Secrétariat du Conseil du Trésor du Canada
Symbole du gouvernement du Canada

ARCHIVÉ - Gestion intégrée du risque - Guide de mise en oeuvre

Avertissement Cette page a été archivée.

Information archivée dans le Web

Information archivée dans le Web à  des fins de consultation, de recherche ou de tenue de documents. Cette dernière n’a aucunement été modifiée ni mise à  jour depuis sa date de mise en archive. Les pages archivées dans le Web ne sont pas assujetties aux normes qui s’appliquent aux sites Web du gouvernement du Canada. Conformément à  la Politique de communication du gouvernement du Canada, vous pouvez demander de recevoir cette information dans tout autre format de rechange à  la page « Contactez-nous Â».

 

3. Pratiquer la gestion intégrée du risque

Il faut pratiquer la gestion intégrée du risque ascendante, descendante et horizontale à l'échelle de l'organisation pour obtenir un portrait complet qui soit significatif pour l'organisation.

Résultats escomptés

  • Un processus ministériel de gestion du risque est appliqué de manière uniforme à tous les échelons, de sorte que les risques sont communiqués, compris et gérés.
  • Les résultats des pratiques de gestion du risque exécutées à tous les échelons sont intégrés à un processus de prise de décisions éclairées et d'établissement des priorités - stratégiques, opérationnelles, de gestion et de rapports sur le rendement.
  • Les outils et les méthodes de gestion du risque sont utilisés à titre d'aides à la prise de décisions.
  • Les intervenants internes et externes sont consultés et l'on communique constamment avec eux.

Les organisations pratiquent la gestion intégrée du risque pour améliorer la réalisation de leurs objectifs et afin d'obtenir une meilleure information pour la prise de décisions. Il est donc essentiel de relier directement la gestion du risque à la réalisation des objectifs à tous les échelons de l'organisation. Si la gestion du risque ne semble pas appuyer le processus décisionnel, elle risque d'être perçue comme une exigence administrative supplémentaire à laquelle on peut passer outre.

La présente section traite de l'intégration de la pratique de la gestion du risque à l'échelle de l'organisation en respectant le cadre d'orientation, la philosophie et les pratiques établis par cette dernière. La perspective et les pratiques de gestion du risque des unités fonctionnelles doivent être liées de façon bidirectionnelle à la vision intégrée, c'est-à-dire les principaux risques et les stratégies d'atténuation qui figurent dans le profil de risque de l'organisation. Les groupes de spécialistes habitués à gérer des risques précis au niveau des unités fonctionnelles croiront peut-être au départ que la mise en oeuvre de la gestion intégrée du risque ne change pas grand chose. Avec le temps, toutefois, le contexte évolutif de leur travail transformera le cheminement de l'information vers une perspective plus large et en provenance de cette dernière. Cela influera à son tour sur le travail et les comportements des unités fonctionnelles à mesure que les interrelations deviendront apparentes, que les avantages individuels et collectifs se concrétisent et que les gens constatent la valeur de leur propre contribution. Les responsabilités et la responsabilisation seront aussi précisées et améliorées.

Le processus commun de gestion du risque schématisé à l'annexe B peut être adopté ou adapté pour identifier, évaluer, surveiller et évaluer les principaux risques de haut niveau liés à la réalisation des objectifs de la haute direction et ceux qui pèsent sur tous les autres échelons de l'organisation, et pour y réagir. Le degré d'insistance sur les divers aspects du processus peut varier, tout comme la nature, la rigueur ou l'ampleur des mesures envisagées, mais les étapes de base sont semblables.

Fondements

La pratique de la gestion intégrée du risque fait appel à des consignes émanant de la direction (établissement des objectifs et résultats) et à l'évaluation ascendante du risque (classification et regroupement des risques).

La nature logique, sensée et intuitive du processus en garantit le déroulement sans incident, sous réserve d'un engagement soutenu des employés et de consignes de la haute direction. Par conséquent, l'organisation sera à même de pratiquer la gestion intégrée du risque lorsque la culture de l'organisation présentera les caractéristiques suivantes :

  • la gestion du risque est ciblée à l'échelle de l'organisation;
  • l'orientation de la gestion du risque a été communiquée à tous les échelons, et l'on a jeté les bases d'une philosophie de souci du risque;
  • la gestion du risque a été intégrée de façon homogène aux structures et aux processus décisionnels de l'organisation;
  • on dispose d'une capacité suffisante du fait d'avoir élaboré et fourni au personnel les consignes, les outils et la formation qu'exige la gestion intégrée du risque.

