ARCHIVÉ - Gestion intégrée du risque - Guide de mise en oeuvre

Cette page a été archivée.

2. Créer une fonction de gestion intégrée du risque—Intégrer la gestion du risque aux processus décisionnels et aux rapports existants

La gestion intégrée du risque exige une infrastructure appropriée, qui s'inspire des éléments en place.

La présente section traite de l'intégration de la gestion du risque aux processus décisionnels existants et de l'utilisation des connaissances et de la tolérance de l'organisation à l'égard du risque pour amorcer un changement de culture.

En vertu de cet élément du CGIR, les organisations doivent cerner ou concevoir une infrastructure organisationnelle appropriée pour assurer la communication claire des questions, des pratiques et des procédures liées au risque à l'échelle de l'organisation. Ainsi, le profil de risque de l'organisation (élément 1) peut mieux correspondre aux objectifs globaux, à la vision, aux orientations stratégiques et aux pratiques opérationnelles. Les principes de gestion du risque sont intégrés aux structures de gouvernance et aux systèmes décisionnels et de rapports.

Fondements

Pour intégrer la gestion du risque aux structures existantes en matière de prise de décisions et de rapports, il faut :

• ancrer la gestion du risque grâce à l'engagement de la haute direction à l'échelon de l'administrateur général;
• désigner un champion ou un service de la gestion du risque à l'échelle de l'organisation;
• communiquer l'orientation de la direction en matière de gestion intégrée du risque;
• élaborer le profil de risque de l'organisation.

En faisant de la gestion intégrée du risque un élément clé de l'ordre du jour des comités de la direction, la haute direction communique son engagement à toute l'organisation. La démonstration d'un tel engagement favorise la mobilisation de l'effectif à tous les échelons à l'égard d'une culture de gestion du risque et aide à dégager un consensus sur ce que signifie la gestion intégrée du risque. En prêchant par l'exemple, les gestionnaires supérieurs relèvent le niveau de sensibilisation et communiquent l'importance de la pratique, tout en améliorant les liens horizontaux, en renforçant l'esprit d'équipe et en forgeant un sentiment d'appartenance collectif. Cela contribue à appuyer la pertinence de la gestion intégrée du risque lors de l'examen des questions, des approches et du rendement de l'ensemble de l'organisation touchant le risque.

L'administrateur général et le champion de la gestion du risque doivent s'assurer de l'appui des gestionnaires à divers échelons, qui légitimeront et sanctionneront la mise en oeuvre de la gestion intégrée du risque par la parole et l'action. Le champion parle avec autorité de la gestion intégrée du risque dans le contexte de la réalisation des objectifs de l'organisation, et il est un partisan enthousiaste et compétent. Pour être le plus efficace possible, le champion dirigera, appuiera et communiquera les avantages à grande échelle, en plus de faire état des progrès.

Le profil de risque de l'organisation (élément 1) fournit des consignes de base en vue de créer une fonction de gestion intégrée du risque. L'un des éléments clés du profil est l'évaluation du niveau de préparation des structures et des mécanismes de gouvernance, de prise de décisions et de responsabilisation de l'organisation. Grâce au profil, la haute direction peut établir des plans stratégiques pour développer les capacités au chapitre des ressources humaines, des outils et des processus, tant à l'échelle des unités fonctionnelles qu'à celle de l'organisation.

Comment faire

Pour jeter les bases de la gestion intégrée du risque, il faut déterminer qui, quoi et comment. La création d'une fonction de gestion intégrée du risque et son intégration aux systèmes décisionnels existants comportent quatre étapes clés :

• cibler la gestion du risque à l'échelle de l'organisation;
• communiquer l'orientation de la direction en matière de gestion du risque;
• intégrer la gestion du risque aux structures existantes pour la prise de décisions;
• développer la capacité de l'organisation.

Cibler la gestion du risque à l'échelle de l'organisation

La gestion intégrée du risque doit être ciblée à l'échelle de toute l'organisation, que la structure soit existante ou non. Les bases peuvent avoir été jetées au moyen de plans d'action et par l'élaboration du profil de risque de l'organisation. Les étapes suivantes peuvent aider à cibler la gestion du risque à l'échelle de l'organisation.

