Introduction

1.1 À propos du guide

Objectif

Le Guide vise à renforcer les pratiques de gestion intégrée du risque du secteur public fédéral canadien en fournissant aux organisations des orientations pour la conception, la mise en œuvre, l'exécution et l'amélioration continue de la gestion intégrée du risque afin d'établir une approche de gestion éclairée par l'analyse des risques à l'échelle des organisations permettant au final un rendement accru.

Le Guide se veut un document d'accompagnement du Cadre stratégique de gestion du risque fondé sur des principes établis préparé par le Secrétariat du Conseil du Trésor (2010). Il se fonde sur les principes du Cadre et offre des conseils et des considérations pratiques en vue d'appliquer ces principes aux stratégies organisationnelles de gestion intégrée du risque. Il offre de plus de l'information sur les liens à établir avec des ressources génériques de gestion du risque, c'est-à-dire des processus, des pratiques, des outils et des modèles pouvant être adaptés aux circonstances particulières des organisations fédérales en fonction de leur taille, de leur mandat, de leur structure et de leur secteur d'activités.

Comment utiliser ce guide

La première partie du Guide (section 1) présente l'objet de l'instrument ainsi que les avancées des dernières années dans le domaine de la gestion du risque de même que les catalyseurs du renouvellement et du renforcement de la gestion du risque au sein du gouvernement fédéral. La section 2 présente un aperçu du Cadre stratégique de gestion du risque du Secrétariat du Conseil du Trésor (SCT), dont les grands concepts qui sous-tendent le Cadre et le Guide ainsi que les principes, les rôles et les responsabilités décrits dans le Cadre. La section 3 fournit de l'information générale sur l'établissement de pratiques de gestion du risque au sein d'une organisation, et les sections 4 à 7 présentent des orientations pratiques pour la conception, la mise en œuvre, l'exécution et l'amélioration continue de la gestion intégrée du risque afin d'établir une approche de gestion du risque et le processus correspondants au sein d'une organisation.

Selon son stade d'avancement de la mise en œuvre de la gestion intégrée du risque (premières tentatives ou pleine intégration aux processus de gestion), chaque organisation s'intéressera aux sections du Guide portant sur les aspects lui permettant de mettre en place une démarche de plus en cohérente et uniforme de prise de décisions axée sur l'analyse des risques, et ainsi parvenir à un rendement accru.

Portée

Le Guide a été développé au moyen d'une démarche interministérielle marquée par la collaboration et le développement de la collectivité et dirigée par le Centre d'excellence en gestion du risque du SCT. Il vise à offrir à l'ensemble des fonctionnaires fédéraux une source d'information sur la gestion du risque dans les ministères et les organismes fédéraux. À ceux et celles qui travaillent dans le domaine de la gestion du risque (les spécialistes de la gestion du risque, la collectivité de la vérification, la collectivité de la planification et de la surveillance, etc.), le Guide offre des directives pratiques pour exercer leurs responsabilités. Le Guide met à jour certains éléments du Cadre de gestion intégrée du risque (2001) et du Guide de mise en œuvre de la gestion intégrée du risque (2004), qui ont été remplacés par le Cadre stratégique de gestion du risque (2010) et le présent Guide, respectivement. Le Guide est aussi basé sur les avancées nationales et internationales dans le domaine de la gestion du risque ainsi que sur les progrès de l'approche en place au gouvernement du Canada.

De manière générale, le Guide vise à aider les organisations à améliorer globalement leurs pratiques de gestion du risque. Alors que le Guide fournit aux organisations de l'information détaillée relativement aux différents éléments dont il faut tenir compte dans la conception, la mise en œuvre, l'exécution et l'amélioration de la gestion intégrée du risque, il ne fournit cependant pas d'exigences précises en ce qui concerne les pratiques de la gestion du risque puisque l'approche et le processus qui seront établis seront adaptés aux exigences particulières de chacune des organisations en fonction notamment de son mandat, de ses priorités, de son exposition au risque, de sa culture de risque, de sa capacité de gestion du risque et des intérêts de leurs partenaires et des parties intéressées.

Il faut aussi préciser qu'étant donné que le Guide offre des orientations générales relativement à la conception et à la mise en œuvre d'une approche de gestion intégrée du risque, il ne vise pas à fournir des détails précis des éléments visés par l'évaluation du rendement en matière de gestion intégrée du risque des ministères et organismes réalisée au titre du Cadre de responsabilisation de gestion (CRG).

