3 Présentation de la gestion intégrée du risque

La gestion du risque devrait être un fondement essentiel de la saine gestion et de la prise de décisions à tous les niveaux d'une organisation. La gestion du risque ne s'exerce pas en vase clos, mais doit plutôt être intégrée aux structures et aux processus de prise de décisions existants afin de soutenir la planification, l'établissement des priorités, la gestion des programmes, la production de rapports financiers, les vérifications et les évaluations, la préparation des plans d'activités organisationnels, la planification de la continuité des activités, la réalisation des activités et l'évaluation du rendement, de même que toute fonction essentielle au niveau de l'organisation, des directions et des programmes. L'intégration de la gestion du risque aux structures et aux programmes d'une organisation au moyen d'une démarche uniforme de gestion du risque établit un environnement cohérent de gestion intégrée du risque.

Les organisations qui pratiquent la gestion intégrée du risque rassemblent de l'information pertinente pour la prise de décisions et améliorent ainsi l'atteinte de leurs objectifs. Il est donc essentiel d'associer directement la gestion du risque à l'atteinte des objectifs à tous les niveaux de l'organisation. Si la gestion du risque ne semble pas faciliter la prise de décisions, le processus pourrait être perçu comme une exigence administrative qu'il est possible d'ignorer.

Les étapes de la mise en œuvre de la gestion intégrée du risque peuvent être très différentes d'une organisation à l'autre, tout comme l'approche et le processus qui en découleront. Cependant, à grande échelle, divers éléments peuvent être considérés dans les processus de conception, de mise en œuvre, d'exécution et d'amélioration de la démarche de gestion intégrée du risque de toute organisation. Ces éléments sont présentés dans les sections qui suivent et servent à orienter le processus de renforcement des pratiques de gestion intégrée du risque. Ces éléments sont structurés comme suit:

  • Pour commencer – Planifier et concevoir l'approche et le processus;
  • Mettre en place – Mettre en œuvre la gestion intégrée du risque;
  • S'exécuter – Mettre en pratique la gestion intégrée du risque;
  • S'améliorer – Améliorer sans cesse la gestion intégrée du risque.

L'approche proposée est axée sur deux principaux volets de la stratégie de gestion intégrée du risque: l'approche de gestion du risque Voir la note en bas de page 1, le cadre global de la gestion du risque au sein d'une organisation, et le processus de gestion du risque, les étapes permettant de gérer le risque de manière cohérente.

Démarche intégrée de gestion du risque

Le succès de la gestion intégrée du risque dépend de l'efficacité de l'approche de gestion du risque, qui établit le cadre général de cette approche ainsi que les outils nécessaires pour concevoir, mettre en œuvre, surveiller, examiner et continuellement améliorer la gestion du risque à tous les niveaux d'une organisation d'une manière cohérente et coordonnée. L'approche de gestion du risque n'est pas un système ou une approche donnés et reflète les besoins particuliers de l'organisation. L'approche de gestion du risque adoptée par une organisation fournit le cadre auquel intégrer le processus de gestion du risque et permettant de gérer efficacement les risques à tous les échelons. C'est ainsi qu'est mis en œuvre un mode de gestion éclairée par l'analyse des risques.

L'approche de gestion du risque permet d'établir un portrait de la gestion du risque pour l'ensemble des politiques, des programmes, de la planification et des processus de vérification et d'évaluation de l'organisation. Selon la taille, les besoins et la complexité d'une organisation, les instruments de gestion du risque peuvent comprendre des politiques, des objectifs, des plans, des relations, des obligations redditionnelles, des ressources, des mécanismes et des activités servant à concevoir, mettre en œuvre, exécuter, surveiller, examiner et continuellement améliorer la gestion du risque dans l'ensemble de l'organisation.

L'approche de gestion du risque définit le contexte des mécanismes de gestion du risque en fournissant le cadre et les ressources nécessaires.

Mécanismes de gestion du risque

Au sens large, le processus de gestion du risque se définit comme une série d'étapes interreliées et interdépendantes qui peuvent être réitérées et vérifiées. Ils offrent une structure permettant de systématiquement relever, évaluer, résoudre, communiquer et surveiller les risques importants dans une structure de gouvernance établie. En plus de faciliter les décisions quotidiennes à l'échelle individuelle, ces mécanismes permettent acquérir une vision stratégique et globale des risques importants à l'échelle organisationnelle nécessitant une attention soutenue de la haute direction de toute organisation.

