Annulée [2010-08-27] - Cadre de gestion intégrée du risque

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Message de la présidente

En mars 2000, j'ai eu le plaisir de déposer le nouveau cadre de gestion du gouvernement du Canada, intitulé Des résultats pour les Canadiens et les Canadiennes. Ce cadre expose la façon dont nous entendons moderniser nos méthodes de gestion. Il a pour but de tenir compte davantage des préoccupations des citoyens et de mieux répondre aux besoins et aux priorités en constante évolution des Canadiens et des Canadiennes. Le Cadre de gestion intégrée du risque constitue un élément essentiel de cette initiative de modernisation.

De nos jours, les questions d'intérêt public se font de plus en plus complexes. Dans ce contexte, il faut à la fois stimuler la créativité et le désir d'innover des employés de la fonction publique et faire preuve de diligence dans la protection de l'intérêt public et le maintien de la confiance des Canadiens et des Canadiennes. Le Cadre de gestion intégrée du risque vise cet équilibre.

Ce cadre constitue un guide pratique dont l'objectif est de faciliter le processus décisionnel des employés de la fonction publique. à l'échelle organisationnelle, il aidera les ministères et les organismes gouvernementaux à adopter un point de vue davantage stratégique et à perfectionner leur capacité à établir des priorités communes. Sur le plan individuel, il aidera tous les employés à acquérir de nouvelles habiletés et à améliorer leurs facultés de prévision, d'évaluation et de gestion des risques.

Je vous invite donc à prendre connaissance du Cadre de gestion intégrée du risque et à mettre en œuvre les principes, les lignes directrices et les exemples propres à vos besoins particuliers. Je ne doute pas que ce cadre mènera à l'adoption d'une démarche davantage holistique en matière de gestion du risque et favorisera la création d'un milieu de travail propice au soutien des employés dans l'atteinte de moyens novateurs afin de mieux servir les Canadiens et les Canadiennes.

La présidente du Conseil du Trésor,

La version papier a été signée par la présidente du Conseil du Trésor,

Lucienne Robillard

Introduction

Le Cadre de gestion intégrée du risque donne suite à un des objectifs énoncés dans Des résultats pour les Canadiens et les Canadiennes (publié en mars 2000), qui était de renforcer les pratiques de gestion du risque au sein de la fonction publique. Pour ce faire, le Cadre soutient les quatre engagements de gestion également décrits dans Des résultats pour les Canadiens et les Canadiennes : mettre l'accent sur les citoyens, les valeurs, les résultats et les dépenses judicieuses. Ce Cadre met l'accent sur les citoyens en renforçant un processus décisionnel qui tient davantage compte de l'intérêt public et en accordant plus d'importance aux consultations et aux communications. De même, il respecte les valeurs fondamentales de la fonction publique, à savoir l'honnêteté, l'intégrité et la probité. Il contribue à améliorer les résultats en gérant le risque de manière proactive. La gestion intégrée du risque favorise le développement d'une vue d'ensemble du gouvernement fondée sur l'établissement rationnel des priorités et des principes des dépenses judicieuses.

La nécessité de rendre le gouvernement plus économe et plus efficace ainsi que les tendances visant à revitaliser la capacité des ressources humaines et à réorganiser la prestation des services exercent un effet dramatique sur la structure et la culture des organisations publiques. Le rythme accéléré du travail et la nécessité d'innover, auxquels s'ajoutent les risques que représentent des événements importants, comme les pannes d'ordinateurs ou les catastrophes naturelles, ont fait que la gestion du risque est maintenant un élément essentiel de la prise de décisions et de la responsabilisation.

Parce qu'il était impératif de renforcer la gestion du risque en tant que priorité du programme de gestion du gouvernement, le Secrétariat du Conseil du Trésor du Canada, en collaboration avec des organismes fédéraux, des universités et des sociétés privées, a dirigé la recherche et les consultations en matière de gestion du risque. Il est ressorti de ces travaux qu'il fallait avoir une définition commune de la gestion du risque et une approche plus globale et systématique à cet égard. S'inspirant des connaissances et de l'expérience des secteurs public et privé à l'échelle nationale et internationale, le Secrétariat et ses partenaires ont collaboré à l'élaboration d'un cadre de gestion intégrée du risque.

Le présent Cadre vise à faire avancer l'élaboration et la mise en œuvre de pratiques modernes de gestion ainsi qu'à soutenir l'innovation à l'échelle de la fonction publique fédérale. Il fournit une approche complète pour mieux intégrer la gestion du risque à la prise de décision stratégique.

Le Cadre fournit aux organisations un mécanisme pour élaborer une approche générale de gestion des risques stratégiques leur permettant de discuter de risques très différents, ainsi que de les comparer et de les évaluer sur une même page. Il s'applique à toute l'organisation et traite tous les genres de risques auxquels cette dernière fait face (stratégique, opérationnel, financier, en matière de ressources humaines, ainsi qu'au plan juridique, de la santé et de la sécurité, de l'environnement, de la réputation).

Le Cadre de gestion intégrée du risque vise à :

  • établir des lignes directrices pour promouvoir l'utilisation d'une approche plus globale et plus systématique en matière de gestion du risque,
  • contribuer à l'établissement d'un effectif et d'un milieu de travail soucieux du risque qui favorisent l'innovation et la prise de risques responsable, tout en veillant à ce que des mesures légitimes soient prises pour protéger l'intérêt public, conserver la confiance du public et assurer la diligence raisonnable,
  • proposer une série de pratiques de gestion du risque que les ministères peuvent adopter ou adapter en fonction de leurs circonstances particulières.

L'application d'un tel cadre vise à renforcer les pratiques de gestion, le processus décisionnel et l'établissement de priorités, dans le dessein de mieux répondre aux besoins des citoyens. De plus, la pratique de la gestion intégrée du risque devrait appuyer le changement culturel souhaité vers un milieu de travail et un effectif soucieux du risque. Plus précisément, on s'attend à ce que la mise en œuvre du Cadre :

  • appuie les responsabilités du gouvernement en matière de gouvernance en veillant à ce que les secteurs de risque élevé liés aux politiques, aux plans, aux programmes et aux opérations soient identifiés et évalués, et à ce que les mesures appropriées soient en place pour s'attaquer aux effets défavorables et tirer profit des bonnes occasions,
  • améliore les résultats par une prise de décisions mieux éclairées, en veillant à ce que les décideurs aient les valeurs, les compétences, les outils et un environnement propice pour qu'ils puissent faire preuve d'innovation et prendre des risques responsables, et en encourageant l'apprentissage par l'expérience tout en respectant les mécanismes de contrôle parlementaires,
  • renforce la responsabilisation en montrant que les niveaux de risque liés aux politiques, aux plans, aux programmes et aux opérations sont bien compris, et qu'il existe un équilibre optimal entre l'investissement dans la gestion du risque et les intérêts des intervenants,
  • renforce la gérance en accroissant la capacité de la fonction publique de protéger les gens, les biens et les intérêts du gouvernement.

La gestion intégrée du risque respecte les valeurs fondamentales de la fonction publique et s'en inspire. Elle doit donner des résultats éthiques, honnêtes et justes, respecter les lois, les pouvoirs gouvernementaux et les politiques ministérielles et se traduire par une utilisation prudente des ressources.

Le Cadre de gestion intégrée du risque donne suite aux recommandations du Rapport du Groupe de travail indépendant chargé de la modernisation de la fonction de contrôleur dans l'administration fédérale du Canada (1997), lesquelles ont été approuvées par les ministres du Conseil du Trésor. Le rapport met en évidence une nouvelle philosophie régissant la fonction de contrôleur, à laquelle s'ajoute un engagement sérieux à l'égard de quatre éléments clés : les rapports sur le rendement (financier et non financier), une saine gestion du risque, l'application d'un système adéquat de contrôle et de rapport ainsi que des valeurs et l'éthique. Lorsque les auteurs du rapport ont constaté qu'il était prioritaire de renforcer la gestion du risque à l'échelle de la fonction publique, ils ont souligné qu'il faut :

  • « [que] les cadres dirigeants et les employés -ils peuvent non seulement identifier les risques mais aussi les gérer »,
  • « allier des approches décisionnelles plus créatives et plus axées sur les clients avec une bonne gestion du risque »,
  • « créer un environnement où la prise de risques et les conséquences connexes sont traitées dans un cadre réfléchi de délégation, de récompenses et de sanctions ».