Comment faire

Les risques pour l'organisation étant connus et l'infrastructure ayant été définie et mobilisée, la pratique de la gestion intégrée du risque consiste surtout à :

  • mobiliser l'ensemble de l'organisation;
  • doter les gens d'outils et de techniques;
  • entretenir une culture et des processus habilitants;
  • consulter et à communiquer tout au long du processus.

Caractéristiques d'une saine gestion du risque

  • La gestion du risque remet constamment en question les hypothèses établies.
  • La gestion du risque exige une approche multidisciplinaire et s'alimente par pollinisation croisée; les frontières nuisent à la saine gestion du risque.
  • Il est essentiel d'offrir les bons incitatifs, pour encourager les pratiques et les comportements souhaités et décourager ceux qui ne le sont pas.

Mobiliser l'ensemble de l'organisation

Consignes émanant de la direction et évaluation ascendante—Prendre appui sur ce qui existe

La pratique de la gestion intégrée du risque exige d'abord des consignes émanant de la direction pour mettre en place l'approche de l'organisation; cela comprend la politique ou le cadre, les objectifs, les principes opérationnels, le vocabulaire commun et le processus approuvés par la haute direction. L'approche aura été adaptée dans ses grandes lignes en fonction des besoins de l'organisation, sur la base des principaux risques, des stratégies d'atténuation ainsi que des points forts et des lacunes de capacité indiqués dans le profil de risque de l'organisation. Le champion de la gestion du risque ou le groupe de spécialistes fournit maintenant des conseils de mise en oeuvre sur le moment et la façon d'instaurer et de pratiquer la gestion intégrée du risque, en plus d'en coordonner la mise en oeuvre.

Lorsqu'elle fonctionne bien et que sa pratique est à maturité, la gestion intégrée du risque est homogène. Aux fins de son lancement, il est utile d'envisager trois niveaux de pratique : organisationnel (à l'échelle de l'organisation, soit le niveau le plus élevé), par secteur d'activité (grands secteurs fonctionnels) et les autres secteurs (programmes, grands projets, activités et processus). Certaines approches qualifient ces niveaux de « stratégiques », de « gestion » et de « opérationnels » ou emploient d'autres qualificatifs en fonction de leur situation. Certaines organisations peuvent inclure d'autres niveaux ou catégories. Par exemple, elles peuvent établir une différence entre les programmes et les grands projets.

Quelle que soit la terminologie employée, les organisations trouvent utile d'adopter une perspective stratifiée pour décrire et exécuter la gestion intégrée du risque. À l'échelon le plus élevé de l'organisation, les résultats de la gestion du risque et les principaux risques de l'organisation sont regroupés dans le profil de risque de l'organisation pour alimenter la stratégie de cette dernière en vue de gérer le risque dans le but de réaliser ses objectifs. De façon générale, le profil de risque de l'organisation découle des profils de risque des secteurs d'activité élaborés à l'échelon hiérarchique inférieur de l'organisation, c'est-à-dire la direction et les unités fonctionnelles, qui relèvent habituellement d'un sous-ministre adjoint ou, dans les ministères et les organismes de moindre envergure, d'un directeur général ou d'un directeur exécutif. Le niveau opérationnel est l'échelon le moins élevé d'évaluation et de regroupement du risque. Les résultats obtenus ici alimentent les profils de risque des secteurs d'activité et de l'organisation. L'effectif du niveau organisationnel connaît le mieux ses activités et les risques qui s'y rattachent et sont à même de prendre toute mesure nécessaire. Il est donc essentiel d'obtenir leur participation pour avoir accès à leurs connaissances, développer chez ces employés un sentiment d'appartenance et faire en sorte qu'ils interviennent lorsque cela s'impose.