4 Pour commencer – planifier et concevoir l'approche et le processus

4.1 Généralités

La présente section propose aux ministères et organismes fédéraux des directives pour l'élaboration: 1) d'une approche de gestion du risque qui permettra de développer, de structurer et de renforcer la gestion du risque au sein de leurs organisations en intégrant la gestion du risque à leurs structures et à leurs processus organisationnels, et 2) d'un processus de gestion du risque nécessaire pour intégrer aux activités la gestion du risque à l'échelle de l'organisation.

Si les principes de gestion définis par le Cadre stratégique de gestion du risque du SCT (voir la section 2.3) sont les exigences ou les considérations minimales qui devraient sous-tendre toute démarche de ce type, les ministères et organismes devraient utiliser des éléments du présent guide pour concevoir une approche et un processus de gestion du risque adaptés à leurs besoins. Les éléments ne s'appliqueront pas tous à l'ensemble des méthodes et des processus, et chacun des éléments ne nécessitera pas le même niveau de détail. Ainsi, la structure des méthodes et des processus de gestion du risque sera très différente d'une organisation à l'autre.

De manière générale, l'approche et le processus de gestion du risque ainsi établis devraient être documentés de manière à en faciliter la mise en œuvre (décrit à la section suivante) et fournir les moyens de les communiquer à tous les intervenants de manière à assurer une compréhension commune et claire.

Afin de faciliter l'étape de la conception, les personnes concernées devraient bénéficier de la formation et des autres ressources nécessaires pour faire en sorte qu'elles disposent des compétences et de l'expérience adéquates pour mener à bien leurs responsabilités. Les compétences de base dont devraient être dotées les personnes chargées des activités de conception comptent notamment:

  • la connaissance du cadre général de gestion de l'organisation, dont les rôles, les responsabilités, les obligations redditionnelles, les structures hiérarchiques et les procédures de recours hiérarchiques;
  • la compréhension de la gestion du risque et de son application à leur champ de responsabilité;
  • la capacité d'entamer des discussions au sujet du risque.

Les activités suivantes peuvent intervenir dans le processus utilisé pour concevoir l'approche et le processus de gestion du risque:

  • acquérir une compréhension de l'organisation et de son contexte afin de relever les facteurs susceptibles d'avoir une incidence importante sur la conception de l'approche et du processus;
  • formuler un énoncé de politique général sur la gestion du risque propre à l'organisation et approuvé par la haute direction;
  • définir les responsabilités en matière de gestion du risque au sein de l'organisation;
  • affecter les ressources nécessaires à la mise en œuvre et au soutien de la gestion du risque au sein de l'organisation;
  • définir un processus uniforme de gestion du risque comprenant une terminologie commune;
  • définir des mécanismes de communication et de production de rapports.

Ces activités sont décrites aux sections 4.2 à 4.7.

4.2 Comprendre l'organisation et son contexte

Pour concevoir une approche et un processus de gestion du risque, il est important d'analyser les contextes interne et externe de l'organisation. En définissant son contexte, l'organisation articule ses objectifs et définit les paramètres externes et internes dont il faut tenir compte dans la gestion du risque. Ces facteurs internes et externes peuvent être relevés au moyen d'une analyse qui servira à orienter la conception de l'approche et du processus de gestion du risque.

Dans leur analyse des facteurs internes et externes, les organisations peuvent se pencher sur les éléments suivants:

  • les résultats de vérifications, d'évaluations, d'examens ou d'autres documents fournissant de l'information au sujet de la gestion du risque de l'organisation, du leadership stratégique, des valeurs et de l'éthique, des données intégrées sur le rendement, de la gérance et de la responsabilisation;
  • les documents de planification stratégique de l'organisation comme le plan d'entreprise, le rapport ministériel sur le rendement (RMR), le rapport sur les plans et les priorités (RPP), les immobilisations et les plans fonctionnels;
  • l'apport des parties concernées et intéressées comme le Parlement, les clients, les intéressés du secteur public et les autres;
  • les principaux facteurs d'analyse externes (sociaux, économiques, etc.).