Charger une tribune de haut niveau de diriger et d'appuyer la gestion intégrée du risque

La gestion intégrée du risque devrait relever d'une tribune de haut niveau présidée par l'administrateur général. Il est essentiel que les consignes émanent de ce niveau pour garantir l'intégration des enjeux et des approches de l'organisation en matière de risque à la planification, à la prise de décisions et à la mesure du rendement. Cette tribune peut être un comité existant, comme le comité de direction ou un autre comité panorganisationnel de ce niveau mis sur pied expressément pour prendre en main la gestion du risque à l'échelle de l'organisation. On peut aussi mettre sur pied une nouvelle tribune de gestion intégrée du risque pour diriger la mise en oeuvre au départ et, à mesure que les pratiques arrivent à maturité, pour orienter la stratégie de l'organisation en matière de gestion du risque et la pensée novatrice.

Il faudrait aussi mettre sur pied au moins un groupe de travail pour fournir à la tribune de haut niveau des analyses multifonctionnelles et organisationnelles des questions touchant le risque à l'échelle de l'organisation.

Recenser les ressources à investir au départ

Les ministères qui ont fait des progrès substantiels pour mettre en oeuvre la gestion intégrée du risque ont reconnu la nécessité d'investir au départ des ressources particulières. Cela oblige habituellement à réaffecter des ressources pour financer le démarrage. Il faut du temps et des efforts pour développer un certain rythme, former les gestionnaires et les spécialistes, et mettre au point des outils et des processus de qualité. À plus long terme, la gestion intégrée du risque ne devrait avoir aucune incidence sur les ressources; cet investissement initial met le processus en marche et illustre l'ampleur de l'engagement au sein de l'organisation.

Désigner et appuyer un champion de la gestion du risque au sein de l'organisation

La désignation d'un champion efficace, idéalement au niveau de l'administrateur général, est considérée comme une étape fondamentale du lancement de la gestion intégrée du risque. Le rôle de champion incombe aussi couramment à une fonction de l'organisation au niveau de l'administrateur général adjoint, par exemple, le service de la planification stratégique et opérationnelle ou la direction des services intégrés. Le champion de la gestion du risque joue un rôle déterminant pour amorcer et soutenir la transition vers une culture organisationnelle caractérisée par le souci du risque. À cette étape préliminaire, l'intérêt personnel et la complémentarité naturelle avec un rôle existant au sein de l'organisation peuvent être des critères de sélection pertinents. Les connaissances et l'enthousiasme dans la communication du message sont d'autres facteurs importants.

Le champion de la gestion du risque au sein de l'organisation doit disposer de ressources adéquates. Cela peut inclure des spécialistes chargés de fournir une expertise et une approche systématique pour l'intégration de la gestion du risque. Le champion devra également avoir accès à la haute direction afin que la gestion intégrée du risque demeure une priorité de la culture organisationnelle.

Choisir le point de mire de l'organisation

Le point de mire choisi au départ sera habituellement la source d'expertise. Même si certains ministères mettent en oeuvre la gestion intégrée du risque avec l'aide de leur service de vérification interne, c'est à la direction de répondre de la mise en oeuvre et d'en rendre compte. Cela tient compte du besoin pour les vérificateurs internes des ministères de demeurer objectifs et de fournir des conseils indépendants et des garanties quant à l'efficacité de la gestion intégrée du risque au sein de leur organisation. Il n'est pas rare que le point de mire se retrouve par la suite dans un service comme la planification stratégique à mesure que la fonction arrive à maturité et que la gestion intégrée du risque devient partie intégrante des processus de planification et d'établissement des priorités de l'organisation. Quel que soit son emplacement, il faudra établir des liens entre le point de mire et les centres existants d'expertise fonctionnelle à travers l'organisation.

Communiquer l'orientation de la direction en matière de gestion du risque

Pour créer une culture où tous les employés considèrent la gestion du risque comme une activité valable, l'engagement et la vision de la haute direction doivent être communiqués à l'échelle de l'organisation.

Élaborer des consignes

L'orientation générale de la gestion intégrée du risque nécessite des consignes écrites, c'est-à-dire une politique, un cadre ou des principes opérationnels pour adapter la démarche aux besoins particuliers du cadre opérationnel de l'organisation. Le ministère ou l'organisme peut diffuser ces consignes en élaborant une politique ou un cadre de gestion du risque, ou en mettant à jour les politiques existantes de l'organisation. Dans un cas comme dans l'autre, il faudra définir des rôles et des responsabilités clairs, un échiquier de responsabilisation et des mécanismes de rapports sur le rendement. Une politique ou un cadre de gestion intégrée du risque permet aux différents services d'intégrer la gestion du risque à leurs opérations courantes.

