ARCHIVÉ - Gestion intégrée du risque - Guide de mise en oeuvre

Quoi

Ce que votre ministère ou organisme a déjà fait ou doit faire :

Comment

Il y a diverses façons d'y parvenir. Essayez ces techniques éprouvées.

La direction discute du niveau de préparation de l'organisation, des rôles et des approches pour obtenir l'engagement à apporter et à gérer les changements nécessaires. Les gestionnaires doivent être convaincus de la valeur de la gestion intégrée du risque.

• Informer et former la haute direction pour leur transmettre les renseignements pertinents et obtenir leur engagement par le biais de l'expertise interne ou en collaboration avec un praticien de l'extérieur, d'un chef de file de la mise en oeuvre ou un expert-conseil.
• Envisager le recours à des journées de réflexion pour la direction, à des colloques, à des ateliers et à des cours formels.
• Encourager l'examen du CGIR et des documents diffusés par le Bureau du conseil privé, le CCG et les ministères.
• Discuter au départ du niveau de préparation, des facteurs clés (autres initiatives et priorités de l'organisation, choix du champion de la gestion du risque, etc.).

L'administrateur général désigne un champion de la gestion du risque, doté des ressources appropriées, pour diriger l'élaboration et la mise en oeuvre d'un cadre de gestion intégrée du risque et d'une politique ou de consignes. Le rôle de champion de la gestion du risque reflète le besoin de centraliser la coordination et les conseils.

• La désignation d'un champion de la gestion du risque au niveau de l'administrateur général est le moyen le plus efficace; il est également courant et efficace de situer le champion au sein d'une fonction organisationnelle (à l'échelon de l'administrateur général adjoint) comme la planification stratégique et les activités ou les services ministériels.
• Investir dans le démarrage—le champion a ainsi les employés et les fonds nécessaires. Il faut des efforts pour atteindre un certain rythme, assurer la formation des gestionnaires et des spécialistes, et établir des outils et des processus de bonne qualité.
• Désigner un groupe de spécialistes pour fournir leur expertise et promouvoir une façon systématique d'intégrer la gestion du risque. Commencer par une source d'expertise existante (p. ex., les services ministériels) et migrer aux besoins (p. ex., vers la planification stratégique).
• Avec l'aide du champion, le groupe peut orienter et coordonner l'intégration avec la planification organisationnelle et l'établissement des priorités, de même que les processus communs servant à établir les priorités entre les principaux domaines de risque et affecter les ressources, ainsi qu'un processus d'examen de l'environnement à l'échelle de l'organisation.

L'administrateur général met sur pied et préside une tribune de gestion du risque, pour développer la volonté et la capacité nécessaires au changement, pour gérer le changement et pour tenir compte de façon soutenue des risques, des approches de mise en oeuvre, de la capacité et du rendement.

• Mettre sur pied une tribune distincte de haut niveau ou en utiliser une existante, comme le comité de direction du ministère.
• Faire preuve d'engagement personnel. Le comité de direction peut aider à aiguillonner le processus en prévoyant des activités et en prévoyant des rapports.
• Souligner que l'administrateur général et les cadres supérieurs doivent être disposés à prendre l'initiative en charge. Même si la coordination est centralisée, les responsabilités sont claires et réparties puisque les risques de l'organisation sont souvent gérés par secteur d'activité.
• Mettre sur pied un groupe de travail multifonctionnel représentatif afin de proposer des approches, des plans, des systèmes et des pratiques organisationnels et de fournir des conseils à cet égard.

Évaluer le niveau de préparation et les rôles de l'organisation pour préparer cette vaste initiative de changement qui nécessitera l'investissement de temps et de ressources à plus long terme.

• Utiliser les résultats de l'évaluation des capacités de la fonction de contrôleur, de même que la réponse et le plan de l'organisation à l'égard du risque.
• Poser des questions fondamentales : Comment la gestion intégrée du risque (GIR) nous aidera-t-elle à réaliser nos objectifs, comment pouvons nous garantir le succès, comment les employés réagiront-ils?
• Utiliser des outils de haut niveau pour évaluer le degré général de préparation : modèles de changement, processus organisationnels d'évaluation, schémas culturels et sondages, outils d'analyse de situation, groupes de discussion (voir la rubrique « Documents de référence » du présent guide).
• Emprunter et utiliser des pratiques de gestion du changement.
• Utiliser les leçons et les outils dont disposent déjà certains ministères et organismes (p. ex., l'outil de référence et de diagnostic de la GIR de Développement des ressources humaines Canada).
• Utiliser le comité ou le groupe de travail de la gestion du risque pour obtenir commentaires et information.
• Tenir des séances avec la direction et les autres intervenants en faisant appel à des animateurs externes.
• Consulter les sources et les conseillers externes.
• Utiliser les bibliothèques de référence (p. ex., celles du SCT et de la Risk and Insurance Management Society (RIMS)).

