identifier les options de maîtrise. Pour mieux comprendre la nature d’un risque émergent particulier,
il convient de prendre en considération la nature de risques similaires qui sont mieux compris.
Les risques susmentionnés peuvent provenir de changements du contexte dans lequel l’organisme
cherche à atteindre ses objectifs, tels que:
— les relations organisationnelles;
— l’accès au capital et aux capacités;
— les interactions ou interdépendances avec des facteurs sociétaux, géopolitiques, environnementaux,
économiques, technologiques, juridiques, de perception (voir Annexe D) et éthiques;
— la gouvernance interne, ainsi que les aspects culturels et opérationnels de son activité.
Il convient d’identifier et de caractériser de manière proactive les risques émergents à partir des
changements observés dans les contextes organisationnels. Les risques émergents sont habituellement
représentés par un ensemble de nouvelles circonstances ou conditions, non reconnues jusqu’alors,
ou des changements des caractéristiques de risques déjà identifiés. Les changements peuvent être
associés, par exemple:
— à des normes sociétales;
— à une culture organisationnelle;
— à des perceptions;
— à des données, ou à des informations tirées de l’interprétation de données, sur un risque ou sur
la manière dont ce risque évolue.
NOTE Il arrive parfois que des risques émergent avec peu de visibilité préalable dans le contexte.
4.2 Caractérisation des risques émergents
4.2.1 Généralités
Un management efficace et efficient des risques émergents exige l’acquisition continuelle de
connaissances sur la fonction de l’organisme, le contexte, l’expérience, l’accès aux données et les
caractéristiques de risques émergents (par exemple, en appliquant le cycle d’intelligence du risque,
voir Article 8 et Annexe E). Il convient d’enregistrer de façon appropriée les données, informations et
connaissances acquises (voir 6.7 et Annexe B).
Les facteurs suivants peuvent être d’une importance particulière pour les nouvelles connaissances
sur les risques émergents:
a) possibles écarts par rapport aux résultats ou conséquences attendus, qu’ils soient positifs ou
négatifs, et leur vraisemblance;
b) sources et nature des risques;
c) autres facteurs, tels que le taux de développement du risque et la détectabilité.
Lorsque l’organisme n’a pas encore vécu de changements particuliers de son contexte, il est possible
que les données relatives à ces changements soient limitées ou que toutes les caractéristiques de
risques émergents ne soient pas évidentes (par exemple, pour les risques systémiques, voir Annexe C).
Comprendre les caractéristiques de contexte des risques émergents dépend des connaissances
disponibles concernant la nature et la source, la quantité et le temps, dans un contexte volatile et
incertain et dans des circonstances complexes et ambiguës. Les connaissances acquises peuvent donc
être insuffisantes pour identifier les changements dans les caractéristiques et les sources potentielles
de risque ou, si une question émergente a été identifiée, pour déterminer la vraisemblance et les
conséquences des écarts par rapport aux prévisions.
Du fait du haut degré d’incertitude, l’interprétation des données et informations peut être biaisée par
les perceptions individuelles (voir Annexe D).
Il convient de classer les risques émergents par catégories, par exemple, en prenant en considération
les éléments suivants:
— les éléments de connaissances, incluant par exemple:
— les changements inconnus de contextes organisationnels;
— les signaux faibles de changement sujets à interprétation et à biais;
— les données insuffisantes pour déterminer la vraisemblance et les conséquences;
— les éléments de volatilité, incluant par exemple:
— les conditions ou circonstances susceptibles de changer, rapidement ou de manière imprévisible;
— l’impact d’un changement et les conséquences d’une variable inconnue;
— l’instabilité des données et informations;
— les éléments d’incertitude, incluant par exemple:
— la transition des alertes et signaux précoces aux risques émergents;
— la détermination de sources de risques émergents;
— les éléments de complexité, incluant par exemple:
— un haut niveau d’interconnexion de systèmes, parties ou processus;
— des interdépendances inconnues dans l’ensemble du contexte de l’organisme;
— les interactions de risques émergents avec d’autres risques ou avec des activités qui peuvent
conduire à des effets non linéaires;
— la nature systémique de certains risques (voir Annexe C);
— le haut degré de complexité de décisions potentielles et leurs conséquences;
— les éléments d’ambiguïté, incluant par exemple:
— des données limitées, ouvertes à de multiples interprétations et perceptions individuelles;
— le manque de précédent pour le développement de connaissance et d’intelligence;
— le manque de clarté sur la cause et l’effet de changements dans les contextes;
— les éléments à dimension temporelle, incluant par exemple:
— la vélocité du changement intervenu dans le contexte de l’organisme;
— le taux de changement des caractéristiques de risques émergents;
— les éléments de contrôlabilité, incluant par exemple les effets de facteurs hors du contrôle de
l’organisme, à la fois dans le contexte interne et externe;
— les éléments de comportement, incluant par exemple les effets de changements inattendus dans
les contextes, chez les personnes, dans les systèmes ou processus (voir Annexe D).