En plus de tenir compte de l'information recueillie au cours de l'analyse, il est important de bien définir la volonté de l'organisation d'accepter la possibilité que surviennent des événements négatifs et son ouverture aux possibilités dans la poursuite d'un objectif ou d'un résultat commun. La tolérance au risque d'une organisation varie en fonction de sa culture et des conditions changeantes de son environnement interne et externe. Le degré de tolérance à l'égard du risque peut être établi après consultation des parties touchées ou par une évaluation de la réponse ou de la réaction des intervenants à des degrés d'exposition divers au risque. Il peut aussi être opportun de prendre en compte les éléments suivants pour parvenir à comprendre le seuil de tolérance au risque d'une organisation:

  • la culture du risque de l'organisation;
  • l'influence possible de la tolérance au risque sur la conception des outils en place (p. ex.: cartes des points chauds, échelles d'évaluation du risque, processus de recours hiérarchiques, etc.);
  • la réaction de l'organisation à des événements et des situations de risque survenus antérieurement, notamment le type et l'ampleur de la réaction, et la compréhension des employés des risques pris par eux-mêmes, leur équipe ou leur groupe ou l'organisation;
  • la réaction des parties intéressées à des événements et des situations de risque survenus antérieurement et la compréhension des employés de la tolérance au risque des principaux groupes intéressés ou des consultations avec les intéressés relativement à la tolérance au risque;
  • le cadre stratégique en place (lois, règlements, politiques, directives et lignes directrices du ministère et du SCT et les niveaux de délégation de pouvoir), étant donné que les instruments de gouvernance énoncent généralement les pratiques et attentes acceptables dans des circonstances données;
  • d'autres informations sur l'organisation comme le rendement attendu et le rendement réel.

Sous la gouverne de la haute direction, une organisation peut décider d'énoncer sa tolérance au risque du point de vue de l'ensemble de l'organisation ou pour différents types de risques pour ensuite l'appliquer aux risques individuels au cours du processus de gestion du risque et déterminer le type et l'ampleur de la réaction à un risque donné (voir la section 4.6 au sujet de la tolérance au risque dans le processus de gestion du risque). Il est important de noter au départ que la tolérance au risque peut varier d'une organisation à l'autre et au sein même d'une seule organisation et qu'elle peut être influencée par le mandat, les points de vue des intéressés et la culture organisationnelle.

Note: Voir la section 5.2 sur la façon de faire progresser la tolérance au risque au sein d'une organisation.

4.3 Définir et articuler une orientation en matière de gestion intégrée des risques

L'établissement et l'articulation de l'orientation générale d'une organisation en matière de gestion intégrée des risques, dont sa vision, ses objectifs et ses principes opérationnels, sont des éléments essentiels à la dissémination d'une orientation globale et au succès de l'intégration de la fonction de gestion du risque aux mécanismes de gestion de l'organisation. L'articulation claire de la vision, des objectifs et des principes opérationnels favoriseront aussi la création et la promotion d'une culture de gestion du risque habilitante. L'organisation devrait envisager de formuler un énoncé articulant clairement ses objectifs relativement à ses activités de gestion intégrée du risque et démontrer son engagement à mettre en œuvre la gestion intégrée du risque à l'échelle de l'organisme. L'énoncé pourrait prendre la forme d'une politique sur la gestion du risque ou d'un document semblable, mais, pour mettre en valeur l'importance de faire de la gestion du risque une partie intégrante des structures et des processus, il serait plus opportun de l'intégrer aux politiques organisationnelles existantes sur les objectifs et les engagements de l'organisation. En énonçant et en articulant son orientation en matière de gestion intégrée du risque, l'organisation se dote du cadre de premier ordre nécessaire aux activités de conception subséquentes.

Au moment d'énoncer et d'articuler son orientation générale en matière de gestion intégrée du risque, une organisation devrait prendre en considération les éléments suivants:

  • la raison d'être de la gestion du risque, tant dans le contexte interne que dans le contexte externe;
  • les liens entre le mandat et les objectifs de l'organisation et les objectifs en matière de gestion du risque;
  • les obligations redditionnelles et les responsabilités nécessaires à la gestion du risque;
  • la manière de gérer les intérêts contradictoires;
  • l'engagement à assurer les ressources adéquates pour les activités de gestion du risque;
  • l'intégration de la gestion du risque à l'organisation;
  • les mécanismes de recours hiérarchiques et de production de rapports relativement aux risques;
  • le mode d'évaluation du rendement de la gestion du risque et les moyens de produire des rapports à ce sujet;
  • l'engagement à examiner et à mettre à jour au besoin l'approche de gestion du risque, que ce soit en réaction à un événement ou selon un cycle.