Utiliser un vocabulaire, un cadre et un processus communs

L'organisation doit promouvoir l'utilisation du vocabulaire, du cadre et du processus communs qu'elle a retenus pour créer la fonction de gestion intégrée du risque (voir l'élément 2 et l'annexe B). Elle doit donc employer de façon uniforme la terminologie du risque dans les documents traitant de sa politique et de la planification, ainsi que dans les rapports, sans oublier ceux destinés à la direction et aux fins de la mise en commun horizontale des résultats des unités fonctionnelles au chapitre de la gestion du risque. Il n'est pas nécessaire que les spécialistes renoncent à leurs terminologies professionnelles ou scientifiques propre au risque, mais ils doivent utiliser le vocabulaire commun de l'organisation pour présenter ou transmettre leurs résultats à l'ensemble de l'organisation afin que ces résultats soient pertinents et utiles pour l'ensemble des secteurs d'activité. Des communications et une compréhension améliorées ajoutent à la valeur du travail d'un service du point de vue des autres et font ressortir les liens ou le besoin, non constaté jusque là, d'en établir.

Le spécialiste de la gestion du risque ou le groupe de travail et les parrains du changement à l'échelle des unités fonctionnelles collaborent avec les gestionnaires ou conseillent ces derniers afin que le processus soit compatible avec les besoins particuliers des unités fonctionnelles.

Intégrer la gestion du risque aux pratiques à tous les échelons

Il faut veiller à ce que tous les échelons de l'organisation appliquent bel et bien les concepts de la gestion du risque à la prise de décisions et aux rapports pour renforcer les liens entre la charge de travail, l'affectation des ressources et le risque à l'échelle de l'organisation.

Le champion de la gestion du risque ou le groupe de spécialistes assure l'orientation et la coordination générales de l'intégration de la gestion du risque aux activités de planification et d'établissement des priorités de l'organisation. Il faut faire appel au comité de direction ou au groupe de travail pour obtenir commentaires et information.

Les champions de la gestion du risque ou les parrains du changement des unités fonctionnelles dirigent et facilitent la concordance à l'échelle de l'organisation et s'efforcent d'apporter les micro-changements importants suivants à l'ensemble des politiques, des procédures, des activités quotidiennes, des processus et des systèmes des unités fonctionnelles.

  • Tenir compte de la gestion du risque dans l'élaboration des politiques, des plans et des priorités de l'ensemble de l'organisation.
  • Encourager les gens à évaluer l'effet d'entraînement de leur travail.
  • Intégrer les plans et les résultats de la gestion intégrée du risque aux processus de planification et d'établissement des priorités de l'organisation.
  • Les unités fonctionnelles (directions et divisions) doivent intégrer la gestion du risque aux programmes et aux grandes initiatives.
  • Il faut définir le risque sous l'angle des rôles et des responsabilités des gestionnaires (p. ex., évaluer les risques avant la prise d'une décision importante et intégrer les évaluations du risque aux études de cas).
  • Intégrer l'évaluation du risque et la réponse à celui-ci aux plans d'entreprise des unités fonctionnelles à l'échelle de l'activité, de la division et de la région.
  • Utiliser les nouveaux mécanismes de responsabilisation, comme les cadres de vérification axés sur les risques et les cadres de gestion et de responsabilisation axés sur les résultats, pour aider à intégrer la gestion du risque à la planification.
  • Assurer la synergie entre la stratégie globale de gestion du risque du ministère et les pratiques de gestion du risque des unités fonctionnelles.

Les décideurs et les spécialistes ont des rôles distincts à jouer pour mettre en oeuvre la gestion intégrée du risque. Les décideurs doivent comprendre leurs responsabilités et privilégier l'analyse intégrée et les conseils. De leur côté, les spécialistes doivent comprendre les opérations et fournir une information et des analyses pertinentes et crédibles. Pour garantir la disponibilité en temps opportun de la bonne information aux fins d'une prise de décisions fondées sur la valeur et axées sur les résultats, cette information doit provenir de nombreuses sources, ce qui exige l'établissement d'un partenariat entre les spécialistes et les décideurs.