Le Cadre s'appuie sur les pratiques courantes de la gestion du risque et tient compte du courant de réflexion actuel, des pratiques exemplaires et de la valeur des principes bien reconnus de la gestion du risque. Il se rattache aux autres initiatives de gestion du risque de l'administration publique fédérale, ce qui comprend le renforcement de la vérification interne et de la surveillance. Des documents semblables sont également en cours d'élaboration dans le secteur juridique et dans le cadre de l'approche préventive. En outre, le Cadre de gestion intégrée du risque complète les concepts et l'approche décrits dans le rapport du Bureau du Conseil privé, intitulé Gestion du risque pour le Canada et les Canadiens : Rapport du Groupe de travail des SMA sur la gestion du risque (2000). Ensemble, toutes ces initiatives contribuent à renforcer la gestion du risque à l'échelle de l'administration fédérale, conformément à la modernisation de la fonction de contrôleur, et à améliorer les pratiques de gestion du risque de l'administration publique fédérale.

Défis de la direction

Le changement et l'incertitude sont des éléments constants dans notre monde d'aujourd'hui. En raison du fait que les parlementaires exigent plus de transparence dans le processus décisionnel, que les citoyens sont plus instruits et plus avertis, que nous sommes touchés par la mondialisation et les progrès technologiques, sans oublier de nombreux autres facteurs, l'adaptation au changement et à l'incertitude, tout en s'efforçant d'être efficace, est un objectif important de la fonction publique. Dans une telle situation, les organisations doivent insister sur l'intégration des pratiques de gestion du risque pour pouvoir traiter l'incertitude de manière stratégique, tirer profit des occasions, informer et améliorer la participation des intervenants (y compris les parlementaires) pour veiller à ce que de meilleures décisions soient prises à l'avenir.

Pour la fonction publique du Canada, le défi est d'utiliser une approche plus systématique et intégrée en matière de gestion du risque, ce qui comprend accorder plus d'importance à la consultation des intervenants et à la communication des risques. En relevant ce défi, la fonction publique s'acquitte de ses responsabilités en faisant la preuve qu'elle prend des décisions judicieuses, tout en tenant compte des attentes croissantes de diligence raisonnable, de l'examen minutieux du public et des médias ainsi que des initiatives visant la transparence et l'ouverture du gouvernement. On perçoit maintenant la gestion du risque comme une question pertinente à toute l'organisation qui, en qualité d'initiative coordonnée parmi plusieurs, améliorera le processus décisionnel, permettant du coup le passage à une gestion axée sur les résultats. La gestion intégrée du risque demande une vue d'ensemble d'une organisation afin de mieux gérer les risques. Les organisations qui pratiquent une gestion du risque globale ont une probabilité plus élevée d'atteindre leurs objectifs et d'obtenir les résultats escomptés. La gestion efficace du risque réduit les pertes et les résultats négatifs, et permet de déterminer les occasions d'améliorer les services offerts aux intervenants et au grand public.

L'organisation qui recourt à une approche systématique et intégrée, quoique flexible, en matière de gestion du risque doit développer sa capacité d'examiner ses risques de manière explicite afin d'accroître sa confiance et celle des intervenants en sa capacité d'atteindre ses buts. Grâce à cette approche, l'organisation utilise mieux son temps et ses ressources, améliore le travail en équipe et renforce sa crédibilité auprès de ses partenaires en partageant avec eux analyses et mesures d'intervention. En faisant ressortir la nécessité de mener des consultations plus actives et plus fréquentes et de communiquer les risques, l'approche intégrée à la gestion du risque mène à un partage de la responsabilité de gérer les risques. Elle augmente également la confiance dans les processus organisationnels et améliore la compréhension chez le public et les intervenants des compromis négociés.

Établir un effectif et un environnement soucieux du risque

L'application du Cadre de gestion intégrée du risque, conjointement à des activités connexes de gestion du risque, favorise un changement de culture qui mènera à un effectif et un environnement soucieux du risque dans la fonction publique. Un tel environnement est compatible avec la gestion responsable du risque et intègre la gestion du risque aux structures courantes de gouvernance et organisationnelles, ainsi qu'aux processus de planification et opérationnels. Un des éléments essentiels d'un environnement soucieux du risque est de veiller à doter le milieu de travail de la capacité et des outils qui lui permettront de faire preuve d'innovation, tout en reconnaissant et en respectant la nécessité de procéder avec prudence pour protéger l'intérêt public et conserver la confiance du public.

Les ministères dont le mandat porte directement sur la santé et la sécurité publiques ont de tout temps été très proactifs pour ce qui est de gérer le risque de manière systématique. Ils connaissent très bien le faible degré de tolérance du public dans les domaines de la santé et de la sécurité et ont instauré, par conséquent, une culture efficace de gestion du risque. Les tendances émergentes dans le secteur public, et les défis découlant de la nécessité de s'adapter au changement et à l'incertitude, stimulent l'intérêt pour la gestion du risque dans d'autres secteurs de la politique publique. Cette sensibilisation accrue à la gestion du risque et la nécessité de mieux comprendre et de gérer différents types de risques dans des domaines autres que la santé et la sécurité exigent un changement de culture organisationnelle. Ce changement a pour objet de s'assurer que les fonctionnaires de tous les niveaux soient plus conscients des risques et y portent plus attention, que les mesures d'atténuation soient proportionnelles aux problèmes à régler et que les outils et processus nécessaires soient instaurés pour les appuyer.

La réalisation de ce changement culturel exigera l'engagement soutenu de toute la fonction publique durant quelques années alors que les pratiques continueront d'évoluer.

Concepts clés

Le Cadre de gestion intégrée du risque repose sur trois concepts clés, à savoir le risque, la gestion du risque et la gestion intégrée du risque, qui sont décrits ci-après.

Risque

Le risque est inévitable et il est présent dans presque toutes les situations de la vie. Il marque nos activités quotidiennes et celles des organisations des secteurs public et privé. On reconnaît différentes définitions du risque [1], en fonction du contexte donné.

L'incertitude quant aux résultats est un élément commun à toutes les définitions. Par contre, ces définitions se démarquent par la manière dont elles caractérisent les résultats. Certaines précisent que le risque a des conséquences toujours défavorables, tandis que d'autres sont plus neutres.

Bien que le présent Cadre reconnaisse la présence d'une connotation négative dans la description du risque (c.-à-d. le risque a un caractère défavorable), il est évident que les définitions évoluent. En effet, les débats et les discussions foisonnent concernant une définition générique acceptable du risque, qui reconnaîtrait le fait que, lorsqu'il est bien évalué et géré, le risque peut être source d'innovation et d'opportunité. C'est ce qui semble davantage se produire en matière de risques opérationnels et de risques technologiques. Par exemple, l'initiative Gouvernement en direct constitue l'occasion rêvée d'accroître l'efficacité de l'accès du public aux services gouvernementaux. On a reconnu d'emblée que les avantages de la mise en place de Gouvernement en direct seraient plus grands, à long terme, que les éventuels effets négatifs, que l'on estime être en mesure de gérer.

à ce jour, aucune définition n'a fait l'unanimité mais, après de nombreuses recherches et discussions, on en est arrivé à la description suivante du risque a été déterminée pour la fonction publique fédérale dans le contexte du Cadre de gestion intégrée du risque :

Le risque se rapporte à l'incertitude qui entoure des événements et des résultats futurs. Il est l'expression de la probabilité et de l'incidence d'un événement susceptible d'influencer l'atteinte des objectifs de l'organisation.

Les termes « l'expression de la probabilité et de l'incidence d'un événement » laissent entendre qu'il faut faire, à tout le moins, une analyse quantitative ou qualitative avant de prendre des décisions concernant d'importants risques ou menaces à l'atteinte des objectifs de l'organisation. Pour chaque risque considéré, il faut évaluer deux choses : sa probabilité et l'ampleur de son incidence ou de ses conséquences.