1.2 Contexte

Avancées de la gestion du risque

La gestion du risque est un élément fondamental d'une saine gestion publique. Dans un environnement particulièrement dynamique et complexe, les organisations doivent être en mesure de reconnaître et de comprendre les nouveaux défis et de nouvelles possibilités, de s'y adapter et d'en tirer profit. La gestion efficace du risque contribue à améliorer la prise de décision et l'affectation des ressources, en plus d'offrir en bout de chaîne des résultats optimaux à la population canadienne.

On a établi depuis plus d'une décennie que la gestion du risque est un élément clé de la gestion moderne au sein de l'administration fédérale canadienne. Afin de donner suite à la vision et aux engagements énoncés dans le Rapport du Groupe de travail indépendant chargé de la modernisation de la fonction de contrôleur dans l'administration fédérale du Canada (1997) et du rapport Des résultats pour les Canadiens et les Canadiennes: Un cadre de gestion pour le gouvernement du Canada (2000), le SCT a établi un Cadre de gestion intégrée du risque (2001) et son Guide de mise en œuvre de la gestion intégrée du risque (2004)). Le Cadre de 2001 et le Guide de 2004 avaient été conçus en vue d'aider les organisations fédérales canadiennes à mettre en place des pratiques élémentaires de gestion du risque.

Après la publication de ces documents, beaucoup d'organisations fédérales ont mis en place des fonctions de gestion intégrée du risque. De plus, la plupart des organisations ont mis en œuvre des outils et des mécanismes destinés à relever et à consigner systématiquement de l'information sur les principaux risques de leur organisation ainsi que les stratégies de réaction correspondantes au moyen d'un profil organisationnel de risques ou d'un instrument équivalent.

La gestion du risque au sein de l'administration fédérale a aussi évolué du point de vue de la surveillance et de la fonction des organismes centraux. En 2003, le SCT a mis en place le CRG, un outil lui permettant d'évaluer le rendement de certaines organisations de l'administration fédérale. L'efficacité de la gestion intégrée du risque reste l'un des principaux domaines évalués par le CRG.

De plus, l'initiative sur le labyrinthe de règles de gouvernement fédéral intègre les principes de la gestion du risque de manière à simplifier les instruments de surveillance afin de mettre l'accent sur les règles pertinentes, la production de rapports et les processus administratifs et d'accroître la capacité du gouvernement de rehausser la valeur, d'une part, et de relever les grands défis, de maintenir la responsabilisation, d'encourager la prise de décisions fondée sur l'analyse des risques et de faciliter un rendement accru, d'autre part.

La capacité et le soutien en matière de gestion du risque ont aussi été rehaussés dans l'ensemble du gouvernement par la formation des comités de vérification des ministères et organismes (CVMO), aux termes de la Politique sur la vérification interne (2009), par l'établissement du Centre d'expertise sur les subventions et contributions et d'un Centre de compétences en réglementation (CCR) au SCT en 2007, et du rétablissement en août 2008 d'un Centre d'excellence en gestion du risque du SCT, le carrefour du soutien des efforts en matière de gestion du risque pour les organisations de l'administration fédérale.

En dehors du secteur public canadien, les normes en matière de gestion du risque ont évolué au niveau national (Association canadienne de normalisation (ACN)) et au niveau international (Organisation internationale de normalisation (ISO)).

De manière générale, la gestion des risques a évolué considérablement au cours des dernières années et a parmi de faire beaucoup progresser les pratiques, les processus et la culture s'y rapportant dans tout le gouvernement fédéral.

Renouvellement de la gestion du risque au sein du gouvernement du Canada

Dans le contexte des avancées décrites précédemment, deux rapports publiés au début de 2009 ont recommandé le renouvellement et le renforcement de l'approche de la gestion du risque au sein du gouvernement fédéral. Le Troisième rapport du Comité consultatif du Premier ministre sur la fonction publique (2009) nommé par le premier ministre mettait en lumière la nécessité de renouveler le mode de gestion du risque du gouvernement fédéral et de renforcer sa capacité de gestion du risque par l'adoption d'une approche pangouvernementale fondée sur des principes. Par ailleurs, le Seizième rapport annuel au Premier ministre sur la fonction publique du Canada du greffier du Conseil privé (2009) énonçait que l'administration publique devrait adopter une approche pangouvernementale fondée sur des principes pour la gestion du risque en appliquant les règles et les procédures pertinentes. Le Quatrième rapport du Comité consultatif sur la fonction publique nommé par le Premier ministre (2010) prenait acte des progrès réalisés jusque-là en vue de l'établissement d'une approche de la gestion du risque fondée sur des principes et relevait que la mise en place d'une culture de l'innovation fondée sur une gestion bien réfléchie des risques est essentielle afin de garantir l'émergence d'une fonction publique de haut calibre, à la fois responsable, capable de s'adapter et axée sur les résultats.