Bâtir un réseau de promoteurs du changement ou de champions de la gestion du risque à l'échelle des unités fonctionnelles

Il est essentiel qu'une organisation se dote de politiques et de cadres pour être en mesure de mettre en oeuvre la gestion intégrée du risque, mais ce sont les gens au sein de l'organisation qui font en sorte que tout cela fonctionne. La désignation des gens au sein des groupes opérationnels à titre de chefs de file ou de champions de la gestion du risque à l'échelle des unités fonctionnelles et leur réunion au sein d'un groupe de travail afin qu'ils puissent mettre leurs expériences en commun et traiter les problèmes communs de mise en oeuvre contribuera au succès de la création de cette fonction.

Ce réseau de gens motivés peut aider la haute direction à élaborer des plans de travail qui reflètent la perspective de l'organisation à l'égard des questions liées au risque. Il s'agit en outre d'un véhicule approprié pour communiquer les concepts et le calendrier de mise en oeuvre à l'échelle de l'organisation.

Intégrer la gestion du risque aux structures existantes de prise de décisions

L'un des facteurs déterminant pour le succès de la mise en oeuvre est l'intégration homogène de la gestion intégrée du risque aux processus ministériels existants. La planification annuelle, les rapports sur le rendement, de même que le développement et la diffusion de la formation doivent tous être sensibles au risque.

La concordance entre, d'une part, la vision et les objectifs de la gestion du risque et, d'autre part, les objectifs et les orientations stratégiques de l'organisation fait que la gestion du risque est importante et pertinente pour tous les employés. À mesure que la mise en oeuvre progresse, les gens devraient en venir à considérer la gestion du risque comme faisant partie intégrante de leurs tâches quotidiennes, et non comme quelque chose qui s'ajoute à leurs activités courantes. Le degré d'acceptation des concepts de la gestion intégrée du risque sera fonction de la mesure dans laquelle l'organisation aura réussi à établir une terminologie commune à l'égard du risque et à intégrer celle-ci à ses outils et documents.

Tout au long du processus de planification stratégique, le champion de la gestion du risque ou le groupe de spécialistes doit faire fonction de catalyseur pour guider à la fois le processus et les agents responsables. Les agents de planification de l'organisation doivent aiguillonner le processus en intégrant la sensibilisation et la perspective à l'égard du risque, de manière à aider les gestionnaires à assurer la planification, l'établissement des priorités et l'affectation des ressources à l'échelle de l'organisation.

Développer les capacités de l'organisation

Non seulement la gestion du risque doit-elle être intégrée aux processus existants, mais la capacité de l'organisation de la mettre en pratique doit s'appuyer sur ce qui existe déjà. Le profil de risque de l'organisation fournit un étalon de la capacité de l'organisation. L'analyse continue de l'environnement fera ressortir les changements du profil qui nécessitent une amélioration plus poussée des compétences, des processus et des pratiques de gestion du risque.

L'évaluation et le développement des capacités existantes permettent d'adapter la façon de composer avec la situation particulière du ministère ou de l'organisme et son degré d'exposition au risque. On peut solliciter au besoin des consignes et des conseils auprès du Centre d'expertise du SCT et en communiquant avec d'autres organismes fédéraux pour profiter des leçons qu'ils ont eux-mêmes apprises.

Ressources humaines

Le CGIR mentionne quatre principaux domaines dans lesquels on pourrait devoir développer la capacité de l'effectif :

• promouvoir les initiatives et la culture de gestion du risque;
• élargir la gamme de compétences au moyen d'une formation rigoureuse faisant appel aux applications et aux outils qui conviennent;
• élargir la gamme de compétences par la mise en commun des pratiques exemplaires et des expériences;
• développer la capacité, les aptitudes et les compétences propres au travail d'équipe.

Outils et processus

De même, le CGIR décrit comment les outils et les processus de gestion du risque peuvent développer les capacités :

• mettre au point et adopter des outils, des techniques des pratiques et des processus de gestion du risque à l'échelle de l'organisation;
• fournir des consignes sur l'application des outils et des techniques;
• prévoir la mise au point et l'utilisation d'autres outils et techniques qui permettraient de mieux gérer le risque dans le cadre d'applications spécialisées;
• adopter des processus garantissant l'intégration de la gestion du risque à l'échelle de l'organisation.

La section traitant de l'élément 3 (Pratiquer une gestion intégrée du risque) fournit des précisions au sujet de la gamme d'outils qu'utilisent les ministères et les organismes.