Enfin, on reconnaît que certaines organisations appliquent la gestion du risque à des questions pour lesquelles il est prévu des conséquences défavorables ou non voulues. Pour ces organisations, la définition du risque qui est donnée dans le rapport [2] du Bureau du Conseil privé selon laquelle le risque est « une fonction de la probabilité (hasard, possibilité) qu'un événement défavorable ou non voulu se produise, et la gravité ou l'ampleur des conséquences de cet événement », est beaucoup plus pertinente dans un tel contexte de prise de décisions. Bien que cette définition renvoie à l'incidence défavorable de la question, le rapport admet que la prise de risque responsable peut également se solder par des occasions positives et que l'innovation et le risque coexistent souvent.

Gestion du risque

La gestion du risque n'est pas une activité nouvelle pour le secteur public fédéral; elle fait partie intégrante des saines pratiques de gestion et de prise de décisions à tous les échelons. Qu'ils en soient conscients ou non, tous les ministères gèrent le risque de façon continue, parfois d'une manière très rigoureuse et systématique, parfois avec moins de rigueur. Les ministères ayant pour mandat principal la protection de l'environnement ou de la santé et de la sécurité publiques sont les plus enclins à gérer rigoureusement le risque.

Comme c'est le cas pour la définition du risque, de nombreuses définitions de la gestion du risque sont acceptées. Dans certaines, la gestion du risque correspond au processus décisionnel, à l'exclusion de l'identification et de l'évaluation du risque, tandis que dans d'autres, elle comprend l'ensemble du processus, notamment l'identification et l'évaluation du risque et la prise de décisions à cet égard. à titre d'exemple, dans le rapport du Bureau du Conseil privé, la gestion du risque « renvoie à l'attitude adoptée [au processus adopté] en cas d'incertitude dans le cadre de la politique gouvernementale » [3].

Aux fins du Cadre de gestion intégrée du risque, la gestion du risque est :

Une approche systématique servant à déterminer la meilleure voie à prendre en cas d'incertitude en identifiant, en évaluant, en comprenant, en communiquant les questions liées aux risques et en prenant des mesures à leur égard.

L'efficacité de la gestion du risque tient essentiellement à la création d'une culture de gestion du risque qui appuie la vision, la mission et les objectifs de l'organisation. Des limites et des bornes pour les pratiques et les résultats acceptables touchant le risque sont établies et communiquées.

Comme la gestion du risque traite de l'incertitude entourant des événements et des résultats futurs, on peut présumer que tous les exercices de planification comportent une forme quelconque de gestion du risque. Il ne fait aucun doute que la gestion du risque est l'affaire de tous, parce que des gens de tous les échelons peuvent aider à mieux saisir la nature, la probabilité et les conséquences du risque.

La gestion du risque appliquée au niveau de l'activité individuelle et fonctionnelle renforce la prise de décisions qui permettent à l'organisation d'atteindre ses résultats. Elle aide à prendre des décisions comme celles établissant un rapprochement entre les preuves scientifiques et d'autres facteurs, entre les coûts et les avantages et attentes pour l'affectation de ressources publiques restreintes ainsi qu'entre la structure de gouvernance et celle de contrôle qui appuieront la diligence raisonnable, la prise de risques responsable, l'innovation et la responsabilisation.

Gestion intégrée du risque

Une approche davantage intégrée en matière de gestion du risque devient obligatoire dans l'environnement de travail actuel. Il ne suffit plus de gérer le risque au niveau de l'activité particulière ni dans les silos fonctionnels. à travers le monde, les organisations tirent parti d'une approche beaucoup plus complète pour traiter de l'ensemble des risques.

Gestion intégrée du risque

« Quel que soit le qualificatif qu'elles utilisent -approche commerciale...holistique...-des grandes entreprises aux quatre coins du monde commencent à abandonner la « mentalité de cloisonnement » et adoptent une approche globale pour faire face aux risques. » [traduction].
 
–Towers Perrin

Les organisations d'aujourd'hui font face à de nombreux types de risques (en ce qui concerne les politiques, les programmes, les opérations, les projets, les ressources financières, les ressources humaines, la technologie, la santé, la sécurité). Les risques peuvent survenir sur de nombreux fronts, être de haut niveau et avoir des conséquences graves; une réponse coordonnée et systématique de l'organisation doit alors être élaborée.

Aux fins du Cadre de gestion intégrée du risque :

La gestion intégrée du risque est un processus systématique, proactif et continu pour comprendre, gérer et communiquer le risque du point de vue de l'ensemble de l'organisation. Il s'agit de prendre des décisions stratégiques qui contribuent à la réalisation des objectifs globaux de l'organisation.

La gestion intégrée du risque exige une évaluation continue des risques auxquels une organisation peut faire face à tous les niveaux ainsi que le regroupement des résultats à l'échelle de l'organisation afin de faciliter l'établissement des priorités et d'améliorer la prise de décisions. La gestion intégrée du risque doit faire partie intégrante de la stratégie globale de l'organisation et en modeler la culture de gestion du risque. L'identification, l'évaluation et la gestion du risque à l'échelle de l'organisation permettent de saisir l'importance d'une vision globale, soit l'ensemble des risques et l'interdépendance des composantes.

La gestion intégrée du risque ne cherche pas seulement à minimiser ou à atténuer les risques. Elle appuie aussi les activités qui favorisent l'innovation, de sorte que de meilleurs rendements peuvent être obtenus moyennant des résultats, des coûts et des risques acceptables. Elle vise à trouver un équilibre optimal à l'échelle de l'organisation.

Le gouvernement du Canada s'est déjà servi d'une approche intégrée pour gérer les risques inhérents au passage à l'an 2000 et il le fait actuellement pour d'autres initiatives d'envergure, comme Gouvernement en direct, et pour l'intégrité des programmes.

Un Cadre de gestion intégrée du risque

Le Cadre de gestion intégrée du risque établit des lignes directrices concernant l'utilisation d'une approche plus globale en matière de gestion du risque. Il devrait permettre aux employés et aux organisations de mieux comprendre la nature du risque et d'en faire une gestion plus systématique.

Les quatre éléments et leurs résultats escomptés

Le Cadre de gestion intégrée du risque comporte quatre éléments connexes. Ces éléments et un tableau synoptique des résultats escomptés sont présentés ci-après. D'autres précisions sur les volets conceptuels et fonctionnels du Cadre sont fournies dans les sections suivantes du présent document.

élément 1 : élaborer le profil de risque de l'organisation

  • L'évaluation du contexte dans lequel l'organisation opère permet d'identifier les risques.
  • La situation actuelle de l'organisation en matière de gestion du risque est évaluée.
  • Le profil de risque de l'organisation est déterminé.

élément 2 : Créer une fonction de gestion intégrée du risque

  • L'orientation de la direction en matière de gestion du risque est communiquée, comprise et appliquée.
  • La gestion intégrée du risque est mise en œuvre par l'entremise des structures existantes de prise de décisions et de présentation de rapports.
  • La capacité de l'effectif est renforcée grâce à l'élaboration de plans ou d'outils d'apprentissage.

élément 3 : Pratiquer une gestion intégrée du risque

  • Un processus commun de gestion du risque est appliqué uniformément à tous les échelons.
  • Les résultats des pratiques de gestion du risque, exécutées à tous les échelons, sont intégrés aux processus de prise de décisions éclairées et d'établissement des priorités.
  • Les outils et les méthodes liés à la gestion intégrée du risque sont appliqués.
  • Les intervenants sont consultés et les communications sont constantes.

élément 4: Assurer l'apprentissage continu en matière de gestion du risque

  • Un milieu de travail habilitant est créé, dans lequel on valorise les leçons tirées de l'expérience et leur partage.
  • Les plans d'apprentissage sont intégrés aux pratiques de gestion du risque de l'organisation.
  • Les résultats de la gestion du risque sont évalués afin d'encourager l'innovation, l'apprentissage et l'amélioration continue.
  • Les expériences et les pratiques exemplaires sont partagées tant au sein des organismes fédéraux qu'à l'échelle de l'administration publique.

Les quatre éléments du Cadre de gestion intégrée du risque sont présentés de la façon dont ils pourraient s'appliquer, c.-à-d. en examinant la situation tant à l'extérieur que dans l'ensemble de l'organisation ainsi que pour chaque activité. Cette approche exhaustive tente de créer un lien entre l'organisation et son milieu de fonctionnement, ce qui fait ressortir l'interdépendance des activités particulières et les liens horizontaux.

