5 Mettre en place – Mettre en œuvre la gestion intégrée du risque

5.1 Mettre en œuvre l'approche et le processus de gestion du risque

Une fois l'approche et le processus de gestion du risque conçus, il faut les mettre en œuvre

Mise en œuvre de l'approche de gestion du risque

La mise en œuvre de l'approche de gestion du risque exige que la stratégie globale de gestion du risque (l'approche et le processus) soit appliquée dans l'ensemble de l'organisation conformément à l'approche établie. Lorsqu'une approche de gestion du risque est déployée au sein d'une organisation, il faut envisager exécuter les activités suivantes:

Intégrer le processus de gestion du risque

Afin d'adopter une démarche de prise en compte du risque pour la gestion, les activités de gestion du risque devraient être intégrées aux structures et aux processus organisationnels existants aux niveaux opérationnel et stratégique. L'intégration de la fonction de gestion du risque aux processus existants de gestion stratégique et d'exploitation assurera que la gestion du risque fait partie intégrante de la prise de décisions, de la planification des activités, de l'affectation des ressources et de la gestion des activités. De plus, elle devrait permettre aux organisations de tirer profit des capacités existantes (par exemple, communications, structures des comités, rôles et responsabilités existants).

La prise de décisions éclairée par l'analyse des risques peut s'appliquer à l'échelle de l'organisation, des programmes ou de toute activité sous-jacente. Chaque fois qu'une décision relative à l'affectation des ressources est prise, un plan énonçant les objectifs de rendement et les stratégies de gestion du risque devrait être intégré aux activités de planification. Le processus de prise de décisions éclairée par l'analyse des risques s'opère lorsque les risques sont relevés et que des réactions sont définies et ordonnées par priorité. Les priorités établies sont intégrées au plan d'activités puis mises en œuvre, contrôlées et évaluées dans le cadre du cycle de planification des activités.

L'organisation devrait déterminer les points d'ancrage de la gestion du risque à sa structure organisationnelle et à sa structure de gouvernance, à ses processus de décisions, à ses pratiques opérationnelles et à ses mécanismes de rapports, y compris pour l'exécution des principaux processus de l'administration fédérale. Une fois intégrée à l'exécution de ces processus, la gestion du risque s'insère dans les principaux cycles de planification, de production de rapports et de contrôle de l'organisation. Plus précisément, l'intégration de la gestion du risque aux processus opérationnels internes d'un ministère ou d'un organisme permettrait de soutenir les divers processus gouvernementaux.

Les mécanismes auxquels la gestion du risque pourrait s'insérer comptent entre autres:

Pendant leur examen des mécanismes auxquels la gestion du risque pourrait s'intégrer en vue de favoriser la prise de décisions éclairée par l'analyse des risques, les organisations devraient se pencher sur les éléments suivant:

Si d'une part le processus de gestion du risque défini au sein de l'organisation doit être intégré aux différents processus et structures afin d'assurer une approche commune, les activités devraient d'autre part être adaptées aux besoins particuliers du processus ou de la structure. La structure ou le processus devront faire l'objet d'un examen afin de relever les éventuelles activités de gestion du risque déjà en place et les éventuelles adaptations à apporter. Si des adaptations s'avèrent nécessaires, il suffira peut-être d'ajouter les activités de gestion du risque à la structure ou au processus ou il faudra peut-être apporter d'autres modifications à la structure ou au processus afin de les adapter aux activités de gestion du risque.

À l'aide des orientations fournies par le processus de gestion du risque établi, les organisations pourront se poser les questions suivantes pendant le processus d'intégration:

La mise en œuvre sera jugée réussie lorsque les individus prendront quotidiennement des décisions éclairées par l'analyse des risques sans qu'ils considèrent que cette démarche s'ajoute à leurs activités habituelles.

5.2 Fournir l'environnement et l'infrastructure

L'organisation pourra vouloir définir l'environnement et l'infrastructure nécessaires à l'appui d'une mise en œuvre réussie de l'approche et du processus de gestion du risque de même qu'à l'appui de leur exécution et de leur amélioration continue (telles que définies dans les deux sections qui suivent).