La cohérence de la vision et des objectifs en matière de gestion du risque et des objectifs organisationnels et de l'orientation stratégique donne un sens à la gestion du risque pour l'ensemble des employés.

4.4 Responsabilisation

Comme on l'a énoncé à la section 2.4, les administrateurs généraux sont les responsables finaux de la mise en œuvre de la gestion du risque au sein de leur organisation. Cependant, d'autres obligations de rendre des comptes découlant de la structure de gouvernance peuvent permettre d'assurer que les principaux risques ont été adéquatement gérés (relevés, évalués, résolus, communiqués, suivis, atténués et analysés), y compris les mécanismes d'assurance de la qualité. Pour concevoir une approche et des processus de gestion du risque, les rôles, les responsabilités et les réseaux doivent être déterminés aux niveaux opportuns de l'organisation en fonction de sa taille et de sa complexité. Pour déterminer et consigner les obligations redditionnelles adéquates, les organisations devraient tenir compte des aspects suivants:

  • désigner adéquatement les responsables des risques à qui incombe la responsabilité et l'autorité de gérer les risques;
  • faire en sorte que les structures de gouvernance de l'organisation permettent les niveaux de responsabilisation et d'autorité nécessaires pour les responsables des risques;
  • désigner l'entité appropriée pour l'élaboration, la mise en œuvre et le maintien de l'approche de gestion du risque et les processus correspondants;
  • faire savoir à l'ensemble du personnel que chacun a un rôle à jouer dans l'identification et la gestion des risques;
  • mettre en place les mécanismes de mesure du rendement ainsi que les processus de rapports et de recours hiérarchiques internes et externes;
  • mettre en place les niveaux opportuns de reconnaissance, de récompenses, d'approbation et de sanction

4.5 Ressources

Il faut affecter les ressources adéquates (personnes, outils, etc.) à la conception, à la mise en œuvre et au maintien de l'approche et du processus de gestion du risque de même qu'à la réalisation continue des activités de gestion du risque. Il est possible que des investissements initiaux soient nécessaires pour les étapes de la conception et de la mise en œuvre. Les ministères déjà très avancés dans la mise en œuvre de la gestion du risque ont confirmé qu'il faut affecter des ressources à cette fin. Il est possible que des coûts de démarrage (temps, attention, formation, systèmes et communications) soient engagés jusqu'à ce que la pratique devienne une partie intégrante des structures et des processus organisationnels. Il faudra probablement du temps et des efforts pour donner une impulsion à l'initiative, pour former les gestionnaires et les spécialistes et pour mettre en place les bons outils et les bons processus. Les investissements initiaux pourront être réaffectés selon les besoins une fois la mise en œuvre complétée.

L'ampleur des activités de gestion intégrée du risque et la somme des ressources nécessaires ne font l'objet d'aucune norme. Les ministères et organismes doivent définir leurs propres besoins en fonction de leur situation et procéder aux ajustements qui s'imposent. Pour évaluer les ressources nécessaires pour mettre en place et maintenir une approche et un processus de gestion du risque, il est important de déterminer la nature, la pertinence et l'utilité des outils, des techniques, des compétences et du savoir-faire en matière de gestion du risque afin de définir les besoins supplémentaires. Les considérations liées aux ressources pourraient comprendre, sans s'y limiter:

  • les personnes, les compétences, l'expérience et le savoir-faire nécessaires pour concevoir et mettre en œuvre une approche et un processus de gestion du risque à l'échelle de l'organisation, notamment pour déterminer la meilleure approche, collaborer avec le personnel pour intégrer la gestion du risque aux structures et aux processus, pour former le personnel, pour mettre en place les outils, etc.;
  • les personnes, les compétences, l'expérience et le savoir-faire nécessaires pour réaliser continuellement des activités de gestion du risque;
  • les personnes, les compétences, l'expérience et le savoir-faire nécessaires pour maintenir l'approche et le processus ainsi que les procédures correspondantes;
  • les processus, les méthodes et les outils organisationnels existants (y compris les systèmes et les technologies) pouvant servir à la gestion du risque;
  • les besoins supplémentaires pour les processus, les méthodes et les outils nécessaires à la gestion du risque;
  • les programmes de formation nécessaires à l'intention du personnel de l'organisation pour assurer une compréhension et une approche communes de la gestion du risque (langage et terminologie communs);
  • toute contrainte ayant trait aux ressources susceptibles d'exiger des compromis au cours de l'élaboration et de l'exécution des processus de gestion du risque.