Même s'il faut admettre que certains ministères ont fait plus de progrès que d'autres en vue d'instaurer une approche de gestion intégrée du risque, on se rend de plus en plus compte au sein de la fonction publique de la nécessité de renforcer les pratiques de gestion du risque et d'adopter une perspective globale plus stratégique. Le succès de la mise en œuvre de la gestion intégrée du risque repose dans une large mesure sur l'état de préparation de l'organisation, ses priorités globales et l'ampleur des efforts à déployer pour instaurer les divers éléments. La création d'un milieu plus évolué de gestion du risque exigera donc des engagements permanents et celui-ci se transformera avec le temps. Le Cadre constitue une étape de l'établissement de la gestion intégrée du risque dans le secteur public. On admet que, pour en appuyer et en faciliter la mise en œuvre, il faudra mettre au point des outils précis, élaborer des lignes directrices particulières ainsi que partager les pratiques exemplaires ainsi que les leçons apprises.

Élément 1 : élaborer le profil de risque de l'organisation

Il importe, pour élaborer le profil de risque de l'organisation, de bien comprendre au départ l'environnement opérationnel. L'établissement du profil de risque de l'organisation a pour objet d'examiner tant les menaces que les bonnes occasions à venir et ce, dans le contexte du mandat, des objectifs et des ressources de cette organisation.

Pour tracer le profil de risque de l'organisation, il faut recueillir de l'information tant au niveau de l'organisation que des activités, ce qui aide les ministères à comprendre les différents risques auxquels ils font face, à l'interne et à l'externe, et à déterminer leur probabilité et leurs conséquences éventuelles. De plus, l'identification et l'analyse de la capacité actuelle de gestion du risque au sein des ministères constituent une composante essentielle de l'élaboration du profil de risque de l'organisation.

Une organisation peut s'attendre à trois résultats principaux par suite de l'élaboration de son profil de risque, dont voici un bref résumé.

  • Les menaces et les bonnes occasions à venir sont identifiées grâce à une évaluation et une analyse continues du contexte organisationnel interne et externe et aux rajustements qui s'imposent;
  • La situation actuelle en matière de gestion du risque dans l'organisation est évaluée – défis et bonnes occasions, capacités, pratiques, -et prise en compte dans la planification de la gestion panorganisationnelle des stratégies relatives au risque.
  • Le profil de risque de l'organisation est -les principaux secteurs de risque, la tolérance à l'égard du risque, la capacité et l'aptitude à les atténuer, les besoins en apprentissage.

Environnement externe et interne

L'évaluation de l'environnement dans lequel l'organisation fonctionne permet de déceler les principaux facteurs et risques externes et internes qui influent sur les politiques et programmes d'une organisation. L'analyse des tendances principales et de ses variations au fil des ans permet une détection rapide des risques.

Au nombre des facteurs externes à examiner lorsque sont décelés les risques éventuels, mentionnons :

  • Les facteurs politiques : l'influence des gouvernements internationaux et des autres instances dirigeantes.
  • Les facteurs économiques : les marchés nationaux et internationaux, la mondialisation.
  • Les facteurs sociaux : les principales tendances démographiques et sociales, le degré de participation des citoyens.
  • Les facteurs technologiques : les nouvelles technologies.

à l'interne, les facteurs suivants sont jugés pertinents pour l'élaboration du profil de risque de l'organisation : le cadre général de gestion, les structures de gouvernance et de responsabilisation, les valeurs et l'éthique, le milieu de travail opérationnel, la culture relative à la gestion du risque et la tolérance des individus et de l'organisation à l'égard du risque, l'expertise en gestion du risque et les pratiques courantes à cet égard, la capacité des ressources humaines, le niveau de transparence requis ainsi que les politiques, les procédures et les processus locaux et organisationnels.

L'évaluation du contexte dans lequel l'organisation opère rend l'organisation plus consciente des principaux attributs et caractéristiques des risques auxquels elle est confrontée, à savoir notamment :

  • Le type de risque : technologique, financier, lié aux ressources humaines (capacité, propriété intellectuelle), santé, sécurité.
  • La source du risque : externe (politique, économique, catastrophes naturelles), interne (réputation, sécurité, gestion du savoir, information aux fins de la prise de décisions).
  • L'objet du risque : zone d'impact ou type d'exposition (personnes, réputation, résultats des programmes, matériel, biens immobiliers).
  • Le degré de contrôle du risque : élevé (opérationnel), moyen (réputation) ou faible (catastrophes naturelles).

Le profil de risque d'une organisation indique les principaux secteurs de risque visant l'ensemble de l'organisation (fonctions, programmes, systèmes) ainsi que des événements, des activités ou des projets particuliers susceptibles d'influer sensiblement sur les priorités globales de la direction, le rendement et l'atteinte des objectifs de l'organisation.

L'évaluation de l'environnement d'exploitation aide les ministères à se donner une orientation stratégique pour gérer le risque et rajuster comme il se doit les décisions et les mesures. Ce processus continu renforce les pratiques de gestion courantes et appuie la quête de l'excellence en gestion.

Évaluer la capacité actuelle de gestion du risque

Pour évaluer la capacité interne de gestion du risque, on examine le mandat, les structures de gouvernance et de prise de décisions, les processus de planification, l'infrastructure ainsi que les ressources humaines et financières afin de déterminer les risques éventuels. Cette évaluation exige l'examen de la culture existante de gestion du risque ainsi que des processus et pratiques de gestion du risque pour savoir s'ils doivent être rajustés pour composer avec l'évolution du contexte en matière de risque.

De plus, les facteurs suivants sont jugés essentiels à l'évaluation de la capacité courante de gestion du risque d'une organisation : les facteurs personnels (connaissance, habiletés, expérience, tolérance à l'égard du risque et la propension au risque), les facteurs collectifs (l'incidence de la tolérance à l'égard du risque de chaque employé et la volonté de gérer le risque), les facteurs organisationnels (orientation stratégique, tolérance à l'égard du risque explicite ou implicite) de même que les facteurs externes (éléments influant sur des décisions précises liées au risque ou sur la manière dont le risque est géré en général).

Tolérance à l'égard du risque

Il est essentiel, au moment de tracer le profil de risque de l'organisation, de connaître et de comprendre la tolérance actuelle à l'égard du risque des divers intervenants. L'évaluation de l'environnement opérationnel permet de savoir quels intervenants sont touchés par les décisions et les mesures prises par l'organisation, et de vérifier s'ils sont à l'aise avec les divers degrés de risque. En comprenant bien la tolérance actuelle à l'égard du risque des citoyens, des parlementaires, des groupes d'intérêt, des fournisseurs et des autres ministères, on peut tracer un profil de risque et prendre des décisions sur les risques à gérer, comment les gérer et jusqu'à quel point. Ceci aidera aussi à identifier les défis à relever lors des consultations et communications en matière de risque.

Les besoins et les attentes des citoyens sont de la toute première importance pour la fonction publique. Par exemple, la plupart des citoyens auront vraisemblablement un faible degré de tolérance à l'égard du risque dans le cas de questions liées à la santé et à la sécurité publiques (blessures, mortalité) ou à la perte de la réputation internationale du Canada. La tolérance à l'égard d'autres types de risque (par exemple, retards de projets, prestation moins rapide de services) peut ne pas être aussi évidente et son étude exigera peut-être plus de consultation.

On constate en général que l'inconnu réduit le niveau de tolérance à l'égard du risque, c'est-à-dire lorsque les impacts sont nouveaux, ne peuvent être observés ou sont à long terme. Le niveau de tolérance croît lorsque les gens sentent qu'ils peuvent exercer plus de contrôle (par exemple, on semble mieux tolérer le risque à l'égard des déplacements en voiture que des déplacements en avion).

Le degré de tolérance à l'égard du risque peut être établi après consultation des parties touchées ou par une évaluation de la réponse ou de la réaction des intervenants à des degrés d'exposition divers au risque. La tolérance à l'égard du risque peut varier avec le temps en fonction de la disponibilité de nouveaux renseignements ou de nouveaux résultats, de l'évolution des attentes de la société et de la participation des intervenants à l'analyse des compromis. Il faut, avant d'élaborer des stratégies de gestion, que l'ensemble de l'organisation comprenne l'approche commune d'évaluation de la tolérance à l'égard du risque.

