ARCHIVÉ - Gestion intégrée du risque - Guide de mise en oeuvre

Cette page a été archivée.

Gestion intégrée du risque - Guide de mise en oeuvre

 

Table des matières

Introduction

Objet du présent guide

Démarrage—Obtenir et maintenir l'appui de la haute direction

1. Élaborer le profil de risque de l'organisation

2. Créer une fonction de gestion intégrée du risque—Intégrer la gestion du risque aux processus décisionnels et aux rapports existants

3. Pratiquer la gestion intégrée du risque

4. Assurer l'apprentissage continu en matière de gestion du risque

Élaborer et mettre en oeuvre la gestion intégrée du risque : un aperçu

Résumé du quoi et du comment pour la mise en mise en oeuvre de chaque élément du Cadre de gestion intégrée du risque

Documents de référence

Annexe A

Annexe B

Annexe C

Annexe D

Annexe E

Annexe F

 

Introduction

Le présent guide accompagne le Cadre de gestion intégrée du risque (CGIR) publié par le gouvernement du Canada en avril 2001. Il est conçu pour être utilisé avec le CGIR pour instaurer la gestion intégrée du risque au sein d'une entité fédérale.

Le CGIR appuie le programme gouvernemental de modernisation des pratiques de gestion et de soutien de l'innovation, grâce à la prise en charge plus responsable des risques. Le CGIR reprend les principes et les pratiques qui concrétisent la vision énoncée dans le Rapport du groupe de travail indépendant chargé de la modernisation de la fonction de contrôleur dans l'administration fédérale du Canada de 1997 ainsi que les engagements pris dans Des résultats pour les Canadiens et les Canadiennes : Un cadre de gestion pour le gouvernement du Canada, un rapport publié par le Secrétariat du Conseil du Trésor (SCT) du Canada en 2000.

Le Groupe de travail indépendant a mis en lumière une nouvelle philosophie pour la fonction de contrôleur. Cette philosophie s'accompagne d'un engagement ferme à l'égard de quatre éléments clés : les rapports (financiers et non financiers) sur le rendement, une saine gestion des risques, la mise en place d'un système approprié de contrôle et de rapports, de même que les valeurs et l'éthique. La vision de la fonction moderne de contrôleur repose sur le fait que les décisions prises à tous les niveaux de la direction doivent intégrer la gestion du risque, l'information financière et non financière sur le rendement, des contrôles appropriés et des valeurs.

D'après le rapport du Groupe de travail indépendant, il faut, en ce qui concerne la gestion du risque :

• sensibiliser les employés aux risques - ils doivent non seulement identifier les risques mais aussi les gérer;
• allier des approches décisionnelles plus créatives et davantage axées sur les clients avec une bonne gestion du risque;
• créer un environnement où la prise de risques et les conséquences connexes sont traitées dans un cadre réfléchi de délégation, de récompenses et de sanctions.

L'importance de renforcer la gestion du risque a été soulignée dans Des résultats pour les Canadiens et les Canadiennes, où l'on a promis l'élaboration d'un cadre de gestion intégrée du risque. Une approche intégrée à l'égard de la gestion du risque appuie les quatre engagements de gestion formulés dans le rapport (accent sur les citoyens, valeurs, résultats et dépenses judicieuses) en favorisant une approche plus intégrée et systématique à l'égard de la gestion du risque, en appliquant de saines pratiques de gestion du risque et en instaurant une culture opérationnelle qui insiste sur l'apprentissage, l'innovation, la prise de risques de façon responsable et l'amélioration continue.

En juin 2003, le SCT a publié le Cadre de responsabilisation de gestion (CRG), qui maintient l'accent sur la gestion intégrée du risque. L'un des principaux résultats escomptés du CRG est que l'équipe de direction définisse clairement le contexte de l'organisation et les pratiques de gestion proactive des risques organisationnels et stratégiques dans la poursuite de l'excellence en gestion. Le CRG présente des indicateurs et des mesures de gestion du risque, de même que les autres attentes à l'égard d'une gestion moderne de la fonction publique.

Le présent guide reconnaît que les gestionnaires ont de nombreux rôles et responsabilités. L'on s'attend à ce que ces derniers obtiennent des résultats précis, tout en tenant compte de nombreuses exigences divergentes. Le CGIR et le présent guide aident les gestionnaires en insistant sur les résultats et l'établissement des priorités tout en faisant la promotion d'approches et d'outils qui prennent appui sur les systèmes et les pratiques de gestion déjà en place. En fait, l'un des principaux objectifs de la gestion intégrée du risque est d'améliorer les résultats en permettant la prise de décisions stratégiques et opérationnelles plus éclairées qui contribuent à la réalisation des objectifs globaux de l'organisation.

Aperçu du Cadre de gestion intégrée du risque

Le CGIR établit une démarche pour intégrer la gestion du risque aux processus décisionnels d'une organisation afin de gérer le risque de façon globale, tout en permettant aux ministères et aux organismes d'élaborer leurs propres approches à l'intérieur de paramètres communs.