Élaborer et communiquer un plan d'action pour mettre en oeuvre la gestion intégrée des risques en fonction de l'évaluation du niveau de préparation et des rôles.

• Préparer un plan d'action (le SCT offre un gabarit).
• Prévoir une mise en oeuvre souple. La GIR progressera probablement par étapes; envisager des projets pilotes.
• Prévoir une stratégie pour passer des projets pilotes à l'intégration systématique pour aider à maintenir le cap de la mise en oeuvre sur une plus longue période.
• Utiliser l'outil d'autoévaluation du cadre de gestion du risque de l'organisation.
• Mettre sur pied des groupes consultatifs multifonctionnels.
• Cibler et appuyer les praticiens de la première heure, dont la participation et la démonstration des avantages concrets favorisera l'appui des autres équipes de gestion.
• Établir des partenariats avec d'autres intervenants, comme les promoteurs du changement (chefs de file des secteurs d'activité) pour que la GIR demeure une priorité et que les agents du changement modifient l'ensemble des politiques, des activités courantes, des systèmes et des processus.
• Intégrer la GIR aux plans de formation et d'apprentissage.
• Fournir des exemples et des points de référence provenant d'organisations externes semblables :
  • utiliser les bibliothèques de référence (SCT, CCG, Conference Board du Canada et RIMS);
  • consulter le plan d'examen des progrès du SCT pour prendre connaissance des indicateurs de progrès et des approches de suivi;
  • utiliser les outils d'autoévaluation (voir la rubrique « Documents de référence »).

En permanence : Consulter l'ensemble des employés, des intervenants et des clients, et communiquer avec eux.

• Mettre sur pied des groupes consultatifs multifonctionnels.
• Diffuser les travaux en cours et prévoir des mécanismes pour solliciter et saisir la rétroaction.
• Faire une utilisation efficace des systèmes existants d'information sur le rendement.
• Lancer la formation et l'apprentissage axés sur la GIR.

Quoi

Ce que votre ministère ou organisme a déjà fait ou doit faire :

Comment

Il y a diverses façons d'y parvenir. Essayez ces techniques éprouvées.

Planifier et préparer

Faire participer la haute direction à l'élaboration du profil de risque de l'organisation, de même qu'à la mise au point d'un processus.

• Informer et former la haute direction en matière de gestion intégrée du risque et solliciter leurs commentaires et leur appui à l'égard du processus choisi pour élaborer le profil de risque de l'organisation.
• Le processus doit inclure une classification élémentaire des risques et un système de cotation. Au nombre des catégories de risque possibles, citons la santé et la sécurité, la gestion financière et économique, les facteurs sociaux, l'environnement, les opérations, la confiance du public, les actifs, les projets, les engagements, la sécurité, la technologie de l'information, les ressources humaines et les facteurs politiques.
• Utiliser l'expertise interne pour élaborer un tel processus, ou le développer en collaboration avec un praticien ou un expert-conseil de l'extérieur.
• Étalonner le statut de l'organisation en matière de gestion du risque.
• Évaluer la pertinence d'autres approches pour l'organisation.

Utiliser une tribune ou un comité de la direction.

• Utiliser une tribune ou un comité de la direction pour guider l'élaboration du profil de risque de l'organisation.
• Envisager le recours à un groupe de travail pour appuyer ce comité.

Communiquer l'approche approuvée et les progrès.

• Diffuser un bulletin aux employés ou une note de service interne.
• Tenir une séance d'information de la direction.
• Tenir une assemblée générale de l'organisation.
• Organiser une journée de réflexion pour la direction.
• Solliciter des renseignements précis par le biais d'entrevues, de lettres d'appel, d'une tribune ouverte ou d'une séance dirigée.

Documenter les éléments clés du profil

Analyser l'environnement.

• Utiliser ce qui existe déjà.
• Valider les conclusions, les hypothèses et les perceptions auprès des gestionnaires clés et du comité de direction.