Toutes les caractéristiques susmentionnées ne s’appliquent pas nécessairement à tous les risques
émergents et ne sont pas propres aux risques émergents. Les catégories susmentionnées représentent
toutefois un thème commun pour les risques émergents qu’il convient de prendre en considération pour
leur management.
4.2.2 Aspects de connaissance
Il convient que les connaissances liées aux risques émergents reposent sur des données disponibles
en quantité et qualité exploitables comme informations crédibles pour étayer la prise de décision.
Afin de gérer les risques émergents efficacement, il convient d’envisager l’utilisation de systèmes qui
peuvent recueillir et interpréter des données sur les capacités, possibilités, changements et tendances
du contexte externe, en prenant en compte que les connaissances sur les caractéristiques des risques
émergents et leur influence sur les objectifs de l’organisme peuvent dépendre de données encore
manquantes ou qui sont limitées.
Il convient de noter qu’en l’absence de connaissances adéquates, la compréhension des risques
émergents peut être influencée par des perceptions individuelles, un biais cognitif, une dynamique de
groupe, une mauvaise information ou une mauvaise interprétation, empêchant l’appréciation fiable des
vraisemblances et conséquences. Dans de tels cas, il convient de focaliser le management des risques
[4] [5]
émergents sur l’appréciation de leur plausibilité et le renforcement de la résilience de l’organisme .
Étant donné que les risques évoluent, les connaissances les concernant et sur leurs caractéristiques
évoluent également avec le temps.
NOTE Au départ, la compréhension des questions potentielles découlant de circonstances particulières
peut être faible. À mesure que des données et informations sont collectées et interprétées, les connaissances
augmentent, ce qui permet aux organismes d’identifier les risques émergents et de prendre des décisions en ce
qui concerne leurs potentielles conséquences.
Il convient de définir cela au sein du cycle d’intelligence du risque. Il convient d’appliquer
systématiquement les connaissances pour l’intelligence stratégique et la prise de décision améliorée.
Voir Article 8 et Annexe E.
4.2.3 Aspects de mesurage
La qualité (par exemple, intégrité, fiabilité, précision, en temps opportun, pertinence) des données et
informations disponibles est essentielle pour acquérir les connaissances nécessaires pour attribuer
des valeurs aux éléments mesurables des caractéristiques de risques émergents, notamment les
conséquences et la vraisemblance. Il convient que l’organisme établisse un système pour l’acquisition
en temps opportun des données pertinentes sur des signaux faibles ou des alertes précoces, ainsi que
pour leur analyse et l’analyse des changements de caractéristiques des risques émergents. Il convient
que cette analyse inclue l’ambiguïté des informations, ses limitations par rapport à la compréhension du
développement des risques émergents, ainsi que les tendances et modèles du contexte de l’organisme,
indiquant la source de possibles risques émergents.
4.2.4 Dimension temporelle
Il convient que la caractérisation des risques émergents inclue les dimensions temporelles, telles
que la vitesse à laquelle les informations nécessaires pour comprendre et manager un risque seront
disponibles. La compréhension des caractéristiques de risques émergents liées au temps influence
également la collecte et l’analyse des données, l’interprétation des informations et la création de
connaissances pour la prise de décision en temps opportun concernant le management des risques
émergents.
Le délai de mise à disposition des informations nécessaires affecte également les options de maîtrise
du management du risque et l’étendue de l’expertise exigée.
Il convient que les indicateurs temporels clés servant de caractéristiques de risques émergents incluent:
a) la vitesse (vélocité) de changement des conditions ou circonstances;
b) la vitesse de développement d’un risque émergent;
c) le délai entre un changement de circonstances ou de conditions et l’identification d’un risque
émergent;
d) le temps nécessaire pour atteindre la maturité des données essentielle aux informations,
aux connaissances et à l’intelligence;
e) le laps de temps entre des changements de contexte et l’apparition de signaux faibles ou d’alertes
précoces;
f) le laps de temps entre l’identification d’un risque et la survenue d’un événement.