La présente section donne un aperçu des concepts, du but et des résultats escomptés du CGIR, de sorte que le lecteur disposera d'une connaissance de base des concepts sous-jacents de la gestion du risque et des liens entre les quatre éléments du CGIR. Les néophytes sont invités à lire le Cadre de gestion intégrée du risque qui est disponible sur la page de la gestion du risque du site Web du SCT, à l'adresse suiavnte : /rm-gr/site/default.aspx. Les praticiens et les champions du risque, qui connaissent déjà le CGIR, peuvent passer directement aux sections traitant de la mise en oeuvre de ses quatre éléments.

Le CGIR repose sur trois concepts névralgiques : le risque, la gestion du risque et la gestion intégrée du risque. Le CGIR a adopté les descriptions qui suivent, lesquelles ont été élaborées à l'intention de la fonction publique du Canada dans le contexte du CGIR et qui sont expliquées de façon plus détaillée dans le Cadre de gestion intégrée du risque :

Le CGIR établit des lignes directrices concernant l'utilisation d'une approche plus globale en matière de gestion du risque et met l'accent sur quatre éléments connexes : élaborer le profil de risque de l'organisation; créer une fonction de gestion intégrée du risque; pratiquer la gestion intégrée du risque; et assurer l'apprentissage continu en matière de gestion du risque. On trouvera des précisions à cet égard dans le CGIR et ailleurs dans le présent guide.

Les résultats escomptés des quatre éléments sont résumés ci-dessous :

Élément 1 : Élaborer le profil de risque de l'organisation

Élément 2 : Créer une fonction de gestion intégrée du risque—Intégrer la gestion du risque aux processus décisionnels et aux rapports existants

Élément 3 : Pratiquer une gestion intégrée du risque

Élément 4 : Assurer l'apprentissage continu en matière de gestion du risque

Objet du présent guide

Le présent guide fournit des conseils concrets à ceux qui dirigent et facilitent la mise en oeuvre de la gestion intégrée du risque au sein de leur organisation. Il contribuera également à relever le niveau de compréhension et de collaboration au besoin. Les champions de la gestion du risque, qui connaissent bien le CGIR, peuvent consulter le guide pour connaître les prochaines étapes. Ce guide est également un document de référence permettant d'évaluer les progrès et de cerner les lacunes des organisations qui appliquent déjà la gestion intégrée du risque.

Le présent guide cible la gestion intégrée du risque, et non la gestion du risque. Il existe sur les divers aspects de la gestion du risque (projet, finances, santé et sécurité, etc.) une documentation beaucoup plus volumineuse que ce qui pourrait être résumé de façon utile dans le présent guide. La section du présent document sur l'élément 3 porte donc, comme son titre l'indique, sur le fait de « pratiquer une gestion intégrée du risque ». Pour se documenter sur la gestion du risque dans des circonstances particulières, le lecteur est invité à consulter d'autres sources (voir les annexes, les documents de référence et le site Web du SCT).

Le présent guide s'appuie sur les leçons apprises par les chefs de file de la mise en oeuvre, et plus particulièrement par les membres du Conseil de mise en oeuvre du CGIR¹. L'expérience du gouvernement fédéral et de la communauté internationale se rattache surtout aux éléments 1 (Élaborer le profil de risque de l'organisation) et 2 (Créer une fonction de gestion intégrée du risque—Intégrer la gestion du risque aux processus décisionnels et aux rapports existants). On dispose de moins d'information et d'expérience pratique au sujet des éléments 3 et 4, c'est-à-dire la pratique d'une gestion intégrée du risque et l'apprentissage continu en matière de gestion du risque. À mesure que la pratique de la gestion intégrée du risque viendra à maturité et qu'un éventail de plus en plus large d'organisations acquerront de l'expérience en la matière, on disposera d'un plus grand nombre d'exemples permettant de tirer des leçons.

Structure et présentation

À la suite de l'introduction et de trucs de démarrage, le présent guide se divise en quatre sections correspondant aux éléments du CGIR :

1. élaborer le profil de risque de l'organisation;
2. créer une fonction de gestion intégrée du risque - Intégrer la gestion du risque aux processus décisionnels et aux rapports existants;
3. pratiquer une gestion intégrée du risque;
4. assurer l'apprentissage continu en matière de gestion du risque.

Pour en faciliter la consultation, ces sections englobent des sous-sections communes, lesquelles renferment des conseils et des exemples pratiques :

Certains documents de référence sont énumérés à la fin du présent guide. On trouvera également le texte du CGIR et d'autres ressources sur la page du site Web du SCT traitant de la gestion du risque, à l'adresse /rm-gr/site/default.aspx.

On trouvera également à la fin du présent guide un tableau résumant les étapes de mise en oeuvre de la gestion intégrée du risque au sein d'une organisation. Ce tableau décrit les exigences et les décisions clés des étapes critiques du processus. Viennent ensuite des résumés de la marche à suivre pour établir chaque élément du CGIR, c'est-à-dire des pratiques et des techniques en fonction de ce que les organisations ont fait ou doivent faire pour élaborer et mettre en oeuvre l'élément en question.