Analyse de l'environnement interne

• Examiner les résultats de l'évaluation des capacités de l'Initiative de modernisation de la fonction de contrôleur et le plan d'action correspondant.
• Examiner les documents de planification stratégique, les observations de vérification, et les recommandations.
• Examiner les rapports et l'information sur le rendement.
• Examiner le cadre stratégique.
• Consulter les groupes chargés de la planification intégrée, de la politique, de la vérification et de l'évaluation.
• Contacter les cadres et les gestionnaires clés des directions, des programmes, des secteurs d'activité et des fonctions.
• Envisager le recours à des entrevues, à des enquêtes, à des questionnaires, à des groupes de discussion et à des séances dirigées.
• Envisager la collecte de données sur les risques par programme, par secteur d'activité, par discipline ou par domaine fonctionnel, par emplacement géographique, par type de risque, par source de risque, ou selon une combinaison de ce qui précède ou d'autres catégories pertinentes.

Analyse de l'environnement externe

• Envisager un contrôle médiatique et l'emploi de sondages d'opinion.
• Mettre sur pied des groupes ou des conseils consultatifs.
• Solliciter l'avis de groupes de consommateurs (utilisateurs de programmes ou de services).
• Examiner le programme stratégique du gouvernement, y compris le discours du Trône.
• Comparer le statut de l'organisation à celui d'autres ministères.
• Examiner les résultats des enquêtes de Statistique Canada pour dégager les tendances.
• Consulter des groupes de réflexion, des associations, des groupes d'intérêts et des groupes de pression.

Envisager ce qui suit pour recueillir l'information souhaitée :

• Effectuer une analyse de l'environnement interne d'une fonction existante de l'organisation (p. ex., le groupe des communications ministériel).
• Avoir recours à un fournisseur de services externe pour effectuer le contrôle médiatique ou des recherches.
• Employer une enquête ou un questionnaire ciblé ou omnibus.
• Employer des babillards électroniques, des scénarios théoriques et des ateliers animés pour solliciter la réaction des intervenants.
• Mettre à l'essai auprès de groupes cibles et réaliser des projets pilotes pour cibler des marchés ou des régions géographiques.

Comprendre la tolérance à l'égard du risque.

Tenir compte de ce qui suit :

• Examiner le cadre stratégique (instruments directeurs, lois, règlements, etc.).
• Examiner les attentes et les résultats en matière de rendement.
• Déterminer dans quelle mesure les employés comprennent les risques pris par eux-mêmes, par leur équipe et par le ministère.
• Déterminer s'il y a consensus sur la notion de tolérance à l'égard du risque.
• Consulter les principaux intervenants pour mieux comprendre leur tolérance à l'égard du risque.

Évaluer la capacité actuelle en matière de gestion du risque.

• Recenser les outils et les techniques de gestion du risque en usage, et noter par qui.
• Déterminer le niveau d'expertise des ressources humaines en gestion du risque (connaissances et compétences actuelles).
• Évaluer l'infrastructure, c'est-à-dire la stabilité organisationnelle et la capacité des systèmes.

Élaborer la réponse à l'égard du risque.

• Analyser l'information recueillie (analyses de l'environnement, capacité de gérer le risque et tolérance des intervenants à l'égard du risque) et en soumettre un bilan à l'examen du comité de direction.
• Le comité de direction évalue le large éventail de risques auxquels l'organisation est confrontée quant à leur probabilité et à leur incidence sur la réalisation des objectifs de l'organisation.
• Le comité de direction choisit de 5 à 10 principaux risques de haut niveau qui doivent être gérés à l'échelle de l'organisation.
• Le comité de direction classifie ces risques et détermine les étapes que l'organisation doit suivre pour les gérer.
• Chercher à mobiliser les intervenants clés pour obtenir leur appui à l'égard des étapes prévues.

Présenter le profil de risque de l'organisation.

• Intégrer l'information organisationnelle et connexe sur les principaux risques dans les documents ministériels (plans stratégiques, rapports sur le rendement, etc.);
• Élaborer un document distinct pour énumérer les principaux risques auxquels est confrontée l'organisation et présenter l'information connexe et les mesures d'atténuation.

Quoi

Ce que votre ministère ou organisme a déjà fait ou doit faire :

Comment

Il y a diverses façons d'y parvenir. Essayez ces techniques éprouvées.

Cibler la gestion du risque à l'échelle de l'organisation en utilisant les structures en place ou en en créant de nouvelles.