La détermination et la communication du degré de tolérance de l'organisation à l'égard du risque constituent un volet essentiel de la gestion du risque. Elles permettent d'identifier les secteurs où un degré minime de risque est acceptable ainsi que ceux pour lesquels peuvent être tolérés des degrés supérieurs, quoique raisonnables, de risque.

Élément 2 : Créer une fonction de gestion intégrée du risque

Pour créer une fonction de gestion intégrée du risque, il faut établir l'« infrastructure » ministérielle de gestion du risque qui vise à mieux faire comprendre et communiquer à l'interne les questions liées au risque, à fournir des directives claires et à faire la preuve du soutien de la haute direction. On trouvera dans le profil de risque de l'organisation les renseignements qui permettront d'établir des objectifs et des stratégies de gestion du risque. Pour assurer l'efficacité de la gestion du risque, il faut la rendre conforme aux objectifs de l'organisation, à sa vision, son orientation stratégique, ses pratiques opérationnelles et sa culture interne. Afin d'assurer que la gestion du risque est prise en considération dans l'établissement des priorités et la répartition des ressources, elle doit donc être intégrée aux structures existantes de gouvernance et de prise de décisions.

Une organisation soucieuse d'assurer l'intégration rationnelle, systématique et proactive de la gestion du risque doit s'efforcer d'obtenir les trois résultats suivants.

  • L'orientation de la direction en matière de gestion du risque doit être communiquée, comprise et -vision, politiques, principes opérationnels.
  • La gestion intégrée du risque est mise en œuvre par l'entremise de la structure actuelle de prise de -gouvernance, rôles et responsabilités précisés et rapports sur le rendement.
  • La capacité de l'effectif est renforcée -mise au point des plans et outils d'apprentissage qui seront utilisés par l'ensemble de l'organisation.

Orientation stratégique de la gestion du risque

L'établissement et la communication de la vision, des objectifs et des principes opérationnels de la gestion du risque de l'organisation sont des éléments essentiels à la dissémination d'une orientation stratégique et au succès de l'intégration de la fonction de gestion du risque dans l'organisation. Ils permettent également de défendre le principe selon lequel il revient à tous d'assumer leur part de responsabilités en matière de gestion du risque.

La direction doit énoncer clairement qu'elle s'engage à gérer le risque et indiquer la meilleure façon de mettre en œuvre la gestion du risque dans l'organisation. Cela inclut l'établissement de l'orientation stratégique de l'organisation et la communication des paramètres internes, des priorités et des pratiques de mise en œuvre de la gestion du risque. Afin de mieux cibler la gestion stratégique du risque, l'organisation peut décider d'affecter une petite quantité de ressources à la prestation de conseils et à la tenue d'examens critiques et d'intégrer précisément ces responsabilités à une unité existante (par exemple, la Planification et les politiques ministérielles, le Secrétariat de la fonction de contrôleur, la Vérification interne).

Les préoccupations externes et internes, les perceptions et la tolérance à l'égard du risque sont autant d'éléments qui sont pris en compte au moment d'établir l'orientation stratégique de la gestion du risque. Il est également impératif d'indiquer les degrés acceptables de tolérance à l'égard du risque afin de remédier rapidement et efficacement aux résultats non désirés. Des communications claires favoriseront la création et la promotion d'une culture organisationnelle de gestion du risque habilitante.

Les objectifs et les stratégies de gestion du risque visent à compléter la vision et les buts actuels de l'organisation. Pour établir une orientation globale en matière de gestion du risque, il faut d'abord formuler une vision précise de la gestion du risque s'appuyant sur des politiques et des principes opérationnels. Cette vision servirait de guide aux employés, car elle décrirait le processus de gestion du risque, établirait les rôles et les responsabilités, fournirait des méthodes de gestion du risque et préciserai la nécessité d'évaluer à la fois les objectifs et les résultats des pratiques de gestion du risque.

Intégrer la gestion du risque au processus décisionnel

La gestion efficace du risque ne se pratique pas en vase clos; elle doit être intégrée aux structures et aux processus décisionnels. L'intégration de la fonction de gestion du risque aux processus existants de gestion stratégique et d'exploitation assurera que la gestion du risque fait partie intégrante des activités quotidiennes. De plus, les organisations peuvent tirer profit des capacités existantes (par exemple, communications, structures des comités, rôles et responsabilités existants).

Bien que chaque organisation doive trouver la méthode qui lui convient pour intégrer la gestion du risque à ses structures actuelles de prise de décisions, les facteurs suivants peuvent être considérés :

  • Harmoniser la gestion du risque avec les objectifs fixés à tous les niveaux de l'organisation.
  • Insérer les composantes de la gestion du risque dans les processus existants de planification stratégique et opérationnels.
  • Communiquer les décisions de la direction sur les degrés acceptables de risque.
  • Améliorer les systèmes et processus de contrôle et de responsabilisation afin de tenir compte de la gestion du risque et des résultats y afférents.

L'intégration de la gestion du risque au processus décisionnel s'appuie sur une philosophie et une culture de l'organisation incitant tous les employés à gérer le risque. De nombreux moyens existent pour faciliter cette intégration, notamment :

  • Tendre vers l'excellence dans les pratiques de gestion, y compris la gestion du risque.
  • Nommer des cadres supérieurs à titre de champion de la gestion du risque.
  • Encourager l'innovation, tout en fournissant des conseils et de l'aide lorsque les résultats ne sont pas favorables.
  • Inciter les gestionnaires à parfaire leurs connaissances et leurs compétences en gestion du risque.
  • Ajouter la gestion du risque aux évaluations du rendement des employés.
  • Instaurer un programme de primes et de mesures d'encouragement.
  • Appliquer la capacité et l'expérience de gestion du risque comme critères de recrutement.

Rapports sur le rendement

Les mécanismes d'évaluation et de rapport à l'égard des activités de gestion du risque fournissent des renseignements à la direction et aux autres parties intéressées tant au sein des ministères qu'à l'échelle de l'administration publique. Ces activités assurent l'efficacité à long terme de la gestion intégrée du risque. Certaines peuvent être confiées à des groupes fonctionnels de l'organisation chargés de l'examen et de la vérification. Cette responsabilité peut aussi relever des chefs d'exploitation et des employés de sorte que l'information touchant le risque, qui est extraite des rapports ou des pratiques à l'échelle locale soit intégrée au processus d'évaluation de l'environnement opérationnel. Les rapports peuvent être transmis par les mécanismes ordinaires de gestion (rapport sur le rendement, surveillance continue, évaluation), dans le cadre des fonctions de conseil et d'examen critique associées à la gestion du risque.

La préparation de rapports facilite l'apprentissage et améliore la prise de décisions, car les rapports peuvent servir à évaluer tant les réussites que les échecs, à surveiller l'utilisation des ressources et à diffuser des renseignements sur les pratiques exemplaires et les enseignements tirés. Les organisations doivent évaluer périodiquement leurs processus de gestion intégrée du risque. De concert avec les ministères, le Secrétariat du Conseil du Trésor du Canada passera en revue l'efficacité du Cadre de gestion intégrée du risque et apportera les correctifs qui s'imposent pour veiller à ce que des progrès continuent d'être réalisés afin de créer un effectif et un milieu de travail soucieux du risque.

Renforcer la capacité organisationnelle

Renforcer la capacité organisationnelle est un défi continu même lorsque la gestion intégrée du risque est vraiment établie comme pratique de l'organisation. L'évaluation de l'environnement opérationnel continuera d'indiquer de nouveaux secteurs et activités devant être examinés, de même que les habiletés, processus et pratiques de gestion à acquérir et à renforcer.

Les organisations doivent mettre au point leurs propres stratégies relatives à la capacité en s'inspirant de leur situation particulière et de leur exposition au risque. Le Secrétariat du Conseil du Trésor du Canada appuiera la mise en œuvre du Cadre de gestion intégrée du risque par l'entremise d'un centre d'expertise qui fournira une orientation générale et des conseils et partagera les pratiques exemplaires.

Pour renforcer la capacité de gestion du risque, il faut concentrer les efforts sur deux secteurs clés, c'est-à-dire les ressources humaines et les outils et processus au niveau organisationnel et local. Le profil de risque détermine les forces et les faiblesses de l'organisation au chapitre de la capacité. Voici certains des secteurs qui pourraient devoir être examinés :

Les ressources humaines

  • Faire connaître les initiatives et la culture de gestion du risque.
  • élargir la base de compétences grâce à des séances officielles de formation et à des applications et outils adéquats.
  • Accroître les connaissances en partageant les pratiques exemplaires et les expériences.
  • Renforcer la capacité, les aptitudes et les compétences pour le travail en équipe.