Démarrage—Obtenir et maintenir l'appui de la haute direction

Il s'agit ici de développer la volonté et la capacité nécessaires au changement, de diriger l'initiative et de gérer le changement.

Gérer l'initiative—Principaux facteurs de réussite

La mise en oeuvre d'une approche intégrée de la gestion du risque exige un effort soutenu. La présente section traite des facteurs clés dont doivent tenir compte les champions de la gestion du risque des ministères et organismes, les cadres supérieurs et les autres intervenants pour planifier cette mise en oeuvre. Que le processus soit amorcé depuis un certain temps ou qu'il débute à peine, la manière d'aborder ces facteurs et la façon dont on établit et corrige le cap ont une incidence marquée sur la rapidité et le succès de la mise en oeuvre.

Il faut reconnaître dès le départ que l'organisation amorce un changement culturel important en passant d'une approche verticale à une autre plus horizontale. Le niveau de préparation, c'est-à-dire l'étape où l'organisation est rendue et sa capacité de changement, affecte la rapidité et la profondeur de ses progrès. Il faut emprunter et utiliser les leçons et les pratiques de la gestion du changement pour développer la volonté et la capacité nécessaires au changement.

Étudions, par exemple, les concepts et les stratégies énoncés dans Changer la culture de gestion : Modèles et stratégies pour la réalisation, publié par le SCT en mars 2003. Ce document met l'accent sur la modernisation de la fonction de contrôleur, mais son approche est générale et vaut pour tout effort de changement de la culture de gestion à l'appui de la modernisation et du regain d'excellence dans la fonction publique. En outre, le rapport du Conference Board du Canada de 2001, intitulé Integrating Risk Management Through a Change Management Process, montre comment les initiatives de changement franchissent une série d'étapes. Il décrit comment la gestion du changement peut nettement favoriser l'élaboration, la mise en oeuvre et le maintien d'un programme de gestion intégrée du risque adapté à l'organisation.

Il faut aussi reconnaître qu'il y aura des coûts d'amorce (temps, énergie, formation, systèmes et communications) jusqu'à ce que la pratique de cette approche fasse partie intégrante des processus administratifs et de planification du ministère.

Sensibiliser davantage la haute direction et discuter du niveau de préparation et des rôles de l'organisation

Amorcer le dialogue sur le risque

Au départ, la haute direction doit s'entendre sur ce qu'est la gestion intégrée du risque et sur ce qu'elle signifie précisément pour l'organisation. De nombreux ministères et organismes ont amorcé ou terminé l'évaluation des capacités de la fonction de contrôleur², et la mise en oeuvre de la gestion intégrée du risque fait sans doute partie intégrante de la réponse ou du plan d'action de l'organisation visant à promouvoir le programme de gestion moderne. Puisque la gestion intégrée du risque doit faire partie d'un processus décisionnel existant, il importe d'examiner dès le départ comment en assurer la concordance avec les autres initiatives et priorités de l'organisation. Les discussions initiales tiendront également compte de facteurs comme le niveau de préparation de l'organisation, la capacité de changement, le rôle de la haute direction, y compris celui du champion de la gestion intégrée du risque, ainsi que de l'emplacement, du soutien et des ressources de ce dernier.

Compréhension et appui de la haute direction

L'administrateur général et la haute direction donnent le ton. La participation des cadres supérieurs signale l'engagement de l'organisation, et leur appui soutenu est déterminant pour la mise en oeuvre. Ils doivent comprendre la gestion intégrée du risque et sa contribution potentielle à la réalisation des objectifs de l'organisation. Les cadres attentifs aux risques comprennent les principaux risques encourus par l'organisation et la façon dont ils sont gérés à l'échelle de cette dernière et de leur secteur de responsabilité. Ils comprennent en outre l'interdépendance et les liens entre les différents types de risque, la source et le niveau de contrôle du risque, de même que les occasions d'innover à l'intérieur des limites d'une prise de risque responsable.

Il serait bon que les cadres supérieurs connaissent la teneur du CGIR, de même que les rapports et les consignes sur la gestion du risque élaborés par le Bureau du Conseil privé et le Centre canadien de gestion (CCG). On peut également davantage les sensibiliser au risque au moyen de séances d'information, de colloques, de retraites et de cours formels comme ceux offerts par le CCG.

Pour obtenir des renseignements sur lesquels fonder les séances d'information des membres de la direction, les fonctionnaires du ministère voudront sans doute consulter le Centre d'expertise sur la gestion du risque du SCT à propos des concepts énoncés dans le CGIR, la philosophie de la gestion intégrée du risque et l'état d'avancement de sa mise en oeuvre à l'échelle du gouvernement. Il importe également de s'adresser à d'autres ministères et organismes ou de consulter des sources externes dont les intérêts ou le cadre opérationnel sont semblables.