Au fil de la gestion continue des risques, il faut accorder une attention particulière à l'affectation des ressources aux activités de réaction aux risques. Si l'identification et l'analyse des risques sont relativement faciles à intégrer aux activités quotidiennes de prise de décision, il pourrait falloir affecter des ressources aux mesures de réaction aux risques relevés. Les ressources ainsi affectées doivent correspondre à la gravité du risque et tenir compte des compromis associés aux contraintes existantes. Il faut noter que l'affectation des ressources doit être adaptée au niveau de risque à gérer et aux ressources destinées aux risques principaux, pas nécessairement aux risques individuels.

Voir aussi la section 5.2 (Fournir l'environnement et l'infrastructure) sur la détermination des ressources nécessaires.

4.6 Définir le processus de gestion du risque

Il faut un processus de gestion du risque pour mettre en application la gestion intégrée du risque de manière cohérence à l'échelle de l'organisation. Grâce à l'élaboration d'un ensemble de mécanismes coordonnés et intégrés permettant de relever les risques, de les évaluer, d'y réagir, de les communiquer et de les surveiller prenant la forme d'un « processus de gestion du risque » éclairé par une approche de gestion du risque, les organismes fédéraux peuvent mieux comprendre la nature des risques affectant leur mandat et gérer ces risques de manière plus systématique.

Une fois défini, le processus de gestion du risque pourra servir à réaliser des évaluations concrètes des risques (par exemple par la préparation d'un profit de risque organisationnel) et s'intégrer aux structures et processus en place (selon la démarche décrite à la section suivante) afin de favoriser une prise de décisions éclairée par l'analyse des risques.

Le processus de gestion du risque permet de repérer les événements ou les conditions posant des risques puis de les gérer à tous les échelons de l'organisation en fonction des seuils de tolérance établis ou renouvelés (voir la section 4.2 au sujet de la tolérance au risque) et d'acquérir de l'assurance quant à l'atteinte des objectifs et des résultats attendus.

Comme c'est le cas pour l'approche de gestion du risque, le processus de gestion du risque devrait refléter la culture et les procédés organisationnels ainsi que les intérêts de l'ensemble des intervenants d'un ministère ou d'un organisme. Le fait de tenir compte de ces facteurs dans la conception de l'approche globale facilitera l'élaboration et la mise en œuvre du processus de gestion. Cette façon de faire permet de donner le ton aux niveaux supérieurs et d'accroître la mobilisation et le consensus aux niveaux stratégiques et opérationnels.

Le processus de gestion du risque est fondé sur une terminologie commune et permet aux organisations d'adapter leurs activités au niveau des unités fonctionnelles. Le processus doit être suffisamment adaptable pour être mis en œuvre à différents échelons d'un ministère ou d'un organisme et aux programmes, aux sous-activités et aux projets. Le processus devrait aussi permettre d'intégrer la notion « d'occasions », lorsque possible. Bien que le processus permette une certaine adaptation pour des utilisations différentes, un cadre uniforme de gestion du risque à l'échelle d'une organisation permet de regrouper l'information pour traiter des questions liées au risque dans l'ensemble de l'organisation.

Les sections qui suivent décrivent un processus général de gestion du risque et présentent les éléments dont les organisations devraient tenir compte lorsqu'elles définissent ce processus. Les organisations devraient choisir ou développer le processus, y compris et la terminologie, le mieux adapté à son contexte.

Identifier le risque

À l'étape de l'identification, les risques sont relevés puis clairement définis. Cette démarche vise tout risque susceptible d'avoir une incidence marquée sur l'atteinte des objectifs à divers niveaux de l'organisation (organisation, programme, projet, etc.) selon les paramètres du processus d'identification des risques.