Les outils et processus

  • Mettre au point et adopter des outils, des techniques, des pratiques et des processus de gestion du risque.
  • Fournir des directives sur l'application des outils et des techniques.
  • Permettre la mise au point et l'utilisation d'autres outils et techniques qui pourraient être mieux adaptés à la gestion du risque dans le cas d'applications spécialisées.
  • Adopter des processus qui assureront l'intégration de la gestion du risque à l'échelle de l'organisation.

Élément 3 : Pratiquer une gestion intégrée du risque

La gestion intégrée du risque ne saurait être mise en œuvre sans la décision et l'engagement soutenu de la direction. Elle vise à contribuer à l'atteinte des objectifs organisationnels, se fonde sur les résultats de l'évaluation du contexte organisationnel et s'appuie sur une infrastructure ministérielle appropriée.

Les résultats suivants sont attendus lorsque la gestion intégrée du rendement est mise en pratique.

  • Un processus ministériel de gestion du risque est appliqué de manière uniforme à tous les échelons. Les risques sont compris, gérés et communiqués.
  • Les résultats des pratiques de gestion du risque exécutées à tous les échelons sont intégrés à un processus de prise de décisions éclairées et d'établissement des priorités – stratégiques, d'exploitation, de gestion et de rapport sur le rendement.
  • Les outils et les méthodes de gestion du risque sont utilisés à titre d'aides à la prise de décisions.
  • Les intervenants internes et externes sont consultés et des communications constantes ont lieu avec eux.

Un processus commun

Un processus commun et continu de gestion du risque permet à l'organisation de mieux comprendre, gérer et communiquer le risque. La gestion continue du risque comporte plusieurs étapes. Il se peut que l'importance ne soit pas la même pour tous les aspects du processus. De même, le type d'actions envisagées, leur rigueur ou leur portée peuvent varier, mais les étapes de base sont semblables. Dans les pages suivantes, le schéma 1 contient un exemple de processus continu de gestion du risque qui insiste sur une approche intégrée de la gestion du risque, alors que le schéma 2 décrit un exemple de processus décisionnel de gestion du risque dans le contexte du développement de politiques publiques.

Schéma 1 : Un processus commun de gestion du risque

Schéma 1 : Un processus commun de gestion du risque

Afficher l'image pleine dimension

Les communications internes et externes ainsi que l'apprentissage continu améliorent la compréhension de la gestion du risque et les compétences voulues pour la pratique de la gestion du risque à tous les échelons d'une organisation, depuis les services ministériels jusqu'aux activités de première ligne. Le processus fait appel à une terminologie commune, guide la prise de décisions à tous les niveaux et permet aux organisations d'adapter leurs activités aux unités fonctionnelles. La documentation de la justification pour arriver à une décision renforce la responsabilisation et témoigne d'une diligence raisonnable.

Le processus de gestion du risque se décrit comme suit :

Identifier le risque

1. Identifier le risque et établir le contexte

  • Définir les risques ou les bonnes occasions à venir, la portée, le contexte (social, culturel, preuves scientifiques, etc.) et les questions connexes.
  • Décider quels outils, expertise, personnes et techniques sont nécessaires (scénarios, séances de remue-méninges, listes de contrôle).
  • Effectuer une analyse des personnes touchées (déterminer les degrés de tolérance à l'égard du risque, la position des intervenants, les attitudes).

évaluer le risque

2. évaluer les principaux secteurs à risque

  • Analyser le contexte et les résultats de l'évaluation de l'environnement opérationnel et déterminer les types ou catégories de risques à traiter, les questions importantes pour toute l'organisation et les questions locales primordiales.

3. Mesurer la probabilité et l'incidence

  • Déterminer le degré d'exposition aux risques évalués, soit la probabilité et l'incidence, et choisir les outils.
  • Examiner les preuves empiriques et scientifiques, de même que le contexte public.

4. Classer les risques par ordre de priorité

  • Classer les risques en tenant compte de la tolérance à l'égard du risque, en se servant de critères ou d'outils existants ou en en élaborant de nouveaux.

Répondre au risque

5. établir les résultats désirés

  • Déterminer les objectifs et les résultats escomptés à l'égard des risques dont l'ordre de priorité a été établi, à court et à long terme.

6. élaborer des options

  • Cerner et analyser les options (minimiser les menaces et optimiser les bonnes occasions), les approches, les outils.

7. Retenir une stratégie

  • Choisir une stratégie, en appliquant des critères de décision qui sont axés sur les résultats, fondés sur les problèmes ou les occasions.
  • Appliquer, s'il y a lieu, l'approche préventive ou le principe de précaution pour gérer les risques de conséquences sérieuses ou irréversibles dans les situations d'incertitude scientifique.

8. Mettre en œuvre la stratégie

  • élaborer et mettre en œuvre un plan.

Surveiller et évaluer

9. Surveiller, évaluer et rajuster

  • Apprendre et améliorer le processus décisionnel et le processus de gestion du risque tant au niveau des unités fonctionnelles que dans toute l'organisation, utiliser des critères de mesure de l'efficacité, présenter des rapports sur le rendement et les résultats.

Les organisations peuvent choisir les étapes de base et les outils habilitants qui leur conviennent le mieux pour arriver à une compréhension commune et à une mise en œuvre uniforme, efficiente et efficace de la gestion du risque. Une approche centrée, systématique et intégrée tient compte du fait que toutes les décisions comportent un volet de gestion du risque, qu'il s'agisse des opérations ordinaires ou des initiatives d'envergure mettant en présence des ressources considérables. Il importe d'appliquer le processus de gestion du risque à tous les niveaux, du niveau de l'organisation à celui des programmes, depuis les grands projets aux systèmes et opérations locaux. Bien que le processus permette une certaine adaptation pour des utilisations différentes, une approche uniforme au sein de l'organisation permet de regrouper l'information pour traiter des questions liées au risque au niveau de toute l'organisation.

Schéma 2 : La gestion des risques dans les politiques publiques : Le processus décisionnel

Schéma 2 : La gestion des risques dans les politiques publiques : Le processus décisionnel

Afficher l'image pleine dimension

Le schéma 2 présente le modèle élaboré par le groupe de travail des SMA sur la gestion du risque dirigé par le BCP. Ce dernier traite de la gestion du risque dans le contexte de l'élaboration de politiques publiques. Ce modèle fournit un point de départ pour l'étude de questions intéressant les décideurs gouvernementaux ainsi qu'un contexte à partir duquel ils peuvent discuter, examiner et chercher des liens entre les questions associées à la prise de décisions de politique publique dans un environnement fait d'incertitude et de risques (c.-à-d. un modèle de gestion publique du risque).

Comme dans le schéma 1, ce modèle reconnaît six étapes élémentaires : identifier le risque, l'analyser ou l'évaluer, définir les options, décider, mettre en œuvre la décision, et évaluer et ré-examiner la décision. [4]

Dans ce modèle, plusieurs éléments clés ont été identifiés et ils influent sur le contexte de la politique publique qui entoure la gestion du risque :

  • Il y a un élément public dans presque toutes les décisions gouvernementales, et celui-ci est essentiel et légitime dans le processus.
  • L'incertitude scientifique ainsi que les intérêts stratégiques concurrents (y compris les obligations internationales) ont amené à accorder une place plus importante à l'approche préventive.
  • Un processus décisionnel n'est pas isolé -en raison de l'aspect public de nombreuses questions relatives à la politique publique et de la complexité de ces questions, certains facteurs, tels que les communications et les consultations, les aspects juridiques et les activités opérationnelles continues, doivent être soigneusement pris en considération à chaque étape du processus.

Intégrer les résultats de la gestion du risque aux pratiques de gestion à tous les échelons

Les résultats de la gestion du risque doivent être intégrés de manière verticale et horizontale dans les politiques, plans et pratiques de l'organisation. Pour l'intégration horizontale, il faut tenir compte de ces résultats lors de l'élaboration des politiques, plans et priorités pour toute l'organisation. Pour l'intégration verticale, les unités fonctionnelles, comme les directions et les divisions, doivent intégrer ces résultats aux programmes et aux principales initiatives.