Afin de mettre en place l'environnement et l'infrastructure adéquats, l'organisation pourra se pencher sur sa culture et sa capacité.

Développer sa culture

Il est possible que pour certaines organisations l'intégration de la gestion du risque au processus de décision exige un changement de culture. L'état de préparation de l'organisation et sa capacité d'adaptation pourraient se répercuter sur le rythme et l'ampleur de la progression de la mise en œuvre de la gestion intégrée du risque. L'évaluation de l'état de préparation est essentielle pour faire en sorte d'harmoniser la gestion intégrée du risque aux initiatives de gestion en cours et de tirer parti des systèmes et des processus en place. Cette démarche permet aussi de mieux gérer les désagréments inhérents au changement et incitera le personnel à dépasser la simple conformité et à pleinement adhérer aux principes sous-jacents.

Les organisations procédant à la mise en œuvre d'une approche et d'un processus de gestion du risque seront amenées à analyser leur culture organisationnelle dans ce domaine et à déterminer comment cette culture pourrait devoir être changée. Pour ce faire, les organisations pourraient tenir compte des facteurs suivants:

Par ailleurs, le leadership dynamique de l'administrateur général et de la haute direction de l'organisation est un facteur déterminant d'une culture habilitante. La direction devrait encourager de manière manifeste la pratique de la gestion du risque et la communication de l'information dans tous les secteurs d'activités et toutes les unités fonctionnelles. En effet, la manière dont les hauts dirigeants agissent comme modèle en ce qui a trait aux principes de la gestion intégrée du risque donne le ton à l'établissement d'une culture durable dans l'ensemble de l'organisation. Pour appuyer sa haute direction à cet effet, les organisations pourraient envisager les moyens suivants:

Comme il en est question à la section 4.2, la tolérance au risque d'une organisation est un aspect important de sa culture. Il faut encourager la discussion à ce sujet. La démarche de promotion de la tolérance au risque dans les ministères devrait:

Renforcement de la capacité

Les organisations devront mettre au point leurs propres stratégies de renforcement de la capacité en s'inspirant de leur situation particulière et de leur exposition au risque. Tout comme la gestion du risque doit être intégrée aux processus en place, la capacité de l'organisation d'exercer la gestion intégrée du risque devrait s'insérer dans les mécanismes existants. Évaluer et renforcer la capacité existante permet d'adapter l'approche aux besoins particuliers de l'organisation.

Pour acquérir la capacité nécessaire, les organisations peuvent procéder comme suit : relever les éléments existants, déterminer les changements et les améliorations à apporter et procéder aux changements. Pour mettre en place une capacité durable au sein de l'organisation, il est opportun de se pencher sur deux facteurs clés: les ressources humaines et les outils et les processus.

Ressources humaines

Parmi les considérations dont il faut tenir compte pour renforcer la capacité en matière de ressources humaines, on compte:

De façon générale, l'organisation devrait envisager les moyens nécessaires pour faire en sorte que l'ensemble de son personnel dispose de la formation adéquate, a accès aux outils éprouvés de gestion du risque et comprend clairement le langage commun de la gestion du risque de manière à faciliter la communication.

Outils et techniques

Il existe divers outils et méthodes permettant de gérer le risque. En voici quelques exemples:

Parmi les considérations dont il faut tenir compte pour renforcer la capacité relativement aux outils et aux techniques:

Renforcer la capacité organisationnelle est un défi continu même lorsque la gestion intégrée du risque est vraiment établie comme pratique au sein de l'organisation. Les activités réalisées dans le cadre des processus de contrôle et d'examen, décrites à la section 7, peuvent permettre de continuer de relever des secteurs et des activités à surveiller ainsi que des compétences, des processus et des pratiques à développer ou à renforcer.