4.2.5 Aspects de volatilité
Les caractéristiques de risques émergents conduisant potentiellement à des changements et une
volatilité incertains ou inattendus sur les risques émergents peuvent inclure:
— une soudaine reconnaissance que les circonstances ne sont pas assez bien comprises et que
l’organisme n’a pas conscience de données potentiellement importantes;
— des changements progressifs inattendus et non anticipés de contextes, de capacités et de
compréhension des implications de ces changements;
— une variabilité rapide et imprévisible et des changements imprévus dans le contexte organisationnel.
Il convient de continuellement mettre à jour les informations pour améliorer la compréhension des
raisons de ces changements. Il convient d’intégrer les caractéristiques et connaissances à la prise de
décision efficace et efficiente concernant les risques émergents.
4.3 Développement des risques émergents
Il convient de considérer la compréhension des divers aspects du contexte organisationnel comme la
clé d’une identification, d’une analyse et d’une évaluation efficaces des risques émergents (voir 4.1).
Les changements de l’un ou de l’ensemble de ces aspects environnementaux engendrent des
changements du contexte organisationnel qui sont susceptibles d’avoir un impact sur les objectifs
organisationnels, de façon positive ou négative.
Les signaux faibles et les premiers indicateurs de changement d’un quelconque aspect du contexte
organisationnel sont des précurseurs de potentiels risques émergents. Dans ces circonstances, il
convient que les organismes surveillent les changements identifiés de tout aspect de leur contexte
et recueillent et analysent continuellement des données pour déterminer le caractère significatif du
changement de tout élément ou aspect, et pour développer des scénarios.
Une surveillance et une revue rigoureuses des changements de contextes, ainsi que la disponibilité
accrue de données, telles que la vraisemblance, la vitesse de changement, l’ampleur et la volatilité de
survenue, les horizons temporels et les aspects du contexte de l’organisme, contribuent tous à la clarté
et à une meilleure compréhension des questions identifiées et des potentiels risques émergents.
Durant les phases initiales d’un développement de risque émergent, il convient que l’organisme,
en particulier un organisme ayant peu ou pas de connaissance ou d’expérience antérieure concernant
les risques émergents, ait conscience que des données peuvent être indisponibles, limitées, incohérentes,
imprécises ou fausses. Il convient donc que le processus d’interprétation des données en informations
vérifiables pour la prise de décision soit focalisé sur la réduction des incertitudes significatives.
Bien que la surveillance et la revue continuelles des changements de caractéristiques d’un risque
émergent augmenteront généralement la qualité et la quantité des données collectées, il convient
que l’organisme soit conscient que dans certaines circonstances les changements de son contexte ne
peuvent pas tous être identifiés ou couverts par l’analyse de scénario.
4.4 Relation entre management des risques émergents et résilience organisationnelle
La résilience organisationnelle permet à un organisme de réaliser ses objectifs, de survivre et de
prospérer. Les changements du contexte organisationnel sont souvent des indicateurs précoces ou sont
des indicateurs qui identifient les menaces et opportunités, les vulnérabilités et les sources d’un risque
émergent.
Par rapport aux possibles menaces, la résilience organisationnelle permet aux organismes de se
préparer pour les affronter, d’absorber leurs impacts, de se rétablir après celles-ci et de s’adapter à des
conditions changeantes. Par rapport aux possibles opportunités, la résilience organisationnelle permet
aux organismes de s’adapter pour tirer profit du changement, de créer de la valeur interne et de prendre
des risques mesurés en confiance (voir ISO 22316).
Il convient qu’un management efficace et efficient des risques émergents contribue à éviter et atténuer
de possibles défaillances pour exploiter des opportunités ou l’expérience d’effets adverses concernant
les objectifs importants de l’organisme, voire même la survie de l’organisme.
Il convient donc que les organismes adoptent et appliquent les principes de résilience et les indicateurs
de résilience (voir Annexe F). Il convient qu’ils développent des capacités et attributs qui renforcent
leur aptitude à survivre et prospérer. Il convient que l’aptitude d’un organisme à anticiper les
changements, à s’y préparer et à y répondre soit l’exigence clé d’un management efficace des risques
émergents. Il convient ainsi que les organismes résilients se caractérisent par le fait d’avoir notamment
les aptitudes suivantes:
— anticipation: aptitude à se préparer à des événements inattendus ou non vraisemblables en
développant des capacités et fonctions de prospective qui sont nécessaires pour traiter tout type
d’événement inattendu, qu’il soit favorable ou adverse. Cela signifie également être prêt à tirer
parti de potentielles opportunités offertes par des changements de contextes externes avant les
concurrents;
— résistance et rétablissement: aptitude à résister à des situations adverses, à se rétablir après
des perturbations et à retourner à un état normal au-delà de la maintenance et de la restauration
d’une fonctionnalité opérationnelle, en se focalisant sur la progression des processus et capacités
organisationnels;
— adaptation: aptitude à développer efficacement des réponses propres à la situation, à s’adapter
à des événements perturbateurs et à s’engager finalement dans des activités de transformation
pour capitaliser sur les événements perturbateurs.