Dans la pratique, l'évaluation du risque et la réponse au risque sont considérées au moment d'élaborer les plans d'activités au niveau d'une activité, d'une division ou d'une région. Ces plans sont ensuite examinés au niveau de toute l'organisation, et les risques appréciables (risques horizontaux ou à forte incidence) sont incorporés au plan d'activités, au plan fonctionnel ou au plan d'exploitation qui convient.

Le centre de responsabilité qui exécute les fonctions de consultation ou d'« examen critique » peut ajouter de la valeur à un tel processus puisque de nouveaux risques peuvent être décelés et de nouvelles stratégies peuvent s'imposer après la mise en œuvre. Il doit exister une synergie entre la stratégie générale de gestion du risque et les pratiques internes de gestion du risque de l'organisation.

Il faut examiner chaque fonction ou activité de trois points de vue :

  • Son but : la gestion du risque se penche sur les processus de prise de décision, de planification et de responsabilisation ainsi que sur les occasions d'innover.
  • Son niveau : différentes approches doivent être utilisées selon que la fonction ou l'activité est liée à la stratégie, à la gestion ou à l'exploitation.
  • Le domaine en cause : les risques associés à la technologie, aux ressources financières, aux ressources humaines, aux questions juridiques, aux questions scientifiques, aux questions réglementaires et/ou à la santé et à la sécurité.

Outils et méthodes

Au niveau technique, divers outils et méthodes peuvent être utilisés pour gérer le risque; en voici quelques exemples :

  • Cartes du risque : graphiques et diagrammes sommaires permettant aux organisations d'identifier les risques, d'en discuter, de les comprendre et de les gérer en déterminant leur provenance ainsi que les types de risque et les domaines en cause ou nécessaires.
  • Outils de modélisation : des analyses de scénarios et des modèles de prévision qui donnent une idée de l'éventail des possibilités et qui intègrent des scénarios aux plans d'urgence.
  • Cadre sur l'approche préventive/principe de précaution : un cadre identifiant des principes de base pour orienter l'application de l'approche préventive afin d'en améliorer la prévisibilité, la crédibilité et la cohérence au sein du gouvernement fédéral.
  • Techniques qualitatives : des ateliers, des questionnaires et des auto-évaluations servant à déterminer et à évaluer les risques.
  • Internet et réseaux Intranet des organisations : pour promouvoir la prise de conscience et la gestion du risque grâce au partage de renseignements à l'interne et à l'externe.

Le schéma 3 contient un exemple de modèle de gestion du risque qui aide à évaluer où un risque donné se situe (au plan de la probabilité et de l'incidence) et à établir la stratégie ou la réponse de l'organisation pour gérer le risque.

Schéma 3 : Un modèle de gestion du risque

Schéma 3 : Un modèle de gestion du risque

Afficher l'image pleine dimension

Lorsque sont élaborées les directives sur la gestion du risque, il faut tenir compte des différents états de préparation et des niveaux d'expérience dans le ministère ainsi que des écarts au chapitre des ressources disponibles. De là vient la nécessité d'adopter des méthodes souples et simples, rédigées en termes clairs, qui assurent des voies ouvertes de communication.

Plusieurs méthodes pratiques peuvent être utilisées, dont :

  • Un forum de gestionnaires : où les risques sont déterminés, les mesures proposées sont discutées et les pratiques exemplaires sont partagées.
  • Une fonction consultative interne en gestion du risque : spécialisée en gestion du risque et constituant soit une unité spéciale soit un volet d'une unité fonctionnelle existante.
  • Des trousses d'outils : une série d'outils efficaces en matière de gestion du risque, par exemple des listes de contrôle, des questionnaires, des pratiques exemplaires.

Communication et consultation

Il est essentiel de communiquer le risque et de consulter les parties intéressées pour appuyer la prise de saines décisions en matière de gestion du risque. En fait, la communication et la consultation doivent être effectuées à toutes les étapes du processus de gestion du risque.

Dans la pratique, une des exigences fondamentales de la gestion intégrée du risque est l'élaboration de plans, de processus et de produits par l'entremise de consultations et de communications continues avec les intervenants (internes et externes) qui peuvent participer à la prise de décisions et de mesures, ou être touchés par celles-ci.

La consultation des citoyens et leur engagement proactif contribueront à combler les écarts entre les preuves statistiques et les perceptions du risque. Il est aussi important que les pratiques de communication du risque prévoient les préoccupations et les attentes du public et y donnent suite efficacement. Une demande d'information présentée par un citoyen est une occasion de communiquer sur des questions liées au risque et sur la gestion du risque.

Dans le secteur public, certaines situations à risque hautement visibles bénéficieraient de la participation proactive des parlementaires à des forums précis de discussions, créant ainsi des occasions d'échanger divers points de vue. L'élaboration de la politique publique exige des intrants de contextes empiriques tout autant que publics, ce qui permet la collecte d'une gamme beaucoup plus complète de données et, ainsi, assure l'élaboration d'options de politiques publiques plus pertinentes et plus efficaces. à l'interne, la communication du risque encourage l'action et facilite l'apprentissage continu, l'innovation et le travail d'équipe. Elle peut montrer comment la gestion d'un risque localisé permet d'atteindre les objectifs globaux de l'organisation.

La communication du risque comprend diverses activités telles que l'identification et l'évaluation des questions, l'analyse de l'environnement public (y compris les intérêts et les préoccupations des intervenants), l'élaboration de stratégies de consultation et de communication, l'élaboration de messages, les relations avec les médias ainsi que la surveillance et l'évaluation du dialogue public. Le secteur public a également la responsabilité de communiquer avec le Parlement et de lui présenter des rapports.

Dans la fonction publique fédérale, il est prévu que des activités de consultation, y compris celles touchant la gestion du risque, seront réalisées en conformité avec la Politique sur les communications du gouvernement.

Élément 4 : Assurer l'apprentissage continu en matière de gestion du risque

L'apprentissage continu est un élément fondamental d'un processus décisionnel plus éclairé et proactif. Il permet de mieux gérer le risque, renforce la capacité de l'organisation et facilite l'intégration de la gestion du risque dans la structure organisationnelle. Pour assurer l'apprentissage continu en matière de gestion du risque, il faut tenter d'atteindre les résultats suivants.

  • L'apprentissage tiré de l'expérience est valorisé et les enseignements sont partagés – un milieu de travail habilitant.
  • Les plans d'apprentissage sont intégrés aux pratiques de gestion du risque de l'organisation.
  • Les résultats de la gestion du risque sont évalués afin d'encourager l'innovation, le renforcement de la capacité et l'amélioration -des employés, de l'équipe et de l'organisation.
  • Les expériences et les pratiques exemplaires sont -à l'interne et à travers toute l'administration publique.

Créer un milieu de travail habilitant

L'apprentissage continu exige un milieu de travail habilitant. La valorisation de l'apprentissage tiré de l'expérience, le partage des pratiques exemplaires et des leçons apprises ainsi que la promotion de l'innovation et de la prise de risque responsable sont autant de caractéristiques d'une organisation offrant un milieu de travail habilitant. Une organisation habilitante devrait :

Encourager l'apprentissage

  • en créant un milieu qui motive les gens à apprendre,
  • en valorisant les connaissances, les nouvelles idées et les nouvelles relations à titre de composantes essentielles de la créativité menant à l'innovation,
  • en incluant l'apprentissage dans les plans stratégiques et en insistant sur son importance.

Tirer des enseignements de l'expérience

  • en valorisant l'expérimentation, dans le cadre de laquelle on détermine si les bonnes occasions présentent des avantages et ont des conséquences,
  • en partageant l'apprentissage tiré des réussites et des échecs antérieurs,
  • en se servant des « leçons apprises » et des « pratiques exemplaires » dans le cadre des exercices de planification.

Faire preuve de leadership

  • en choisissant ses dirigeants parmi les encadreurs, les enseignants et les bons intendants,
  • en témoignant son engagement et son appui envers les employés en leur fournissant des occasions, des ressources et des outils,
  • en prévoyant du temps, en affectant des ressources et en mesurant le succès grâce à des examens périodiques (par exemple des vérifications de l'apprentissage).