Les organisations devraient fournir à leur personnel des orientations claires quant aux attentes relatives à l'identification des risques ainsi que les outils nécessaires à cette démarche. Il existe de nombreux outils et techniques d'identification des risques (ateliers, listes de vérification, etc.) et il est souhaitable d'en offrir une panoplie afin que l'approche la mieux adaptée soit choisie dans un contexte donné. Dans certains cas, les risques peuvent être relevés au moyen d'une approche structurée dans le cadre d'un exercice formel, alors que dans d'autres cas, ils peuvent être repérés de manière continue à l'occasion de réunions régulières. Les taxonomies des risques, ou tout outil semblable (voir le Guide sur les taxonomies des risques du SCT), peuvent contribuer à faire en sorte que les intervenants dans l'identification des risques en ont pris en compte tout un éventail.

Il est opportun que les organisations fournissent des orientations sur les éléments suivants lorsqu'elles définissent les activités d'identification des risques:

  • qui devrait participer à l'identification des risques;
  • quel niveau de rigueur faut-il appliquer dans le cadre d'exercices d'identification donnés;
  • quel type d'information doit-on consigner et quel doit en être le niveau de détail;
  • de quelle manière les risques relevés doivent-ils être consignés aux fins de l'évaluation..

Évaluer le risque

Les risques sont analysés et ordonnés par priorité lors du processus d'évaluation. L'analyse des risques requiert normalement au minimum l'évaluation de la probabilité que le risque se produise et des répercussions sur les objectifs le cas échéant. La probabilité et l'incidence sont quantifiées selon les critères établis Voir la note en bas de page 2. L'évaluation des risques porte habituellement sur le risque résiduel (c'est-à-dire le niveau de risque subsistant après l'application des contrôles et des réactions déjà en place), mais elle peut aussi porter sur le risque inhérent (c'est-à-dire le niveau de risque préalable à l'application des contrôles et des réactions déjà en place).

L'analyse des risques facilite l'établissement des priorités, exercice visant normalement à ordonner les risques nécessitant une réaction de manière à cibler adéquatement les efforts et les ressources. L'établissement de l'ordre de priorité des risques devrait tenir compte de la tolérance au risque de l'organisation puisque, dans chacun des cas, le seuil de tolérance relèvera l'écart éventuel entre le niveau de risque évalué et le niveau de risque jugé acceptable, de même que l'ampleur de cet écart.

De manière générale, il existe de nombreux outils et techniques d'analyse des risques (ateliers, enquêtes) et de priorisation des risques (cartes des risques). Les organisations devraient concevoir un processus adapté à leur propre contexte opérationnel.

Pour définir les activités d'évaluation de leur processus de gestion du risque, les organisations devraient fournir des directives relativement aux points suivants:

  • qui devrait y participer à l'évaluation des risques;
  • quel niveau de rigueur faut-il appliquer dans le cadre d'exercices d'évaluation donnés;
  • quel type d'information doit-on consigner et quel doit en être le niveau de détail;
  • comment les risques évalués doivent-ils être documentés aux fins de la préparation de la réaction.

Réactions aux risques

La réaction aux risques est le processus consistant à sélectionner et à mettre en œuvre des mesures de réaction à un risque. De manière générale, on opte pour une stratégie de réaction générale (accepter le risque, surveiller le risque, transférer le risque, éviter la menace, réduire la probabilité ou l'incidence de la menace, augmenter la probabilité ou l'incidence d'une occasion, etc.). Le seuil de tolérance au risque devrait déterminer le type et l'envergure de la réaction.

S'il est déterminé que des mesures s'imposent (c'est-à-dire que le risque n'est pas accepté), un plan définissant les actions précises, les responsabilités et les échéanciers est déployé. La stratégie devrait comprendre toutes les activités complétant la réaction, dont les activités de communication et de rayonnement.

Pour déterminer les activités de réaction déployées dans le cadre du processus de gestion du risque, les organisations devraient fournir des orientations relativement aux points suivant:

  • la prise en compte du contexte élargi du risque, dont les objectifs fixés et les résultats attendus;
  • le seuil de tolérance au risque des parties intéressées internes et externes;
  • les priorités de l'organisation relativement à l'affectation des ressources.