Désigner un champion de la gestion du risque

Leadership de la direction—Cerner les rôles clés. Un leadership solide est essentiel. L'administrateur général et le champion de la gestion du risque de la haute direction doivent obtenir l'appui de l'ensemble des cadres, qui légitimeront et sanctionneront la mise en oeuvre de la gestion intégrée du risque par leurs paroles et leurs gestes. Cela peut se faire de maintes façons à mesure de la mise en oeuvre de la gestion intégrée du risque de l'organisation.

Le champion choisi doit être un partisan enthousiaste et compétent de la gestion intégrée du risque. Il doit être en mesure de démontrer comment la gestion intégrée du risque aidera la direction à réaliser les objectifs de l'organisation à court terme et à mieux positionner l'organisation en prévision de l'avenir, et comment diffuser ces avantages à grande échelle. Il lui faut tenir compte du niveau actuel de sensibilisation de la direction et de son engagement à l'égard de la gestion intégrée du risque, ainsi que du rôle que les cadres supérieurs joueront pour la concrétiser en dirigeant, en appuyant et en faisant connaître les progrès.

L'option la plus efficace consiste sans doute à confier la mise en oeuvre de la gestion intégrée du risque à l'administrateur général, mais il est aussi fréquent de s'adresser à l'administrateur général adjoint du service de la planification stratégique ou opérationnelle, par exemple, ou de la direction des services ministériels. Le champion de la gestion du risque n'est pas une figure de proue. La mise en oeuvre de la gestion intégrée du risque signifie un changement important pour l'organisation et requiert du champion de faire preuve de leadership pour montrer la valeur du changement et susciter l'enthousiasme et l'engagement à l'égard d'une vision commune.

Il faut du temps et des efforts pour parvenir à un certain rythme, former les gestionnaires et les spécialistes et mettre au point des outils et des processus de qualité. On peut envisager, dans un premier temps, d'investir pour doter le champion de ressources appropriées comme l'accès à la direction, des ressources humaines et des fonds. Par exemple, on peut former un groupe de spécialistes pour fournir de l'expertise et promouvoir une approche systématique à la gestion intégrée du risque. Il peut s'agir d'un groupe d'experts (p. ex., le service des finances ou de la vérification interne) et migrer au besoin (p. ex., vers la planification stratégique). Le groupe peut orienter et coordonner l'intégration de la gestion du risque à la planification et l'établissement des priorités de l'organisation, en plus de fournir des consignes sur des processus communs visant à établir les priorités de secteurs nettement à risque, d'attribuer les ressources et d'évaluer le contexte opérationnel de l'organisation. Les organisations privées d'une source interne d'expertise sur la gestion intégrée du risque collaborent souvent avec un expert-conseil ou un praticien de l'extérieur.

Créer ou utiliser une tribune de haut niveau présidée par l'administrateur général

Une tribune de haut niveau, nouvelle ou existante, présidée par l'administrateur général, peut diriger et soutenir la gestion intégrée du risque en tenant compte des facteurs de risque, des approches et du rendement de l'ensemble de l'organisation. Pour ce faire, les organisations font de la gestion intégrée du risque un point permanent à l'ordre du jour du comité existant présidé par l'administrateur général ou en faisant du comité de direction un comité ministériel de gestion du risque. Les premiers échanges permettent de faire le point sur la culture et les connaissances de la haute direction en matière de risque, et donnent l'occasion au champion de la gestion du risque de cerner où des alliances peuvent être conclues et où il faut déployer des efforts supplémentaires pour s'entendre sur les modalités, les buts et les objectifs. À mesure que les pratiques de l'organisation viendront à maturité, les discussions porteront sur la stratégie de mise en oeuvre et son déroulement compte tenu des éléments nettement à risque de l'organisation. Le comité de vérification ministériel, de par son mandat primaire de surveillance, effectuerait également un examen des stratégies et pratiques ministérielles de gestion du risque.

Pour appuyer le processus décisionnel et le rôle consultatif de la haute direction, les grands ministères créent ou utilisent habituellement un groupe de travail ministériel (au niveau de directeur général, de directeur ou d'agent supérieur) pour fournir des propositions et des conseils sur les approches ministérielles, les plans de mise en oeuvre, les systèmes et les pratiques. C'est une occasion d'accroître le niveau de sensibilisation au sein de l'organisation et de communiquer l'importance de la pratique, tout en améliorant les liens horizontaux, en renforçant l'esprit d'équipe et en développant un sentiment collectif d'appartenance.

Évaluer le niveau de préparation et les rôles de l'organisation

Les approches utilisées pour la mise en oeuvre doivent reconnaître que le souci du risque imposera des exigences à un effectif qui oeuvre déjà dans un contexte caractérisé par le changement. Il est essentiel d'évaluer le niveau de préparation pour que la gestion intégrée du risque soit compatible avec les initiatives de gestion déjà en marche et prenne appui sur les systèmes et les processus en place. Cette étape contribuera également à une meilleure gestion de l'inconfort des gens face au changement et peut les aider à aller au-delà de la simple conformité et à adopter l'objetif sous-jacent (on trouvera d'autres consignes sur les rôles à l'annexe A). On trouvera ci-après quelques indicateurs utiles à l'évaluation du niveau de préparation.