6S'exécuter – Mettre en pratique la gestion intégrée du risque

6.1 Gestion intégrée du risque continue

Une fois l'approche et le processus de gestion du risque définis et mis en œuvre, les organisations commenceront à pratiquer la gestion intégrée des risques à l'aide des structures et des processus auxquels le processus de gestion du risque a été intégré. Le processus organisationnel de gestion du risque pourra être appliqué à tous les niveaux et les fonctions de l'organisation par l'entremise de ces structures et de ces processus. L'exécution du processus de gestion du risque permettra de faire en sorte que les risques soient compris, gérés, communiqués et intégrés aux processus de prise de décisions et d'établissement des priorités de manière cohérente et coordonnée (relativement aux politiques, aux activités, à la gestion et à la production de rapports sur le rendement). Le niveau d'acceptation de la gestion intégrée du risque au sein d'une organisation dépendra de combien l'organisation a réussi à obtenir des résultats au moyen de l'approche et du processus de gestion du risque.

Pour exécuter de manière continue la gestion intégrée du risque dans le cadre de leurs structures et de leurs processus, les organisations gagneraient à envisager les pratiques suivantes:

En plus de la gestion continue des risques (par l'identification, l'évaluation, la réaction et le suivi) dans le cadre des processus organisationnels de prise de décisions auxquels le processus de gestion du risque a été intégré, la gestion intégrée des risques comprend d'autres activités importantes, dont la préparation d'un portrait organisationnel des risques et l'apprentissage continu de la gestion du risque.

6.2 Établir un portrait organisationnel des risques

Les principales activités de la pratique de la gestion intégrée du risque commencent généralement par la préparation d'un profil de risque organisationnel, ou d'un document équivalent, en vue d'établir un portrait global des risques au sein d'une organisation à un moment donné.

Pour dresser le profil de risque de l'organisation, il faut recueillir et regrouper de l'information tant au niveau de l'organisation que des activités, démarche qui aide les organisations à comprendre les principaux risques auxquels elles sont exposées, à l'interne et à l'externe, et à déterminer leur probabilité et leurs conséquences éventuelles. De plus, l'identification et l'analyse de la capacité actuelle de gestion du risque au sein des organisations constituent une composante essentielle de l'élaboration du portrait de l'organisation.

La préparation d'un portrait organisationnel des risques est une démarche semblable aux autres activités d'évaluation du risque réalisées dans le cadre du processus de gestion du risque défini pour identifier, évaluer et ordonner par priorité puis communiquer les risques ainsi que préparer des stratégies de réaction. Cependant, certains points particuliers à la préparation d'un portrait organisationnel des risques devraient être pris en compte:

Comme pour tous les risques continuellement relevés, une fois les grands risques documentés, il faudra intégrer l'essence de l'information relative à ces risques aux cycles de planification et de rapports de l'organisation d'une manière simple permettant une communication efficace.

Pour de l'information supplémentaire sur l'établissement d'un portrait organisationnel des risques, voir le Guide d'élaboration d'un profil de risque organisationnel.

6.3 Assurer l'apprentissage continu en matière de gestion du risque

Comme l'établit le Cadre stratégique de la gestion du risque, les administrateurs généraux jouent également un rôle important dans la mise en place d'un contexte propice à l'apprentissage qui favorise le perfectionnement des compétences et des capacités dans le domaine de la gestion du risque au sein de leur organisation.

L'apprentissage continu en matière de gestion du risque est essentiel au soutien de la culture organisationnelle de prise de décisions proactives et éclairées par l'analyse des risques. L'apprentissage continu a pour objet de mettre en place et de maintenir la culture voulue d'un effectif et d'un contexte opérationnel marqués par le souci du risque. Cette démarche consiste à accroître la conscience, la connaissance et la compétence à l'égard de la gestion du risque à l'échelle de l'individu, de l'équipe et de l'organisation. L'approche adoptée, comprenant la préparation de cours au besoin, devrait cibler des besoins organisationnels précis.

Afin de maintenir l'apprentissage continu dans le domaine de la gestion du risque, les organisations devraient s'intéresser à ce qu'elles sont en mesure de faire:

Date de modification :