Les limites des ressources constituent souvent un facteur important dans l'élaboration de tout processus, de gestion du risque ou autre. On convient que les contraintes liées aux ressources peuvent limiter la réaction au risque et qu'il est possible de devoir faire des compromis entre les mesures de réaction au risque et les seuils de tolérance au risque.

Communication des risques

La communication des risques fait partie intégrante du processus de prise de décisions et se rapporte à au signalement des risques et à la production de rapports sur les risques Voir la note en bas de page 3 aux échelons adéquats et au moment opportun afin de soutenir le processus de décision. La communication s'effectue tout au long du processus de gestion du risque. Il est important que les responsables de la gestion du risque et les personnes susceptibles de subir l'incidence du risque ou associées aux réactions au risque saisissent les critères à l'origine des décisions prises et les justifications motivant les mesures prises. Pour ce faire, il faut communiquer l'information sur le risque à l'intérieur de l'organisation d'une manière utile et efficace au personnel de tous les secteurs d'activités de même qu'à l'extérieur de l'organisation aux clients et aux parties intéressées susceptibles d'intervenir dans les décisions et les actions de l'organisation ou d'en subir les répercussions. Pour parvenir à une communication efficace des risques, il est important, dans la mesure du possible, de fournir à chacun toute l'information nécessaire pour contribuer de manière éclairée au processus de prise de décision.

La communication des risques permet aussi de réutiliser l'information sur le risque dans d'autres processus afin d'éviter d'avoir à réaliser de multiples évaluations des risques dans un même domaine pour diverses activités (pour la planification, la vérification, l'affectation des ressources, etc.).

Comme c'est le cas pour l'identification et l'évaluation du risque, il existe divers outils et techniques pour communiquer l'information sur le risque, c'est pourquoi il serait opportun d'établir un mode unique de communication du risque au sein d'une organisation. Par exemple, les répertoires, les tableaux de bord et les profils de l'organisation, des secteurs ou des divisions peuvent donner la possibilité de communiquer efficacement les risques importants à l'échelle de l'organisation d'une manière régulière, permettant ainsi d'établir des liens entre les risques touchant les secteurs, les programmes, les projets, les processus, les régions et les intervenants.

Afin d'encadrer la définition des activités de communication du risque, les organisations devraient fournir des orientations relativement aux points suivant:

  • le type d'information à communiquer aux différentes étapes du processus (le type d'information et dont les parties intéressées ou concernées ont besoin ou qu'elles veulent obtenir);
  • le destinataire des différents types d'information (personnel interne, direction, intervenants externes dont le grand public et le Parlement, etc.);
  • les moyens utilisés pour communiquer l'information à son destinataire.

Il est à noter qu'au sein du secteur public fédéral, il est prévu que des activités de communication, y compris celles touchant la gestion du risque, sont réalisées en conformité avec la Politique sur les communications et l'image de marque.

Suivi des risques

Le suivi continu des risques est un aspect essentiel du maintien de la pertinence de l'information sur les risques. Le processus nécessite l'examen régulier de l'information en vue de vérifier si est prise en compte l'incidence des circonstances en constante évolution sur les réactions aux risques en place. Le suivi comprend aussi l'examen des mesures de réaction au risque afin de veiller à ce qu'elles soient mises en œuvre efficacement et qu'elles produisent les résultats escomptés.

La surveillance des risques permet aussi de relever d'éventuelles possibilités d'amélioration du processus de gestion du risque (voir la section 7).

Pour contribuer à définir les activités de surveillance du risque dans le cadre du processus de gestion du risque, les organisations devraient fournir des orientations relativement aux points suivants:

  • qui devrait intervenir dans le suivi des risques;
  • comment devraient être pris en compte les changements à la nature et au niveau des risques entraînés par l'évolution des circonstances et comment la pertinence continue des réactions aux risques devrait être contrôlée;
  • de quelle manière les progrès de la mise en œuvre des mesures de réaction aux risques devraient-ils être contrôlés;
  • comment contrôler l'efficacité des mesures de réaction aux risques en ce qui a trait à la progression vers des niveaux de risque tolérables;
  • quels sont les indicateurs de suivi et comment peuvent-ils être intégrés à d'autres indicateurs de rendement;
  • à quelle fréquence l'information sur les risques devrait être revue;
  • qui est responsable d'apporter des changements ou de prendre des mesures correctrices au besoin.