Évaluation des capacités pour l'Initiative de modernisation de la fonction de contrôleur. Cette évaluation des capacités fournit des résultats utiles couvrant une gamme d'initiatives de gestion complémentaires. On peut utiliser les résultats pour relier la gestion intégrée du risque aux initiatives de modernisation de la fonction de contrôleur déjà en cours. Les résultats de l'évaluation, combinés à d'autres rapports de gestion et données sur le rendement, devraient servir à identifier les priorités d'amélioration des ministères et à élaborer des plans d'action pour y donner suite. Les priorités dépendront des circonstances de chaque ministère, des secteurs d'activité, des besoins des clients et d'autres considérations.

L'effectif et la culture organisationnelle. Pour évaluer le niveau de préparation, plusieurs éléments peuvent servir de points de départ. Ces derniers sont examinés de façon plus poussée à mesure que la mise en oeuvre progresse. Ainsi, les organisations peuvent tenir compte de la culture organisationnelle existante et la façon dont cette culture doit changer. Il faut considérer la réaction des employés et la façon dont l'organisation les aidera à réussir malgré leur inconfort face au changement. Cet état de chose dépend notamment de la mesure où la gestion du risque fait déjà partie de la planification stratégique ou opérationnelle et des opérations, par exemple si les plans actuels précisent les sources de risque, ainsi que de la définition et de la connaissance des risques stratégiques, opérationnels et financiers importants. Il dépend aussi de la sensibilisation du personnel aux risques et de sa capacité de les gérer, de même que de l'existence de systèmes et de protocoles leur permettant de réagir aux menaces potentielles, aux possibilités ou aux événements à risque.

Connaissances et systèmes existants. Pour évaluer le niveau de préparation, il faut tenir compte de la possibilité d'utiliser les comités, les systèmes et les processus existants (comités de direction et opérationnels, et processus de planification et de rapports). Certaines organisations utilisent déjà, en totalité ou en partie, un vocabulaire et un cadre communs de gestion du risque. Si c'est le cas, il faut prendre appui sur leur compréhension du risque et de sa gestion. Il peut être utile de transférer cette connaissance et ces compétences. Faites passer le test à la culture et au système en place : les politiques et les conseils aux ministres tiennent-ils compte de la gestion du risque? Refuse-t-on d'approuver les plans s'ils n'abordent pas la gestion du risque?

Élaborer et communiquer un plan d'action

Il faut élaborer et communiquer un plan d'action pour mettre en oeuvre la gestion intégrée du risque. Le plan doit inclure le contexte opérationnel, l'approche, les priorités, les résultats souhaités, les mesures de rendement, les activités, les responsabilités et les échéanciers. La démarche de mise en oeuvre doit convenir à la culture de l'organisation et s'appuyer sur une évaluation du niveau de préparation et des rôles de l'organisation, à laquelle s'ajoutent les conseils de l'équipe de direction.

Le champion de la gestion du risque dirige la préparation du plan d'action du ministère ou de l'organisme. Puisque la mise en oeuvre se déroule par étapes dans un effort ciblé, chaque étape engendrant une quantité appréciable d'information et nécessitant d'importantes décisions, le plan doit être mis à jour et des détails ajoutés au fil des progrès réalisés.

En collaboration avec le Conseil de mise en oeuvre du CGIR, le SCT a établi le Modèle pour l'élaboration des plans d'action pour la mise en oeuvre du Cadre de gestion intégrée du risque par les ministères et organismes fédéraux. Ce modèle s'inspire du modèle de plan d'action pour l'Initiative de modernisation de la fonction de contrôleur, qui est disponible sur la page du site Web du SCT traitant de la gestion du risque. Il propose un plan d'action en six volets :

1. contexte et renseignements généraux
2. approche et priorités
3. liens avec le CGIR
4. responsabilisation pour la gestion intégrée du risque
5. défis
6. calendrier de mise en oeuvre du plan

Comme il est décrit dans les paragraphes suivants, le plan d'action doit fournir une orientation, tenir compte des défis courants de mise en oeuvre et cerner les domaines où il est le plus utile de concentrer les premiers efforts.

Consultation et communication. Le champion de la gestion du risque veille à la tenue de consultations au sujet du plan d'action, et à la communication à l'échelle de l'organisation du plan final approuvé par l'équipe de direction. Les activités de communication peuvent prendre maintes formes et doivent à tout le moins articuler la vision, les objectifs et les attentes à l'égard de la mise en oeuvre de la gestion intégrée du risque. Les consignes doivent être compatibles avec les structures et les processus décisionnels existants et communiquer les objectifs de mise en oeuvre (et les échéanciers, selon le cas). Il faut encourager les commentaires lors de l'élaboration des consignes, et employer un vocabulaire commun sur la gestion du risque et des messages uniformes dans toutes les communications.

