Cette page a été archivée.
Information archivée dans le Web à  des fins de consultation, de recherche ou de tenue de documents. Cette dernière n’a aucunement été modifiée ni mise à  jour depuis sa date de mise en archive. Les pages archivées dans le Web ne sont pas assujetties aux normes qui s’appliquent aux sites Web du gouvernement du Canada. Conformément à  la Politique de communication du gouvernement du Canada, vous pouvez demander de recevoir cette information dans tout autre format de rechange à  la page « Contactez-nous ».
Pour élaborer le profil de risque de l'organisation, il faut bien comprendre l'environnement opérationnel de cette dernière et sa capacité de composer avec les risques clés de haut niveau liés à la réalisation de ses objectifs.
Résultats escomptés
L'élaboration d'un profil de risque constitue un point de départ logique pour mettre en oeuvre la gestion intégrée du risque. L'organisation fait le point sur son environnement opérationnel, recense les principaux risques et examine sa capacité de composer avec ces derniers.
Le profil de risque de l'organisation aide à orienter la gestion des risques qui pèsent sur l'organisation. Le profil trace un portrait des risques auxquels est exposée l'organisation à un moment donné, en soulevant les questions suivantes : où en est l'organisation (menaces, occasions, points forts et lacunes); quelle est l'orientation de l'organisation (objectifs et résultats escomptés); et quels sont les principaux risques de haut niveau qui doivent être gérés par la haute direction pour que l'organisation réalise ses objectifs et obtienne les résultats escomptés?
Pour élaborer le profil, les données sur le risque, tant au niveau organisationnel qu'opérationnel, sont analysées pour comprendre les principales caractéristiques de la large gamme de risques internes et externes qui pèsent sur l'organisation. La haute direction se concentre sur un nombre raisonnable de risques (5 à 10) dans le contexte du mandat de l'organisation, des objectifs, des ressources disponibles et de la capacité d'assurer la gestion intégrée du risque. Pour gérer les risques clés, les décideurs doivent aussi tenir compte de la tolérance des principaux intervenants à l'égard du risque.
Il existe une importante interrelation entre l'élaboration du profil de risque de l'organisation et le processus de planification stratégique. La gestion du risque sous-tend tous les aspects de l'établissement des priorités, de la planification et de l'affectation des ressources. En outre, en raison des liens bidirectionnels entre chacun de ces aspects, le profil de risque permet d'intégrer chacun d'eux à l'échelle de l'organisation. Par conséquent, le profil de risque de l'organisation est alimenté par les documents et les processus de planification stratégique du ministère, et il les alimente lui-même. En situation de gestion intégrée du risque à maturité, un processus énergique de planification stratégique et opérationnelle devrait comprendre le profil de risque de l'organisation, ce qui élimine la nécessité de le présenter séparément.
L'administrateur général et le comité de direction doivent :
L'élaboration du profil de risque de l'organisation englobe six grands groupes d'activités :
L'orientation et la démarche d'élaboration du profil de risque de l'organisation sont influencés et liés par le cadre d'exploitation et le niveau de préparation de l'organisation. Plusieurs facteurs peuvent influer sur l'élaboration du profil, y compris le mandat, les ressources et la taille de l'organisation, la question de savoir si l'organisation est un organisme central, un ministère à vocation scientifique ou un organisme de réglementation, la question de savoir si l'organisation est essentiellement opérationnelle ou si elle participe avant tout à l'élaboration de la politique ou au savoir, la question de savoir si l'organisation est hautement centralisée, et le nombre de responsabilités de programme qui lui incombent. Par exemple, les préposés à la réglementation au sein des ministères à vocation scientifique seront naturellement plus sensibles à la faible tolérance des Canadiens pour le risque pesant sur la santé et la sécurité publiques, et les plus susceptibles d'en tenir compte. En revanche, les ministères chargés d'exécuter des programmes administratifs et les organismes centraux trouveront peut-être plus d'occasions d'innover et de faire l'essai de nouvelles approches à l'égard de l'exécution des programmes, de la prestation des services et de la mise en oeuvre de la politique.
Idéalement, il faudrait demander à la haute direction d'appuyer un modèle de démarche qui :
Cela pourrait nécessiter des séances d'information distinctes ou l'examen de ces questions lors de plusieurs réunions, tout dépendant de la présence de facteurs comme la mesure dans laquelle l'équipe est à l'aise face au concept de la gestion intégrée du risque ou encore les avantages anticipés de l'élaboration du profil de risque de l'organisation.