4.7 Établir des mécanismes de communication et de production de rapports

La communication du risque, telle que décrite à la section 4.6, est un aspect des communications, des consultations et de la production de rapports impliquant les intervenants externes et internes. D'autres mécanismes de communication, de consultation et de production de rapports sont nécessaires pour parvenir à mettre en œuvre et à exécuter la gestion intégrée des risques d'une manière globale. La mise en place des mécanismes nécessaires permet de conserver en permanence des moyens de maintenir informées les parties intéressées des processus, des pratiques et des mesures de réaction du processus de gestion du risque. De plus, cette démarche soutient l'élan nécessaire pour maintenir l'intérêt à l'égard du risque. Pour ce faire, il faut recueillir de l'information pertinente et la mettre en commun avec les personnes concernées, prévoir les inquiétudes et les attentes de la population et y réagir adéquatement, parvenir à comprendre les risques et, finalement, engager des actions (volontaires ou non) et, la réciproque, obtenir des réactions. Dans l'intérêt de l'ouverture et de la transparence, un organisme devrait toujours être en mesure de donner un aperçu de ses principaux risques et des mesures prises pour les gérer aux parties intéressées.

Ainsi, les activités liées à la communication, à la consultation et à la production de rapports se déroulent alors que l'organisation définit son approche et ses processus de manière continue pendant toutes les étapes de sa démarche de gestion du risque lorsqu'elle exerce la gestion intégrée du risque. Le présent guide rassemble des considérations particulières se rapportant à ces activités touchant les différents aspects de la gestion intégrée du risque (p. ex., la communication de l'approche et du processus de gestion du risque aux employés est abordée sous le thème de la mise en œuvre de la gestion intégrée du risque, la communication des risques aux parties intéressées est abordée en lien avec le processus de gestion du risque, etc.). Cependant, afin de faire en sorte que les mécanismes nécessaires sont en place à l'appui de ces activités, il faut préparer des plans de communication, de consultation et de production de rapports dès les premières étapes de la démarche.

Les éléments suivants devraient être pris en considération pour définir ou concevoir l'infrastructure organisationnelle nécessaire pour assurer une communication claire des enjeux, des pratiques et des procédures liés au risque dans l'ensemble de l'organisation:

  • consultation des parties intéressées internes et externes pour concevoir l'approche et le processus de gestion du risque (section 4.2);
  • communication de l'engagement et de la vision de la haute direction en matière de gestion du risque dans l'ensemble de l'organisation (section 4.3);
  • communication des principaux éléments de l'approche de gestion du risque (section 5.1) et communication rapide des modifications (section 7);
  • communication du processus de gestion du risque (section 4.6) et communication rapide des modifications (section 7);
  • consultation des parties intéressées internes et externes pendant le processus de gestion du risque (pour identifier les risques, évaluer les risques, définir les stratégies de réaction, etc.) (section 4.6);
  • production de rapports sur le risque et communication de l'information (risques relevés, stratégies de réaction) découlant de l'exécution des processus de gestion du risque aux échelons adéquats et au moment opportun afin de soutenir le processus de décision (section 4.6);
  • production de rapports sur l'efficacité et les résultats de l'approche de gestion du risque (section 7);
  • communication des bonnes pratiques et des leçons tirées et mise au point concertée de ressources sur le risque pour l'amélioration continue des processus (section 7);
  • utilisation des instruments ministériels (p. ex., RPP et RMR) pour produire des rapports sur les risques;
  • établissement de liens, autant que possible, avec le Code de valeurs et d'éthique de la fonction publique, la Politique sur les communications et l'image de marque, la politique sur les langues officielles ainsi que les autres principes fondamentaux.

Les organisations devraient d'élaborer une stratégie ou un plan de communication pour compléter leur approche et leur processus de gestion du risque. Pour mettre sur pied leurs mécanismes de communication et de rapports sur les risques, les ministères et organismes devraient avoir recours à des spécialistes internes en matière de communication ainsi qu'à des spécialistes de leur portefeuille et d'autres centres d'expertise afin de faire en sorte que le message communiqué est cohérent et facilement compréhensible. Les pratiques de communication devraient miser sur la clarté du message afin de permettre une compréhension générale de l'information transmise.

Date de modification :