Défis communs. Les principaux défis recensés à ce jour à la lumière de l'expérience des ministères et des organismes dirigeant la mise en oeuvre se divisent en trois grandes catégories.

Cibles initiales. Les organisations qui ont décidé de mettre en oeuvre la gestion intégrée du risque jugent des plus utiles de concentrer leurs premiers efforts dans trois domaines.

1. Élaborer le profil de risque
de l'organisation

Pour élaborer le profil de risque de l'organisation, il faut bien comprendre l'environnement opérationnel de cette dernière et sa capacité de composer avec les risques clés de haut niveau liés à la réalisation de ses objectifs.

L'élaboration d'un profil de risque constitue un point de départ logique pour mettre en oeuvre la gestion intégrée du risque. L'organisation fait le point sur son environnement opérationnel, recense les principaux risques et examine sa capacité de composer avec ces derniers.

Le profil de risque de l'organisation aide à orienter la gestion des risques qui pèsent sur l'organisation. Le profil trace un portrait des risques auxquels est exposée l'organisation à un moment donné, en soulevant les questions suivantes : où en est l'organisation (menaces, occasions, points forts et lacunes); quelle est l'orientation de l'organisation (objectifs et résultats escomptés); et quels sont les principaux risques de haut niveau qui doivent être gérés par la haute direction pour que l'organisation réalise ses objectifs et obtienne les résultats escomptés?

Pour élaborer le profil, les données sur le risque, tant au niveau organisationnel qu'opérationnel, sont analysées pour comprendre les principales caractéristiques de la large gamme de risques internes et externes qui pèsent sur l'organisation. La haute direction se concentre sur un nombre raisonnable de risques (5 à 10) dans le contexte du mandat de l'organisation, des objectifs, des ressources disponibles et de la capacité d'assurer la gestion intégrée du risque. Pour gérer les risques clés, les décideurs doivent aussi tenir compte de la tolérance des principaux intervenants à l'égard du risque.

Il existe une importante interrelation entre l'élaboration du profil de risque de l'organisation et le processus de planification stratégique. La gestion du risque sous-tend tous les aspects de l'établissement des priorités, de la planification et de l'affectation des ressources. En outre, en raison des liens bidirectionnels entre chacun de ces aspects, le profil de risque permet d'intégrer chacun d'eux à l'échelle de l'organisation. Par conséquent, le profil de risque de l'organisation est alimenté par les documents et les processus de planification stratégique du ministère, et il les alimente lui-même. En situation de gestion intégrée du risque à maturité, un processus énergique de planification stratégique et opérationnelle devrait comprendre le profil de risque de l'organisation, ce qui élimine la nécessité de le présenter séparément.

Fondements

L'administrateur général et le comité de direction doivent :

• assurer la clarté des objectifs de l'organisation : la réalisation de ces derniers est un élément essentiel du profil de risque de l'organisation; les objectifs doivent être recensés, clairement articulés et bien compris de tous les gestionnaires (l'élaboration du rapport des plans et priorités de l'organisation offre une bonne occasion de ce faire);
• appuyer le champion de la gestion du risque en établissant un mandat clair pour l'élaboration du profil de risque de l'organisation;
• être prêts à investir temps et argent : les organisations qui se sont dotées d'un profil de risque signalent que sa mise à jour est beaucoup plus rapide et moins coûteuse une fois que les concepts et les processus sont établis et intégrés aux processus traditionnels de planification et de prise de décisions;
• veiller à ce que le profil de risque de l'organisation soit lié de façon valable aux exercices d'établissement des priorités et d'affectation des ressources de l'organisation;
• veiller à ce que les gestionnaires du ministère soient informés des responsabilités, des pouvoirs, de la responsabilisation, incluant la nécessité de présenter des rapports d'étape en marge de l'élaboration du profil de risque de l'organisation;
• encourager le dialogue au sein de la haute direction sur l'élaboration du profil de risque de l'organisation;
• comprendre et refléter les attentes des intervenants—le niveau et la nature de leur engagement évolueront à mesure que les pratiques viendront à maturité;
• savoir que le contenu du profil est en constante évolution : le profil et le processus doivent être dynamiques et réagir aux changements (p. ex., les événements importants, comme ceux du 11 septembre 2001, ont un impact significatif sur les risques clés de haut niveau de plusieurs ministères);
• assurer une communication continue : la communication est un principe de base de la gestion intégrée du risque et elle est essentielle à l'élaboration du profil de risque de l'organisation. Les principaux gestionnaires doivent comprendre ce qui est fait, pourquoi, les résultats escomptés et la contribution que l'on attend d'eux.

Comment faire

L'élaboration du profil de risque de l'organisation englobe six grands groupes d'activités :

• planifier et préparer;
• examiner le contexte dans lequel l'organisation évolue;
• comprendre la tolérance des intervenants à l'égard du risque;
• évaluer la capacité actuelle de gestion du risque;
• élaborer une réaction initiale à l'égard du risque;
• présenter le profil de risque de l'organisation.