À l'instar de la fonction de contrôleur, la gestion du risque est un état d'esprit. Les gestionnaires doivent avoir conscience de la gestion du risque et l'intégrer à leurs autres pratiques de gestion. La gestion du risque sera plus pertinente si l'on évite les processus démesurément bureaucratiques et complexes. Les gestionnaires ont besoin de souplesse pour utiliser les techniques qu'ils jugent pertinentes et qui sont compatibles avec leurs activités. Toutefois, il faut pouvoir regrouper les techniques et comparer les résultats des unités opérationnelles à l'échelle de l'organisation.

Le diagramme qui suit représente une version de l'approche employée par Affaires indiennes et du Nord Canada. Il montre que la gestion du risque en général et l'application du processus décisionnel en particulier se pratiquent non en vase clos, mais dans le contexte d'activités opérationnelles continues à tous les niveaux de l'organisation, et que ces deux volets peuvent être complémentaires.

Image de cercles intégrés représentant différents facteurs de gestion des risques.
Du cercle le plus a l'intérieur au cercle extérieur les facteurs sont: personnels,
collectifs, organisationnels, et environnementaux.

Facteurs personnels : aspects de l'expérience, de la personnalité, des antécédents et des préférences personnelles qui influent sur la tolérance à l'égard du risque et la propension à gérer le risque.

Facteurs collectifs : façons dont l'entourage immédiat d'une personne peut influencer sa tolérance à l'égard du risque et sa volonté de gérer le risque.

Facteurs organisationnels : messages directs et indirects que l'organisation transmet à ses membres au sujet des règles de base relatives à la tolérance à l'égard du risque et à la gestion du risque en général.

Facteurs environnementaux : éléments extérieurs à l'organisation qui nourrissent un intérêt ou exercent une influence à l'égard d'une décision spécifique en matière de risque ou de la gestion du risque en général.

Gestion du savoir

  • Les connaissances fondamentales sont-elles acquises et reliées aux priorités stratégiques et aux principaux risques?
  • Est-il possible d'accéder en temps opportun aux « experts » pour mieux réutiliser l'information et créer des connaissances?
  • La technologie est-elle utilisée pour maximiser le cheminement et le « savoir-faire »?
  • Existe-t-il une culture de confiance qui appuie l'échange de connaissances avec les collaborateurs et les champions de haut rang?
  • La gestion des connaissances s'appuient-elles sur un environnement propice à l'apprentissage et à l'enseignement?

Dawn Nicholson-O'Brien, collaboratrice émérite pour la création du savoir et l'innovation, Centre canadien de gestion

Habiliter les gens

Il faut habiliter les gens à pratiquer la gestion du risque à l'échelle des unités fonctionnelles d'une manière qui alimente la gestion intégrée du risque à l'échelle de l'organisation et est alimentée par cette dernière.

Outils et techniques

L'organisation doit veiller à ce que tous les employés aient une formation adéquate, disposent d'outils éprouvés de gestion du risque et comprennent bien le vocabulaire commun de la gestion du risque pour faciliter les communications. La terminologie doit être à la fois claire et utile pour que les outils soient faciles à comprendre et à utiliser. Au nombre des principaux outils, citons les cartes du risque et les outils de modélisation.

Un modèle de gestion du risque (comme celui du CGIR figurant à l'annexe C) peut être utilisé pour évaluer où un risque donné se situe au plan de la probabilité (faible, moyenne ou élevée) et de l'incidence (importante, modérée ou mineure). Les résultats de l'évaluation du risque aident à cerner les risques les plus importants. Le modèle peut également servir à mesurer la tolérance à l'égard du risque, ou à en discuter, en établissant une zone définissant les risques acceptables et inacceptables. Enfin, le modèle peut servir à présenter une carte sommaire du risque indiquant la probabilité et l'incidence de chaque risque aux fins de comparaison ou de classification.

L'emploi d'une approche commune facilite le processus et appuie la comparabilité lorsque les résultats sont regroupés et considérés à l'échelle de l'organisation.

Les approches et les méthodes faciles à comprendre sont plus susceptibles d'être utilisées correctement. Songez à utiliser les outils existants ou ceux disponibles auprès d'associations professionnelles. Les employés les connaissent peut-être déjà ou les trouvent utiles dans d'autres contextes.

