ISO 31000
Par Christopher • 9 Décembre 2017 • 889 Mots (4 Pages) • 433 Vues
...
La première différence notable est que ISO 31000 prend en compte les risques ayant un impact positif et/ou négatif tandis que COSO ne prend en compte que les évènements ayant un impact négatif. Les évènements ayant un impact positif, quant à eux, sont considérés comme des opportunités et ne sont pas pris en compte dans l'évaluation des risques. Étant donné cette définition de risques différente, la réponse engendrée est la suivante selon les deux cas :
ISO 31000
COSO
éviter les risques
éviter les risques
prendre ou augmenter les risques dotés de conséquences positives
réduire les risques
Modifier les conséquences
partager les risques
partager les risques
accepter les risques
retenir les risques
Un autre risque est que le ISO31000 couvre uniquement les risques inhérents contrairement au COSO qui couvre à la fois les risques inhérents et les risques résiduels.
Enfin, la différence la plus importante concerne l'analyse de probabilités. En effet, selon l'approche COSO, cette analyse se fait au niveau de l'événement alors que selon celle d'ISO, elle se fait au niveau des conséquences.
Par ailleurs, la quantité d'information couverte par COSO concernant les sujets suivants est nettement plus importante que celle couverte par ISO 31000 :
- appétit pour le risque
- tolérance de risque
- culture du risque
- propagation du risque
- facteur humain
- les contrôles
- définition des objectifs
- orientation sur la catégorisation du risque
- événements prévisibles vs événements impévisibles
- portefeuille de risques
- exécution de politiques
- technologie et information pour le management du risque
- communication et surveillance
- évaluations/tests indépendants
- traitement des déficiences identifiées au cours des évaluations/tests
- risques significatifs
ISO 31000, en revanche, est plus complet que le COSO dans les domaines suivants :
- orientation sur la définition du cadre du management de risques
- processus de définition du management de risques
- orientation sur la politique de définition de management de risques
- vocabulaire du management de risques
- techniques d'évaluation de risques
- bases pour d'autres normes ISO
- critère de risque
- contexte externe
- orientation sur la description de risques
- conséquences des risques ...
Ainsi, une organisation cherchant à avoir des informations complètes doit consulter à la fois les normes ISO ainsi que le référentiel COSO. En effet, ceux-ci se complètent et il est nécessaire d'utiliser l'information appropriée pour tirer profit des deux documents.
...