• Situer la gestion intégrée du risque comme relevant d'une tribune de haut niveau présidée par l'administrateur général.
• Prévoir un investissement initial de ressources à des fins de mobilisation.
• Désigner un champion de la gestion du risque à l'échelle de l'organisation et lui fournir un soutien adéquat, c'est-à-dire du temps d'accès à la direction et des ressources spécialisées.
• Assortir la gestion intégrée du risque d'un point de mire approprié au sein de l'organisation à partir duquel on pourra établir des liens naturels avec les domaines fonctionnels.

Communiquer l'orientation de la direction à l'égard de la gestion du risque à tous les niveaux de l'organisation pour forger une culture organisationnelle soucieuse du risque.

• Le champion de la gestion du risque de l'organisation dirige l'élaboration d'une politique ou d'un cadre de gestion intégrée du risque au moyen de l'expertise interne ou avec l'aide d'un expert-conseil; il faut montrer comment la gestion intégrée du risque rejoint et appuie les objectifs de l'organisation.
• Des consignes écrites (un cadre, une politique ou des principes opérationnels) sont communiquées à l'échelle de l'organisation et aident les divers services à intégrer la gestion du risque aux activités courantes, ce qui lui confère une valeur et de la pertinence aux yeux de tous les employés.
• Recenser et encadrer les rôles et les responsabilités, les cibles de programme, les facteurs critiques de réussite, les mesures du rendement, de même que les sources et les types de risque.
• Utiliser un réseau de champions de la gestion du risque au niveau fonctionnel pour obtenir commentaires et information, et servir d'intermédiaire pour communiquer les messages de l'organisation au sujet du risque.

Intégrer la gestion du risque aux structures décisionnelles existantes de façon homogène.

• Établir un vocabulaire commun à propos du risque (notamment ce que l'on entend par le risque, la gestion du risque et la gestion du risque juridique) et utiliser ce vocabulaire de façon uniforme dans les consignes et les documents de l'organisation.
• Établir un processus commun de gestion du risque.
• L'un des buts du processus est de faire de la gestion du risque un volet intégral des pratiques administratives afin que les employés ne la considèrent pas comme une source de travail additionnel.
• Concilier l'approche avec la planification organisationnelle. Le champion de la gestion du risque ou le groupe de spécialistes encadre et coordonne l'intégration avec la planification organisationnelle et l'établissement des priorités, la définition de processus communs pour établir les priorités, répartir les ressources entre les principaux domaines de risque et diriger l'analyse de l'environnement à l'échelle de l'organisation.
• Utiliser le groupe de travail multifonctionnel représentatif pour proposer des approches, des plans, des systèmes et des pratiques, y compris l'affectation des ressources, à l'échelle de l'organisation, et pour fournir des conseils à cet égard.

Développer la capacité de l'organisation : recenser les capacités, les processus et les pratiques de gestion du risque qu'il faut développer et renforcer en prenant appui sur la capacité existante et en l'adaptant au besoin.

• Développer la sensibilisation aux initiatives et à la culture de gestion du risque; étendre la gamme de compétences au moyen d'une formation structurée; développer les connaissances par la mise en commun des pratiques exemplaires et des expériences; développer la capacité de travailler en équipe.
• Développer, adapter et adopter des outils, des techniques, des pratiques et des processus de gestion du risque à l'échelle de l'organisation; fournir des consignes sur l'utilisation des outils et des techniques; permettre l'élaboration et l'utilisation d'autres outils et techniques qui pourraient être mieux adaptés à la gestion du risque dans des situations particulières; et adopter des processus pour assurer l'intégration de la gestion du risque à l'échelle de l'organisation.

Quoi

Ce que votre ministère ou organisme a déjà fait ou doit faire :

Comment

Il y a diverses façons d'y parvenir. Essayez ces techniques éprouvées.

Mobiliser l'ensemble de l'organisation en intégrant pleinement la gestion intégrée du risque aux objectifs de l'ensemble des politiques, des plans et des opérations, et en intégrant les résultats de la gestion du risque aux pratiques à tous les échelons.

À partir du profil de risque de l'organisation et des consignes données lors de la création de la fonction de gestion intégrée du risque :

• Le champion de la gestion du risque ou le groupe de spécialistes encadre et coordonne l'intégration avec la planification organisationnelle, l'établissement des priorités et l'élaboration de processus communs pour établir les priorités et répartir les ressources pour répondre aux risques et élaborer un processus d'analyse de l'environnement à l'échelle de l'organisation.
• Assurer la compatibilité avec les objectifs à tous les niveaux afin que les gens puissent constater les avantages individuels et collectifs, de même que leur contribution; cela permet aussi de préciser et d'améliorer la responsabilisation.
• La concordance est assurée ou facilitée par les champions ou les parrains du changement des unités fonctionnelles qui veillent à apporter les micro-changements à l'ensemble des politiques, des procédures des unités fonctionnelles, des activités courantes, des processus et des systèmes.
• Utiliser le comité ou le groupe de travail de la gestion du risque pour obtenir commentaires et information.