La recommandation visant l'adoption d'une approche de gestion du risque axée sur des principes a été mise en œuvre en 2010 par l'entremise du Cadre stratégique de gestion du risque du SCT. Le Cadre faisait partie de l'exercice de Renouvellement des politiques du SCT, un processus visant à faire en sorte que l'instrument destiné à encadre un domaine de la gestion est adapté au niveau de risque qui s'y rattache. Ainsi, beaucoup de politiques du SCT ont été renouvelés en fonction d'une approche fondée sur des principes.

Par ailleurs, le gouvernement fédéral a déployé une approche de gestion du risque axée sur des principes pour la mise en œuvre du Budget en ce qui a trait au Plan d'action économique en 2009 et 2010 dans le cadre duquel un mécanisme rationalisé de surveillance a été mis en place pour les propositions qui démontraient de faibles risques. De plus, depuis 2009, une démarche fondée sur l'analyse des risques a été mise en œuvre pour tous les domaines de gestion visés par le processus annuel du CRG.

Ces exemples de mécanismes de gestion éclairés par l'analyse des risques au sein de l'administration fédérale ont remis en évidence l'importance pour les ministères et les organismes de continuellement développer leur capacité de gérer efficacement le risque. Le Guide vise à aider les ministères et organismes dans ce domaine.

2 Présentation du Cadre stratégique de gestion du risque

2.1 Concepts clés

Les grands principes de la gestion du risque qui sous-tendent le Cadre stratégique de gestion du risque du SCT et le présent Guide sont présentés ci-après.

Le risque

Le risque est inévitable et il est présent dans presque toutes les situations de la vie. Les organisations des secteurs public et privé y sont confrontées chaque jour. Le mot risque inspire généralement la notion de perte, de blessures ou de danger. Cependant, la définition moderne généralement acceptée du risque est « l'effet de l'incertitude sur les objectifs ». Le Cadre stratégique de gestion du risque du SCT et le présent Guide sont explicitement basés sur cette définition neutre du risque et reconnaissent que les risques impliquent des menaces et des occasions.

D'un point de vue technique, le risque exprime la probabilité et les répercussions d'un événement susceptible de nuire à l'atteinte des objectifs de l'organisation. Les termes « la probabilité et les répercussions d'un événement » laissent entendre qu'il faut faire, à tout le moins, une analyse quantitative et qualitative pour évaluer les risques. Pour chaque risque considéré, il faut évaluer deux choses : la probabilité ou l'éventualité que l'événement survienne et l'ampleur de ses répercussions ou de ses conséquences s'il survient. Il faut rappeler qu'étant donné que le risque se rapporte à l'effet de l'incertitude, et donc à une perspective d'avenir, les risques se distinguent des enjeux, des problèmes ou des conditions existants, pour lesquels la probabilité qu'ils surviennent ne serait pas en cause.

Le niveau de risque observé avant de prendre en compte les mécanismes existants et les réactions au risque constitue le niveau de risque « inhérent ». Le risque qui subsiste lorsque sont appliqués les mécanismes de contrôle et les réactions constitue le niveau de risque « résiduel ».

Gestion du risque

La gestion du risque est une démarche systématique visant à établir la meilleure façon de procéder dans des circonstances incertaines par la détermination, l'évaluation, la compréhension, le règlement et la communication des questions liées aux risques. Elle fait partie intégrante des mécanismes d'une saine gestion. Il ne s'agit pas nécessairement d'éviter le risque en cas de menaces éventuelles. La gestion du risque permet plutôt aux organisations de prendre des décisions éclairées, grâce à une compréhension de leurs risques, et en fin de compte, de réagir de manière préventive au changement en atténuant les menaces et en tirant profit des possibilités que l'incertitude présente pour les objectifs d'une organisation.