Questions à considérer

1. A-t-on désigné un champion ou un service du ministère pour surveiller la mise en oeuvre de la gestion intégrée du risque?
2. La gestion du risque est-elle communiquée, comprise et appliquée à l'ensemble des processus organisationnels? La gestion du risque est-elle intégrée aux structures actuelles de gouvernance et de prise de décisions, et aux systèmes de rapports sur le rendement? Des évaluations du risque ont-elles été effectuées pour les processus organisationnels ou les nouveaux programmes proposés?
3. Des systèmes de contrôle et de responsabilisation ont-ils été adaptés pour tenir compte des processus de gestion du risque? Des indicateurs de rendement et des facteurs de réussite ont-ils été identifiés et mentionnés dans les rapports ministériels? La reddition de comptes sur le risque et la gestion du risque a-t-elle lieu par l'entremise des rapports sur le rendement, la surveillance continue, les évaluations, la vérification interne)?
4. Dispose-t-on d'une capacité suffisante pour gérer le risque au sein de l'organisation? Le ministère a-t-il mis en place des initiatives efficaces pour sensibiliser le personnel à la gestion du risque? A-t-on tenu des ateliers à l'intention des employés pour diffuser les connaissances et les techniques relatives à la gestion du risque? Les gestionnaires utilisent-ils des experts pour traiter des questions auxquels ils font face?

Exemples

On peut tirer d'importantes leçons des expériences des ministères et des organismes qui siègent au Conseil de mise en oeuvre du CGIR.

Orientation et engagement de la direction

L'un des ministères a ébauché un cadre de gestion intégrée du risque, de même qu'un plan de mise en oeuvre et un plan d'action avec le ferme appui du sous-ministre. Cette démarche a été élaborée grâce à des entrevues et à des discussions poussées à l'échelle de toute l'organisation, de même qu'à un atelier d'une demi-journée sur le risque tenu avec le sous-ministre et le comité de la haute direction. Le sous-ministre a participé directement à l'évaluation du risque et a fait en sorte que cela devienne une priorité de l'organisation.

Facteurs de réussite

L'un des ministères responsables a recensé huit facteurs qui l'ont aidé à créer une fonction de gestion intégrée du risque :

1. Instaurer un contexte positif.
2. S'assurer d'un engagement à l'égard du concept de la gestion intégrée du risque.
3. Nommer un groupe de spécialistes.
4. Être disposé à faire l'investissement initial nécessaire dans l'infrastructure de gestion intégrée du risque.
5. Établir des responsabilités à l'égard de la gestion intégrée du risque qui sont claires et bien réparties.
6. Exiger la présentation de rapports à la haute direction.
7. Doter l'organisation de processus de planification et d'établissement des priorités qui soient appropriés.
8. Mettre en oeuvre une fonction de gestion intégrée du risque adaptable.

Groupes de travail

L'un des ministères a mis sur pied un comité des SMA sur la gestion du risque avec la sanction du sous-ministre. En outre, un groupe de travail sur la gestion du risque a été mis sur pied à l'échelon de la direction, et tous les secteurs y sont représentés. Ce groupe de travail a essentiellement pour mandat de favoriser la sensibilisation et le souci de l'organisation à l'égard du risque, de promouvoir le souci du risque à l'échelle de l'organisation, et de former des champions au sein des unités fonctionnelles des différents secteurs d'activité. Le groupe de travail donne aux secteurs l'accès à une tribune de discussion, fournit des conseils au sujet d'initiatives visant à élaborer un programme de gestion du risque à l'échelle de l'organisation, soumet des recommandations au comité ministériel chargé de la gestion du risque, met en commun les leçons apprises et informe les secteurs des activités de gestion du risque.

Comité consultatif sur la gestion du risque

Une autre organisation a mis sur pied un comité consultatif ministériel pour fournir une aide et des conseils au sujet des orientations générales de l'initiative de gestion du risque. Ce comité vise à faciliter l'application plus systématique de la gestion du risque lorsque cela s'impose en raison de décisions entraînant des coûts ou des répercussions de grande envergure. Les membres du comité mettent en commun les leçons apprises et l'information au sujet des activités de gestion du risque dans leur secteur.

De la vérification à la planification intégrée

L'une des organisations a mis sur pied un mécanisme pour intégrer la gestion du risque à la planification intégrée et à l'établissement des priorités. La fonction de gestion du risque relevait au départ du service de vérification et d'évaluation; elle a été confiée par la suite au service de planification intégrée après la mobilisation de ressources dédiées, démontrant ainsi l'engagement du champion de la gestion du risque.

Le Centre d'expertise du SCT peut fournir d'autres exemples de création réussie d'une fonction de gestion intégrée du risque.