Les séances d'information des membres de la direction sur la gestion intégrée du risque visant à obtenir leur appui à l'égard de l'élaboration du profil de risque de l'organisation devraient normalement traiter de ce qui suit :
La plupart des organisations peuvent élaborer leur profil de risque au moyen des ressources existantes. Par exemple, l'information et les mécanismes de collecte des données déjà en place peuvent orienter l'élaboration du profil de risque de l'organisation.
Gestion stratégique du risque
« La gestion du risque est une façon de prendre des risques pertinents avec confiance et d'en gérer les résultats avec succès. »
Planification stratégique et réalités opérationnelles
« Les objectifs stratégiques de l'organisation sont établis pour toutes sortes de bonnes raisons, mais ils ne sont généralement pas liés aux capacités opérationnelles. »
« Les objectifs stratégiques doivent être modifiés en fonction d'une évaluation réaliste des capacités et doivent établir des liens. Autrement, ils risquent de ne produire que frustration et mauvais rendement. »
« Il ne sert à rien de multiplier les efforts avant d'avoir défini ses orientations. »
Présentation donnée à Ottawa en juin 2003 par M. Kevin W. Knight, président de l'Australasian Institute of Risk Management, président du groupe de travail ISO sur la terminologie de la gestion du risque, et membre du Comité technique conjoint OB/7 - Gestion du risque sur les Normes de l'Australie/Normes de la Nouvelle-Zélande.
Le profil de risque de l'organisation recense les principaux risques qui la touchent dans son ensemble (questions, fonctions, programmes, systèmes), de même que les différents événements, activités ou projets des secteurs d'activité qui pourraient avoir une nette incidence sur les priorités globales de gestion, le rendement et la réalisation des objectifs de l'organisation.
Ces facteurs et risques internes et externes sont décelés au moyen d'une analyse de l'environnement ou d'une collecte et d'une analyse préliminaires des données. Leur évolution et les grandes tendances observées au fil du temps sont particulièrement utiles pour déceler rapidement les risques susceptibles de miner les extrants du ministère et, à terme, ses objectifs et ses résultats.
Le CGIR suggère plusieurs techniques d'identification du risque, comme les séances de remue-méninges, la planification de scénarios et les enquêtes. Au nombre des autres sources d'information sur le risque, citons les rapports de vérification, les rapports sur le rendement et d'autres systèmes d'information de gestion.
Les sources mentionnées ci-dessous fournissent des perspectives qui peuvent aider à déterminer la situation de l'organisation du point de vue de ce qui est à risque, ainsi que des types et des sources de risque (menaces, possibilités, points forts et lacunes).
Ces documents sont sans doute de bonnes sources d'information sur les objectifs de l'organisation, ses orientations, les nouveaux projets et les initiatives, le rendement actuel et les aspects sur lesquels il conviendrait de se pencher ou qui doivent être améliorés.
Pour les autres activités de collecte des données ou d'enquête, un guide ou un modèle d'entrevue qui classe ou regroupe les risques (identification de ce qui est à risque, types et sources de risque, échelle de classement et méthodologie) facilitera la consolidation et l'analyse de l'information recueillie. Les données peuvent être regroupées par programme, par secteur d'activité, par discipline, par domaine fonctionnel, par lieu géographique, par type de risque, par source de risque ou d'après une combinaison de ces catégories ou d'autres rubriques pertinentes.
Les activités suivantes peuvent étoffer l'information recueillie auprès des sources mentionnées précédemment :
La compréhension de l'univers de risque de l'organisation aide à cerner et à évaluer les principaux risques de haut niveau aux fins du profil de risque de l'organisation. Les facteurs externes dont il faut tenir compte englobent le cadre politique, économique, social et technologique, de même que les tendances et les changements qui pourraient influer sur la conduite des activités de l'organisation ou sur la réalisation de ses objectifs. Il importe également de tenir compte des intérêts et de la tolérance à l'égard du risque des principaux intervenants de l'extérieur pour élaborer le profil de risque de l'organisation et déterminer la tolérance de l'organisation à l'égard du risque.
La tolérance d'une organisation à l'égard du risque dépend de sa culture et de l'évolution de son environnement interne et externe. Il importe de comprendre la tolérance d'une organisation et celle de ses principaux intervenants à l'égard du risque parce que ces deux considérations affecteront et guideront le processus décisionnel. La direction doit déterminer quels risques l'organisation peut accepter et à quel niveau, puis réévaluer ces choix à mesure que les circonstances changent.