La saine gestion des risques permet au gouvernement d'être plus efficace, davantage concentré sur les résultats et plus performant. De plus, une capacité manifeste et accrue d'évaluer, de communiquer et de réagir aux risques suscite la confiance à la fois au sein du gouvernement et auprès du public.

Gestion intégrée du risque

La gestion du risque ne peut être efficace si elle est cloisonnée. Ainsi, la gestion intégrée du risque favorise une démarche systématique, continue et proactive visant à comprendre, à gérer et à communiquer les risques du point de vue de l'ensemble de l'organisation d'une manière cohérente et structurée. Elle favorise la prise de décisions stratégiques qui contribuent à l'atteinte des objectifs globaux de l'organisation. La gestion intégrée du risque exige une évaluation continue des risques auxquels une organisation peut faire face à tous les niveaux, le regroupement des résultats à l'échelle de l'organisation et une communication, une surveillance et un examen adéquats. Les résultats regroupés servent alors à donner fond aux décisions et aux pratiques de l'organisation.

Approche éclairée par l'analyse des risquesh

Afin de favoriser une culture organisationnelle éclairée par l'analyse des risques et de réaliser pleinement des améliorations du rendement au sein des organisations fédérales, la gestion préventive du risque doit viser toutes les pratiques opérationnelles. La démarche de prise en compte du risque en matière de gestion intègre la gestion du risque aux structures de gouvernance et aux structures organisationnelles existantes, y compris à la planification des activités, à la prise de décisions et aux processus opérationnels. Elle fait également en sorte que le milieu de travail ait la capacité et les outils nécessaires pour innover tout en protégeant l'intérêt public et en préservant la confiance de la population.

Culture de risque

La culture de risque se rapporte aux attitudes et aux comportements associés à la gestion du risque au sein d'une organisation, notamment si la gestion du risque est considérée au sein de l'organisation comme une partie intégrante du processus de prise de décision, ou s'il s'agit seulement d'une obligation de rendre des comptes, si l'organisation est réfractaire au risque ou si les risques portent aussi des possibilités, si la gestion du risque est intégrée à tous les niveaux de l'organisation ou s'il s'agit uniquement d'un processus descendant.

Tolérance au risque

La tolérance au risque désigne la volonté d'une organisation d'accepter ou de rejeter un niveau donné de risque résiduel. La tolérance au risque peut varier au sein d'une organisation, en fonction de l'environnement opérationnel, des parties intéressées, etc., mais elle doit être bien comprise par les personnes qui prennent des décisions relatives aux risques dans un dossier en particulier. Il faut que la tolérance au risque soit claire à tous les niveaux de l'organisation afin de favoriser une prise de décisions éclairée par l'analyse des risques et le recours à des approches tenant compte du risque.

2.2 Le Cadre stratégique de gestion du risque

Comme on l'a énoncé à la section 1.2, c'est en réponse à d'importants appels au renouvellement de l'approche gouvernementale de gestion du risque que le SCT a élaboré le Cadre stratégique de gestion du risque (2010), qui offre aux administrateurs généraux des principes pour intégrer à la gestion du risque comme élément essentiel des activités de tous les secteurs et de tous les niveaux. Le Cadre est un élément central de l'ensemble des politiques renouvelées du Conseil du Trésor, de pair avec le Cadre principal des politiques du Conseil du Trésor et le Cadre stratégique sur la gestion de la conformité. Le Cadre stratégique de gestion du risque complète le modèle conceptuel du renouvellement des politiques énoncé dans le Cadre principal et s'ajoute aux considérations pour la gestion de la conformité figurant dans le Cadre stratégique sur la gestion de la conformité. Les trois cadres fondamentaux facilitent la gestion efficace des organismes fédéraux en encourageant la responsabilisation et la transparence.

Plus précisément, le Cadre stratégique de gestion du risque établit les grands principes de la gestion du risque et clarifie les rôles et les responsabilités des administrateurs généraux et du SCT en ce qui a trait à la gestion du risque. Les principes, les rôles et les responsabilités énoncés dans le Cadre s'appliquent à tous les instruments de politique du CT et en éclairent l'élaboration; certains de ces instruments renferment des exigences relatives à la gestion du risque propres à la politique visée. En plus de servir de base à l'élaboration des politiques du Conseil du Trésor, le Cadre définit aussi les attentes à l'égard des administrateurs généraux et de leurs ministères et organismes quant à leurs rôles dans la mise en place de pratiques efficaces de gestion du risque au sein des organisations fédérales. Le Guide fournit de l'assistance supplémentaire dans ce domaine afin d'aider les organisations fédérales à intégrer ces attentes à leurs activités.