Entretenir une culture et des processus habilitants

Leadership actif de l'administrateur général, de l'équipe de direction et du champion de la gestion du risque

L'administrateur général, le champion de la gestion du risque et les gestionnaires supérieurs doivent appuyer constamment la gestion des principaux risques mentionnés dans le profil de risque de l'organisation et veiller à ce que ce profil demeure à jour. Ces chefs de file doivent encourager de façon visible la pratique de la gestion du risque et la mise en commun de l'information à l'échelle des secteurs d'activité et des unités fonctionnelles.

Cet appui de la haute direction doit englober la discussion de haut niveau des risques et des stratégies de l'organisation, de même que la surveillance de la planification stratégique et opérationnelle, ainsi que la reddition de comptes sur le rendement. La mesure dans laquelle les cadres supérieurs présentent les principes de gestion du risque donne le ton du maintien d'une culture de gestion intégrée du risque à l'échelle de l'organisation.

Les bons praticiens

  • tiennent compte des gens et de leurs comportements;
  • veillent à ce que les gens disposent des compétences et des caractéristiques nécessaires pour le travail et le projet; le fait de confier des tâches à des gens qui n'ont pas les compétences nécessaires entraîne une perte de temps, d'argent, d'effort et de réputation;
  • procèdent d'abord à petite échelle si nécessaire pour obtenir des succès au départ; la pratique se répandra lorsqu'on en constatera la valeur.

Consulter et communiquer

Informer les gens au sujet des pratiques de gestion du risque

Il faut élaborer et mettre en oeuvre une stratégie de communication, surveiller les résultats et apporter les ajustements nécessaires. Par exemple, le champion de la gestion du risque et les parrains locaux du changement doivent prévoir des boucles périodiques de rétroaction avec tous les services et dans tous les secteurs, et promouvoir des occasions de mettre en commun l'information sur la gestion du risque à l'échelle des secteurs et des fonctions. Il faut mettre au point des outils d'information (sites intranet, bulletins aux employés) pour mettre en commun les techniques, les outils et l'information sur la gestion du risque. Il faut encourager la tenue de tribunes ou d'ateliers sur la gestion du risque, en surveiller le nombre et déterminer si ces activités ont permis de cerner les risques, de proposer des stratégies d'atténuation et de discuter des pratiques exemplaires. Il faut mener des sondages périodiques pour déterminer si tous les membres du personnel sont informés des principaux risques, des procédures d'escalade du risque et des mesures d'urgence. A-t-on consulté les intervenants en temps opportun et de manière utile à l'égard de la gestion du risque, et les processus de consultation étaient-ils conformes à la Politique de communication du gouvernement du Canada?

Questions à considérer

  1. L'organisation a-t-elle adopté un processus commun de gestion du risque. Existe-t-il une compréhension générale du risque et de la gestion du risque dans l'organisme? Utilise-t-on un vocabulaire commun relatif à la gestion du risque?
  2. Comment les outils et méthodes de gestion du risque sont-ils appliqués à la prise de décisions? Quels outils de gestion du risque sont disponibles (p. ex., listes de vérification, cartes, questionnaires électroniques et pratiques exemplaires)? Ces outils font-ils appel aux consignes existantes, comme le Code de valeurs et d'éthique de la fonction publique de 2003? Sont-ils utilisés de manière efficace et uniforme? A-t-on recours à l'analyse de scénarios ou à des modèles de prévision pour comprendre divers scénarios liés à la planification des activités et aux mesures d'urgence?
  3. Les plans d'activités et opérationnels tiennent-ils tous compte du risque et renferment-ils tous des mesures visant à les atténuer, à optimiser les occasions, ou les deux? A-t-on mis en place des systèmes et des processus pour surveiller le risque et l'efficacité des stratégies d'atténuation du risque? La direction rend-t-elle compte des risques et des processus de gestion du risque?
  4. Existe-t-il des méthodes pour favoriser une communication régulière avec les intéressés, en ce qui concerne la perception du risque et la tolérance au risque?

Exemples

On trouvera à l'annexe D des échantillons de gabarits pour recenser, évaluer, consigner et communiquer l'information sur le risque. D'autres exemples sont disponibles sur le site Web du SCT, et cette liste sera étoffée en temps utile.