Ajouter les plans d'apprentissage aux pratiques de gestion

Compte tenu de la très importante contribution de l'apprentissage continu à l'accroissement de la capacité de gérer le risque, il devient essentiel d'intégrer les plans d'apprentissage à tous les volets de la gestion du risque afin de renforcer la capacité de l'organisation de gérer le risque et d'appuyer l'orientation stratégique à cet égard.

Dans le cadre de la stratégie d'apprentissage d'une unité, les plans d'apprentissage énoncent les besoins de formation et de perfectionnement de chaque employé. Des plans d'apprentissage efficaces, qui tiennent compte des stratégies d'apprentissage de la gestion du risque, sont liés à la fois à la stratégie opérationnelle et à la stratégie de l'organisation, comprennent des occasions pour les gestionnaires d'encadrer leurs employés et de leur servir de mentor et corrigent les écarts au chapitre des compétences (connaissances et habilités) des employés et des équipes. Le fait d'inclure des objectifs d'apprentissage en matière de gestion du risque dans les évaluations du rendement sert à appuyer l'apprentissage continu en matière de gestion du risque.

Appuyer l'apprentissage continu et l'innovation

En introduisant l'apprentissage continu comme élément de la gestion du risque, il importe de se rappeler que les risques ne peuvent pas tous être prévus ou évités complètement. Il faut absolument recourir à des procédures appropriées pour assurer la diligence raisonnable et conserver la confiance du grand public. Les objectifs ne seront pas toujours atteints et les innovations ne donneront pas toujours les résultats escomptés, mais si des mesures informées de gestion du risque sont prises et que des leçons en sont tirées, la promotion de l'apprentissage continu incitera à l'innovation tout en respectant les limites de tolérance à l'égard du risque de l'organisation. Dans tout cela, le défi essentiel à relever est de montrer que le risque est bien géré et que la responsabilité est assumée tout en reconnaissant que les leçons tirées de l'expérience aident à faire des progrès.

En plus d'indiquer la responsabilisation, la transparence et la diligence raisonnable, les documents pertinents peuvent servir d'outils d'apprentissage. La pratique d'une gestion intégrée du risque appuie l'innovation, l'apprentissage et l'amélioration continue tant pour les employés, les équipes que pour l'organisation.

Une organisation fera la preuve qu'elle pratique l'apprentissage continu en matière de gestion du risque si :

  • une culture de gestion du risque approprié est favorisée,
  • l'apprentissage est lié à la stratégie de gestion du risque et ce, à de nombreux niveaux,
  • une prise de risque responsable et l'apprentissage de leçons tirées de l'expérience sont encouragés et appuyés,
  • une prise de décisions est fondée sur un partage appréciable de l'information,
  • toute une gamme de points de vue, dont ceux des intervenants, des employés et des citoyens, est considérée lors de la prise de décisions,
  • les suggestions et les commentaires sont recherchés et servent à décider de mesures subséquentes.

Conclusion

Le Cadre de gestion intégrée du risque préconise une approche plus systématique et intégrée de gestion du risque. En mettant l'accent sur l'importance de la communication du risque et de la tolérance à l'égard de ce dernier, il se tourne vers l'extérieur et tient compte des opinions des Canadiens et des Canadiennes. Lorsqu'il est appliqué à l'interne, il met en évidence l'importance des employés et du leadership ainsi que la nécessité pour les ministères et les organismes de définir plus clairement leurs rôles. Le Cadre constitue un outil qui aide les organisations à faire connaître leur vision et leurs objectifs en ce qui a trait à une gestion du risque fondée sur les valeurs et les priorités de l'administration publique, sur les leçons tirées de l'expérience, sur les pratiques exemplaires de même que sur la consultation des intervenants.

Le Cadre est un élément fondamental du programme de gestion et de la fonction de contrôleur moderne de l'administration fédérale. Il vise à appuyer l'optimisation de l'affectation des ressources ainsi que les dépenses judicieuses, deux éléments d'une importance capitale pour l'atteinte de résultats. De plus, il s'appuie sur les valeurs du secteur public, sur la gestion du savoir et sur l'apprentissage continu qui favorise l'innovation. Le Cadre de gestion intégrée du risque constitue la première étape de l'établissement d'une gestion du risque plus stratégique et intégrée pour les ministères et les organismes. Dans un avenir prochain, le Cadre sera appuyé par des outils et des documents d'orientation, et il sera complété par d'autres initiatives de gestion du risque.

Le Secrétariat du Conseil du Trésor du Canada prévoit travailler en étroite collaboration avec les ministères et les organismes pour mettre en œuvre le Cadre de gestion intégrée du risque et suivre de près les progrès réalisés en vue de la création d'un effectif et d'un milieu de travail soucieux du risque dans la fonction publique.


Appendice - Suggestions de rôles et de responsabilités

Tous les employés sont appelés à jouer un rôle lors de la création d'une fonction de gestion intégrée du risque. Le leadership partagé, jumelé à une approche d'équipe, contribuera au succès de la gestion intégrée du risque dans l'ensemble de l'organisation. Les sections qui suivent proposent des rôles et des responsabilités que les différentes parties à la gestion intégrée du risque pourraient prendre en compte.

Secrétariat du Conseil du Trésor du Canada

  • Communiquer et expliquer le Cadre de gestion intégrée du risque.
  • Fournir des directives, de la formation et un centre d'expertise à l'appui du Cadre de gestion intégrée du risque.
  • Fournir au Conseil du Trésor, aux autres organismes centraux et au Parlement de l'information sur la gestion du risque et des conseils qui conviennent aux responsabilités de chacun.
  • Examiner et évaluer périodiquement l'efficacité du Cadre de gestion intégrée du risque, suivre de près les progrès et faire rapport des pratiques exemplaires.

Administrateurs généraux et équivalents

  • Donner l'exemple et faire comprendre que la haute direction estime que la gestion systématique et intégrée du risque est importante pour comprendre l'incertitude caractérisant la prise de décisions et faire la preuve de la responsabilisation aux intervenants.
  • Trouver le meilleur moyen de mettre en œuvre le Cadre de gestion intégrée du risque au sein de leur organisation.
  • Veiller à l'existence d'un environnement d'apprentissage habilitant en matière de gestion du risque, notamment la prise de risques raisonnables et les leçons tirées de l'expérience.
  • S'assurer que les priorités en matière de risques sont identifiées, pour tout le ministère et que des stratégies appropriées de gestion des risques sont mises en œuvre afin d'y répondre.
  • Assurer la capacité de présenter des rapports sur le rendement de la fonction de gestion du risque (c.-à-d. connaître le degré de réussite du ministère ou de l'organisme au chapitre de la gestion du risque).

Haute direction

  • Intégrer la gestion du risque à la stratégie globale et au cadre de gestion du ministère.
  • Fournir aux gestionnaires et aux employés des occasions d'apprentissage et la formation qui leur permettront d'acquérir des compétences.
  • Attribuer des ressources qui seront investies dans une gestion plus stratégique du risque.

Gestionnaires

  • Percevoir le risque comme partie intégrante du processus décisionnel.
  • Veiller à ce qu'il y ait des activités continues d'exécution, de planification, de formation, de contrôle, de suivi et de documentation en matière de gestion du risque au niveau de l'exploitation et de l'administration.

Conseillers fonctionnels et spécialistes

  • Veiller à ce que la politique et les conseils, l'orientation et l'aide connexes soient conformes aux politiques des organismes centraux et du ministère en matière de gestion du risque et aux objectifs de la haute direction.
  • Aider les gestionnaires à identifier et à évaluer les risques ainsi que l'efficacité, l'efficience et la rentabilité des mesures existantes pour gérer le risque.
  • Aider les gestionnaires à concevoir et à mettre en œuvre des outils assurant une meilleure gestion du risque.

Examen et vérification interne

  • Faire rapport à l'administrateur général sur le rendement du ministère ou de l'organisme conformément au Cadre de gestion intégrée du risque.

Tous les fonctionnaires

  • Se tenir au courant des questions liées à la gestion du risque et rester attentifs à celles-ci.
  • Adopter une attitude soucieuse du risque et des -en tenant compte des limites, des principaux secteurs de risque et des règles fondamentales permettant de comprendre les risques qu'ils peuvent prendre et ne pas prendre (c'est-à-dire savoir où est permise une marge de manœuvre concernant des erreurs légitimes et où la prudence est primordiale).
  • Documenter les décisions et étayer l'information.