Il devrait y avoir un lien direct entre la tolérance à l'égard du risque et les attentes en matière du rendement et ce, à l'échelle de toute l'organisation. La direction doit comprendre la corrélation entre, d'une part, le degré et la durée des écarts défavorables par rapport aux attentes ou aux cibles établies en matière de rendement et, d'autre part, le degré d'exposition au risque.
Il faut tenir compte de ce qui suit pour comprendre le niveau de tolérance de l'organisation et de ses principaux intervenants à l'égard du risque :
Le diagramme qui suit illustre la notion de tolérance à l'égard du risque en rapport avec le coût de la gestion en fonction des différents niveaux de risque.
Il importe de cerner la nature, la pertinence et l'utilité des outils, des techniques, des compétences des ressources humaines et de l'expertise de l'organisation en matière de gestion du risque.
En dressant un bilan des outils et des techniques de gestion du risque en usage, ainsi que des compétences en gestion du risque à la disposition de l'organisation, on pourra évaluer la situation de l'infrastructure du risque sous l'angle de la stabilité de l'organisation et de la capacité du système. La direction doit veiller à ce que cette infrastructure soit en mesure de combler les besoins actuels et anticipés de l'organisation en matière de gestion intégrée du risque.
Une fois l'information recueillie (analyse de l'environnement, capacité de gestion du risque et tolérance des intervenants à l'égard du risque) et les constatations et hypothèses validées, tout cela doit être analysé, regroupé et soumis au comité de direction. Ensemble, l'administrateur général et le comité de direction doivent évaluer la probabilité de survenance du large éventail de risques auxquels l'organisation est confrontée, de même que leur incidence sur la réalisation des objectifs de l'organisation. Ils peuvent ensuite décider des principaux risques de haut niveau qui doivent être gérés par la direction et de ceux qui devraient ou pourraient être gérés à d'autres échelons.
Chacun des membres du comité de direction doit classer les principaux risques de haut niveau selon leur priorité et être prêt à expliquer le classement établi et les liens avec les objectifs de l'organisation et d'autres risques. On peut recourir au vote anonyme ou à des approches semblables pour classer les risques. Après de telles discussions, le comité de direction pourra décider du classement des risques pour toute l'organisation et déterminer les étapes pour les gérer. Ces étapes doivent s'appuyer sur les conclusions de l'analyse de l'environnement, sur la capacité de l'organisation de gérer le risque, sur la tolérance des intervenants à l'égard du risque, de même que sur la connaissance et l'expérience des membres de la direction.
Pour élaborer la réaction initiale au risque, l'organisation doit s'efforcer d'engager un dialogue avec les intervenants clés pour obtenir leur appui à l'égard des mesures proposées. Elle doit tenter de consolider et de garantir une perspective commune à l'égard des options et des compromis possibles, et demander l'aide des intervenants pour formuler des plans qui contribuent dans toute la mesure du possible à la réalisation des objectifs de l'organisation.
Les résultats de l'évaluation et de la classification des risques doivent être liés aux processus d'établissement des priorités et d'affectation des ressources de l'organisation, de manière que la direction concentre son attention et les ressources sur les risques les plus élevés.
La dernière étape consiste à rédiger un document qui décrit le profil de risque de l'organisation. Ce document énonce les résultats des analyses de l'environnement, de l'évaluation et de l'analyse des risques, en plus de cerner les éléments qui doivent faire l'objet de décisions ou de consignes de la part de l'organisation au sujet des stratégies de gestion du risque. Les organisations ont mis au point diverses façons de présenter ces résultats, notamment sous forme de matrices, de plans des risques et de rapports renfermant des résumés par secteur de risque. Le lecteur trouvera sans doute utile de consulter l'échantillon de carte du risque figurant à l'annexe D.
Poser les questions suivantes pour confirmer que l'organisation obtient les résultats prévus de l'élaboration de son profil de risque.