Planifier et préparer

L'orientation et la démarche d'élaboration du profil de risque de l'organisation sont influencés et liés par le cadre d'exploitation et le niveau de préparation de l'organisation. Plusieurs facteurs peuvent influer sur l'élaboration du profil, y compris le mandat, les ressources et la taille de l'organisation, la question de savoir si l'organisation est un organisme central, un ministère à vocation scientifique ou un organisme de réglementation, la question de savoir si l'organisation est essentiellement opérationnelle ou si elle participe avant tout à l'élaboration de la politique ou au savoir, la question de savoir si l'organisation est hautement centralisée, et le nombre de responsabilités de programme qui lui incombent. Par exemple, les préposés à la réglementation au sein des ministères à vocation scientifique seront naturellement plus sensibles à la faible tolérance des Canadiens pour le risque pesant sur la santé et la sécurité publiques, et les plus susceptibles d'en tenir compte. En revanche, les ministères chargés d'exécuter des programmes administratifs et les organismes centraux trouveront peut-être plus d'occasions d'innover et de faire l'essai de nouvelles approches à l'égard de l'exécution des programmes, de la prestation des services et de la mise en oeuvre de la politique.

Idéalement, il faudrait demander à la haute direction d'appuyer un modèle de démarche qui :

• permet de structurer et d'encadrer la collecte des données;
• fait en sorte que tous les membres de la haute direction ont une perspective commune;
• facilite la mobilisation d'autres gestionnaires clés pour élaborer le profil de risque de l'organisation.

Cela pourrait nécessiter des séances d'information distinctes ou l'examen de ces questions lors de plusieurs réunions, tout dépendant de la présence de facteurs comme la mesure dans laquelle l'équipe est à l'aise face au concept de la gestion intégrée du risque ou encore les avantages anticipés de l'élaboration du profil de risque de l'organisation.

Les séances d'information des membres de la direction sur la gestion intégrée du risque visant à obtenir leur appui à l'égard de l'élaboration du profil de risque de l'organisation devraient normalement traiter de ce qui suit :

• la définition de la gestion intégrée du risque, y compris les quatre éléments connexes;
• les avantages de la gestion intégrée du risque, de façon générale et plus précisément pour l'organisation, du point de vue de la réalisation de ses priorités (la façon dont l'organisation et les membres de sa direction bénéficieront à court terme et seront mieux préparés pour l'avenir);
• un aperçu général de ce qui existe ou de ce qui est déjà en train d'être fait au sein de l'organisation pour gérer le risque;
• les renseignements qui doivent être recueillis pour élaborer le profil de risque de l'organisation, comment on procédera et ce à quoi servira l'information recueillie;
• les rôles clés, les rapports hiérarchiques et le calendrier d'exécution en marge de l'élaboration du profil.

La plupart des organisations peuvent élaborer leur profil de risque au moyen des ressources existantes. Par exemple, l'information et les mécanismes de collecte des données déjà en place peuvent orienter l'élaboration du profil de risque de l'organisation.

Analyser l'environnement interne et externe

Le profil de risque de l'organisation recense les principaux risques qui la touchent dans son ensemble (questions, fonctions, programmes, systèmes), de même que les différents événements, activités ou projets des secteurs d'activité qui pourraient avoir une nette incidence sur les priorités globales de gestion, le rendement et la réalisation des objectifs de l'organisation.

Ces facteurs et risques internes et externes sont décelés au moyen d'une analyse de l'environnement ou d'une collecte et d'une analyse préliminaires des données. Leur évolution et les grandes tendances observées au fil du temps sont particulièrement utiles pour déceler rapidement les risques susceptibles de miner les extrants du ministère et, à terme, ses objectifs et ses résultats.

Le CGIR suggère plusieurs techniques d'identification du risque, comme les séances de remue-méninges, la planification de scénarios et les enquêtes. Au nombre des autres sources d'information sur le risque, citons les rapports de vérification, les rapports sur le rendement et d'autres systèmes d'information de gestion.

Analyse de l'environnement interne

Les sources mentionnées ci-dessous fournissent des perspectives qui peuvent aider à déterminer la situation de l'organisation du point de vue de ce qui est à risque, ainsi que des types et des sources de risque (menaces, possibilités, points forts et lacunes).

• Les résultats de l'évaluation des capacités pour l'Initiative de modernisation de la fonction de contrôleur et du plan d'action connexe : la plupart des ministères ont terminé l'évaluation des capacités, laquelle fournit une foule de renseignements sur la perception des gestionnaires du statut de l'organisation dans des domaines comme la gestion du risque, le leadership stratégique, les valeurs et l'éthique, l'information intégrée sur le rendement, les tendances et la responsabilisation. Le statut de l'organisation est comparé à un modèle de maturité dans chaque domaine.
• Les documents de planification stratégique du ministère : le plan d'entreprise, le rapport ministériel sur le rendement, le rapport sur les plans et les priorités, les observations et les recommandations de vérification, les immobilisations et les plans fonctionnels.
• Les rapports, l'information et les systèmes de gestion du rendement aident à déterminer si l'organisation respecte les attentes et les cibles de rendement qui la concernent.