Le Cadre réitère les grands principes et approches de la gestion du risque en place au gouvernement du Canada depuis 2001 et reflète, lorsque pertinent, les normes nationales et internationales de gestion du risque, dont la norme ISO 31000.

Les principes, les rôles et les responsabilités énoncés dans le Cadre sont détaillés aux sections 2.3 et 2.4.

2.3 Principes de gestion du risque

Les principes du Cadre, énoncés ci-après, guident les organisations vers une gestion efficace du risque. La gestion efficace du risque au gouvernement fédéral devrait:

2.4 Rôles et responsabilités des administrateurs généraux et du SCT

Administrateurs généraux

Les administrateurs généraux sont chargés de gérer les risques auxquels leur organisation est exposée et de mettre en œuvre des pratiques efficaces de gestion du risque, qu'elles soient formelles ou informelles. Cette approche comprend l'établissement de l'approche globale de la gestion du risque et des processus nécessaires. Ils doivent, à cette fin, appliquer les principes qui figurent à la section 2.3.

Un des principaux rôles des administrateurs généraux est de s'assurer que les principes et les pratiques de gestion du risque sont compris et intégrés aux diverses activités de leur organisation. En outre, les administrateurs généraux sont chargés de surveiller les pratiques de gestion du risque de leur organisation, de prendre en considération les risques associés à leurs principaux partenaires à l'intérieur et à l'extérieur de la fonction publique fédérale. Ils doivent aussi faire en sorte que les questions qui influent sur les méthodes de gestion de risques entreprises par l'organisation, qu'il s'agisse de risques relevés lors d'évaluations et d'activités de surveillance interne ou externe, sont examinées et réglées.

Les administrateurs généraux jouent également un rôle important dans la mise en place d'un contexte favorisant l'apprentissage qui favorise le perfectionnement des compétences et des capacités dans le domaine de la gestion du risque au sein de leur organisation. Par leur leadership, ils favorisent l'instauration d'une culture organisationnelle qui soutient une prise de décisions éclairée par l'analyse des risques, facilite le dialogue sur la tolérance au risque, met l'accent sur les résultats, permet de tenir compte des possibilités et favorise l'innovation.

Conseil du Trésor et Secrétariat du Conseil du Trésor du Canada

Le Conseil du Trésor et le Secrétariat du Conseil du Trésor ont aussi un rôle à jouer dans le renforcement de la gestion du risque au sein des ministères et organismes fédéraux. Un élément clé du rôle du Conseil du Trésor, et du SCT, consiste à assurer l'excellence en gestion au gouvernement par l'intermédiaire du leadership, de l'orientation, du suivi, de l'examen et de la surveillance en vertu des pouvoirs que leur confère la Loi sur la gestion des finances publiques.

À cette fin, le Conseil du Trésor et le SCT ont la responsabilité de fournir aux ministères et organismes des orientations, des outils et une expertise pour favoriser la prise en compte du risque dans le cadre de la gestion. De plus, ils jouent aussi un rôle de leadership en communiquant de l'information et en faisant la promotion de pratiques exemplaires relatives à la gestion du risque et l'adoption d'approches éclairées par l'analyse des risques.

Le SCT doit aussi surveiller et évaluer aussi le rendement des ministères et organismes en matière de gestion du risque, entre autres, au moyen du CRG et de l'examen des vérifications internes et externes. Ces évaluations peuvent éclairer les discussions sur la gestion du risque entre le secrétaire du Conseil du Trésor et les administrateurs généraux.

S'il est démontré que les pratiques de gestion du risque d'un ministère ou organisme fédéral sont efficaces, il se pourrait que le CT et le SCT adaptent leur surveillance à la capacité de gestion du risque de l'organisation, lorsque les circonstances le permettent. À l'inverse, une gestion du risque inefficace peut mener à des mesures de contrôle et de surveillance supplémentaires. Au besoin, le SCT peut encourager les administrateurs généraux à prendre les mesures correctives nécessaires pour qu'ils puissent bien exercer leurs responsabilités concernant la surveillance de la gestion du risque dans leur organisation.

Date de modification :