Pour élaborer le profil de risque de l'organisation, un ministère utilisant l'expertise de risque de son groupe de vérification interne a élaboré des cadres d'engagement (un protocole d'entente) entre le groupe de vérification et les directions. De tels cadres servent de mécanisme pour décrire les rôles et les attributions permettant de cerner et d'évaluer les risques, d'élaborer les stratégies d'atténuation correspondantes et de faire rapport. À la suite de séances dirigées d'identification et d'évaluation des risques, échelonnées sur neuf mois et d'une période de consultations régionales, les principaux risques ont été identifiés et l'on a proposé une première série de stratégies de gestion. Ces dernières ont ensuite servi à élaborer un profil de risque de l'organisation ainsi qu'une gamme de stratégies d'atténuation. Tant les risques que les stratégies sont maintenant d'importants éléments du plan d'entreprise de l'organisation.
Un autre ministère utilise l'analyse de l'environnement comme point de départ pour l'élaboration de son profil de risque. L'analyse englobe les éléments suivants :
Le profil de risque de l'organisation donne aussi une perspective globale de la tolérance à l'égard du risque et des modalités de sa communication aux gestionnaires et aux employés. Le conseil de direction du ministère examine chaque année tous les éléments du profil.
Un ministère, qui participe activement à l'exécution de programmes en région, dépend de son profil de risque pour expliquer comment les deux types de risque auxquels il est exposé (les risques inhérents à son mandat et ceux découlant de l'évolution de son contexte opérationnel) interagissent de façon dynamique pour influer sur la réalisation des objectifs opérationnels.
Le profil de risque de l'organisation vise aussi à informer le personnel et les intervenants de ce qui suit :
Le profil de risque de l'organisation est mis à jour chaque année et approuvé par la haute direction.
La haute direction du ministère susmentionné s'est engagée à mettre en oeuvre des plans opérationnels pour tous ses secteurs et bureaux régionaux chaque année. Le processus englobe l'analyse de l'environnement interne et externe, des tensions, des possibilités et d'autres facteurs qui pourraient influencer les programmes stratégique et de gestion du ministère, le risque constituant l'un des éléments abordés et traités dans le cadre du processus de planification intégrée. À cela s'ajoute l'engagement d'élaborer ce que le ministère appelle le « tableau de bord » des principaux indicateurs opérationnels pouvant servir de système de préalerte des changements du contexte.
Récemment, l'ensemble des bureaux régionaux et des secteurs de ce ministère ont été priés d'indiquer deux projets ou programmes auxquels il serait bon d'appliquer des outils de gestion des risques. Ce faisant, les régions et les secteurs ont dû passer leurs risques en revue. En 1998 et en 2000, tous les gestionnaires supérieurs ont été interviewés et priés d'indiquer leurs risques les plus importants. En 2002, on a recensé des domaines auxquels la gestion du risque pouvait être appliquée et l'on a mené un exercice de planification opérationnelle comportant une analyse FFPM (forces, faiblesses, possibilités et menaces) pour chaque bureau régional et secteur. Les résultats couvraient les opérations et les secteurs d'activité de chaque bureau régional ou secteur.
Un autre ministère lance un vaste exercice d'analyse de l'environnement au début de chaque cycle annuel de planification. Cette analyse est conçue pour recueillir des renseignements et définir le contexte d'établissement des priorités, de même qu'à des fins de planification et de prise de décisions au cours de la prochaine année. Une analyse de cette ampleur permet d'examiner de façon uniforme les tendances horizontales entre les secteurs et les régions et constituent un levier important pour s'entendre, à l'échelle du ministère, sur les principales tendances (politiques, économiques, sociales et techniques), les possibilités et les menaces susceptibles d'influencer le ministère.
L'un des petits ministères utilise l'analyse de l'environnement pour recenser les risques internes et externes, ce qui favorise l'élaboration d'un profil de risques pour chacun des secteurs d'activité. Ces profils de risque et les résultats des analyses sont intégrés au profil de risque de l'organisation, puis discutés par le comité de la haute direction du ministère lors d'une journée de réflexion vouée à la planification stratégique. L'analyse de l'environnement relève conjointement des groupes chargés de la planification stratégique et des services intégrés. Pour l'amorcer plus rapidement, le ministère a retenu une approche simple, évitant les façons de procéder trop élaborées. Cette forme d'apprentissage par la pratique devrait développer l'engagement de l'organisation et déboucher sur un ensemble d'outils mieux intégrés.
Il existe de nombreux autres exemples parmi les ministères chefs de file de la mise en oeuvre. Le lecteur trouvera sur le site Web du SCT sur la gestion du risque des renseignements à jour sur les progrès de ces derniers et d'autres organismes fédéraux.