Doter les gens de processus, d'outils et de techniques en mettant à leur disposition des ressources et des outils efficaces et éprouvés.

• Utiliser un processus commun de gestion du risque pour cerner, évaluer, surveiller et évaluer les risques, et pour y réagir.
• Encourager les gens à évaluer l'effet d'entraînement de leur travail.
• Utiliser un vocabulaire commun de la gestion du risque pour faciliter les communications.
• Fournir des outils de formation pour améliorer les connaissances sur la gestion du risque, y compris les processus communs et spéciaux de gestion du risque comme le contrôle et l'autoévaluation du risque.

Maintenir une culture habilitante et développer des processus qui favorisent la participation, la confiance et une intervention rapide à l'égard des diverses questions.

• L'administrateur général, le champion de la gestion du risque et les cadres supérieurs exercent un leadership actif; par exemple, l'administrateur général et le SMA, ou les responsables des secteurs d'activité, discutent en tête à tête des principaux risques; l'ensemble des membres de la direction discutent des profils de risque de l'organisation et des secteurs d'activité; les cadres supérieurs manifestent clairement leur engagement et leur appui en consacrant du temps à cette question lors des réunions de planification et d'examen des opérations.
• Utiliser le groupe de travail multifonctionnel représentatif pour proposer des approches, des plans, des systèmes et des pratiques à l'échelle de l'organisation, et fournir des conseils à cet égard.
• Tenir à jour le profil de risque de l'organisation.
• Faire état du rendement (p. ex., en regard des attentes en matière de gestion du risque dans le texte des principaux indicateurs du rendement, des ententes des employés sur le rendement et des descriptions de travail).
• Documenter les risques, les processus, les décisions, les plans, les mesures et les résultats.

Consulter les intervenants internes et externes et communiquer avec eux tout au long du processus.

• Utiliser le réseau intranet de l'organisation pour promouvoir la sensibilisation au risque et les outils pertinents, et pour obtenir et mettre en commun l'information sur le risque (p. ex., sur le risque dans certains domaines).
• Adresser des messages précis sur le risque aux auditoires cibles; tenir compte du « Cela me donne quoi? » à l'égard de chaque personne et de chaque groupe.
• Comprendre et expliquer de manière efficace au public que le risque, qu'il soit perçu comme étant bon, mauvais ou neutre, est un élément inhérent et que le gouvernement doit gérer le risque pour obtenir un résultat net.
• Utiliser les rapports de l'organisation pour diffuser les messages sur le risque, par exemple, la façon dont le risque est géré.
• Se conformer à la Politique des communications du gouvernement du Canada.

Quoi

Ce que votre ministère ou organisme a déjà fait ou doit faire :

Comment

Il y a diverses façons d'y parvenir. Essayez ces techniques éprouvées.

Créer un milieu de travail habilitant.

• Faire la preuve de l'engagement et de l'appui de la direction à l'égard de l'apprentissage en reliant ce dernier aux priorités de l'organisation en matière de gestion du risque.
• Valoriser les connaissances, les idées nouvelles, les nouvelles relations et l'expérimentation.
• Souligner les réussites et les contributions d'envergure.
• Développer, utiliser, obtenir et améliorer les outils de gestion du risque.

Développer la capacité.

• Intégrer la gestion du risque aux plans formels de formation individuels et collectifs.
• Le cas échéant, intégrer une philosophie de gestion du risque aux programmes de formation existants.
• Mobiliser et exploiter les possibilités d'apprentissage externes.
• Élaborer des cours pour cibler les approches et les priorités du ministère.

Tirer des leçons de l'expérience.

• Mettre au point un processus efficace pour documenter et mettre en commun les leçons apprises à l'interne et à l'échelle de l'administration fédérale.
• Examiner les décisions, les événements et les mesures que l'on ne parvient pas à transformer en des occasions d'apprentissage.
• Évaluer les résultats des décisions de gestion du risque pour en déterminer l'efficacité (prendra-t-on la même mesure à l'avenir dans des circonstances similaires?)