Il convient de déterminer le niveau de résilience d’un organisme avant un événement perturbateur
en le mesurant et en le faisant en fonction du degré de réussite avec lequel l’organisme a managé
un événement inattendu similaire. Il convient que la résilience organisationnelle inclue la capacité par
laquelle il est possible d’atteindre une anticipation et une adaptation efficaces vis-à-vis des risques
émergents.
5 Principes
5.1 Généralités
Le cœur du management du risque et sa finalité sont la création et la préservation de la valeur. Pour cela,
l’ISO 31000 définit un ensemble de principes, voir Figure 1 a). Ces principes sont également applicables
au management des risques émergents.
a) Principes b) Processus
Figure 1 — Principes et processus de l’ISO 31000
Les paragraphes 5.2 à 5.9 donnent des recommandations supplémentaires pour appliquer ces principes
au management des risques émergents. Lors de l’application de ces principes, il convient que l’organisme
s’assure que les risques émergents:
— sont revus continuellement durant les phases d’émergence pour améliorer la connaissance et
la compréhension de leurs caractéristiques et de leur état;
— sont appréciés en envisageant un large éventail de situations futures possibles.
En outre, il convient que l’organisme s’assure que les menaces et opportunités sont gérées de façon
appropriée, en reconnaissant les limitations, l’incohérence et la variabilité des informations et données.
5.2 Intégré
Il n’existe aucune autre recommandation supplémentaire à ce qui est stipulé dans l’ISO 31000.
5.3 Structuré et complet/exhaustif
Il convient que l’organisme applique une approche agile quand c’est nécessaire pour collecter et
interpréter les données, produire des informations et convertir les connaissances en intelligence
utilisable par les décideurs (voir Article 8 et Annexe E).
Il convient que l’organisme examine explicitement si l’acquisition des données (structurées et non
structurées) et leur interprétation en informations et connaissances appliquées satisfont à l’exigence
d’une approche complète/exhaustive de management du risque.
Il convient que l’approche mette l’accent sur l’importance d’un travail d’identification cohérent et
la communication autour des risques émergents.
5.4 Personnalisé
Il convient que l’organisme s’assure que son cadre de travail et son processus de management du risque
sont personnalisés pour refléter la volatilité, l’incertitude, la complexité et l’ambiguïté des risques
émergents en cohérence avec sa mission, ses objectifs et ses stratégies.
5.5 Inclusif
Il convient que l’organisme identifie et engage les parties prenantes pertinentes ayant un intérêt vis-
à-vis des risques émergents de manière appropriée et en temps opportun pour améliorer l’étendue
des connaissances de l’organisme en apprenant des expériences des différentes parties prenantes que
l’organisme peut appliquer.
Même lorsque les données sont de mauvaise qualité et que les informations sont limitées, il convient
que l’organisme continue de procéder à la reconnaissance de la crédibilité des informations si la source
présente une crédibilité et une expertise suffisantes.
5.6 Dynamique
Il convient que l’organisme prenne en considération la possibilité de changements inattendus et
perturbateurs, qu’il développe une capacité à anticiper et détecter un changement et à y répondre
en temps opportun et, en conséquence, qu’il reste suffisamment agile, flexible et adaptable pour
accueillir des changements plausibles du contexte externe.
Il convient que l’organisme s’assure que son cadre de management du risque inclut des composants
conçus pour anticiper des circonstances changeantes et y répondre, et qu’une flexibilité suffisante
existe dans le processus de management du risque. Il convient que les membres de l’organisme soient
en mesure d’adapter et d’appliquer différents outils et techniques pour traiter les caractéristiques de
risques émergents.
5.7 Meilleure information disponible
En reconnaissant le manque d’historique et d’informations actuelles pertinentes lors de l’appréciation
des risques émergents, il convient que l’organisme s’assure du développement permanent du recueil,
de la vérification et de l’analyse des données pour extraire des informations se rapportant aux risques
émergents afin d’obtenir la meilleure information pour la prise de décision.
L’Article 8 fournit des recommandations s
...