Ces documents sont sans doute de bonnes sources d'information sur les objectifs de l'organisation, ses orientations, les nouveaux projets et les initiatives, le rendement actuel et les aspects sur lesquels il conviendrait de se pencher ou qui doivent être améliorés.

Pour les autres activités de collecte des données ou d'enquête, un guide ou un modèle d'entrevue qui classe ou regroupe les risques (identification de ce qui est à risque, types et sources de risque, échelle de classement et méthodologie) facilitera la consolidation et l'analyse de l'information recueillie. Les données peuvent être regroupées par programme, par secteur d'activité, par discipline, par domaine fonctionnel, par lieu géographique, par type de risque, par source de risque ou d'après une combinaison de ces catégories ou d'autres rubriques pertinentes.

Les activités suivantes peuvent étoffer l'information recueillie auprès des sources mentionnées précédemment :

• Examiner les instruments stratégiques de l'organisation et du SCT pour déterminer l'orientation de la gestion du risque. Cerner les pratiques ministérielles qui se rattachent à ces instruments stratégiques.
• Consulter les responsables de la planification intégrée, de la politique, de la vérification et de l'évaluation pour cerner les domaines où l'organisation peut être à risque ou vulnérable.
• Demander aux responsables des directions, des programmes ou des secteurs d'activité, aux sous-ministres adjoints fonctionnels, aux cadres et aux gestionnaires clés de recenser les risques qui pèsent sur leur principal domaine de responsabilité et sur l'ensemble de l'organisation.
• Demander aux gestionnaires clés d'évaluer les risques, en les classant par ordre de priorité et en indiquant la façon dont ces risques sont gérés à l'heure actuelle.

Analyse de l'environnement externe

La compréhension de l'univers de risque de l'organisation aide à cerner et à évaluer les principaux risques de haut niveau aux fins du profil de risque de l'organisation. Les facteurs externes dont il faut tenir compte englobent le cadre politique, économique, social et technologique, de même que les tendances et les changements qui pourraient influer sur la conduite des activités de l'organisation ou sur la réalisation de ses objectifs. Il importe également de tenir compte des intérêts et de la tolérance à l'égard du risque des principaux intervenants de l'extérieur pour élaborer le profil de risque de l'organisation et déterminer la tolérance de l'organisation à l'égard du risque.

• Étudier les sources d'information suivantes : les médias; le programme stratégique du gouvernement, y compris le discours du Trône; la comparaison de la situation de l'organisation avec celle d'autres ministères; les sondages d'opinion publique; les groupes et les conseils consultatifs; les groupes de consommateurs (utilisateurs de programmes et de services); les bases de données de Statistique Canada; les groupes de réflexion; les associations; et les groupes de pression.
• Envisager ce qui suit pour recueillir l'information nécessaire : services d'analyse interne d'une fonction administrative existante (p. ex., le groupe des communications de l'organisation); un sondage ou un questionnaire ciblé ou omnibus; l'emploi de babillards électroniques et de scénarios théoriques pour obtenir la réaction et des orientations de la part des intervenants; la mise à l'essai auprès de groupes cibles et l'emploi d'approches pilotes pour cibler des marchés ou des secteurs géographiques précis.

Comprendre la tolérance à l'égard du risque

La tolérance d'une organisation à l'égard du risque dépend de sa culture et de l'évolution de son environnement interne et externe. Il importe de comprendre la tolérance d'une organisation et celle de ses principaux intervenants à l'égard du risque parce que ces deux considérations affecteront et guideront le processus décisionnel. La direction doit déterminer quels risques l'organisation peut accepter et à quel niveau, puis réévaluer ces choix à mesure que les circonstances changent.

Il devrait y avoir un lien direct entre la tolérance à l'égard du risque et les attentes en matière du rendement et ce, à l'échelle de toute l'organisation. La direction doit comprendre la corrélation entre, d'une part, le degré et la durée des écarts défavorables par rapport aux attentes ou aux cibles établies en matière de rendement et, d'autre part, le degré d'exposition au risque.

Il faut tenir compte de ce qui suit pour comprendre le niveau de tolérance de l'organisation et de ses principaux intervenants à l'égard du risque :

• le cadre stratégique opérationnel, c'est-à-dire les lois, les règlements, les politiques, les directives et les lignes directrices du ministère et du Conseil du Trésor, de même que le niveau de délégation des pouvoirs; les instruments directeurs articulent généralement des pratiques et des attentes acceptables des ministères dans les circonstances données;
• les attentes de l'organisation en matière de rendement et son rendement réel;
• la façon dont l'organisation ou les intervenants ont réagi à des risques et problèmes antérieurs;
• les mécanismes formels ou informels permettant de suivre le rendement, d'en faire rapport et d'y donner suite;
• la façon dont les employés comprennent les risques qu'ils prennent eux-mêmes ou qu'assument leur équipe ou leur groupe et le ministère;
• la question de savoir si l'on s'entend sur la notion de tolérance à l'égard du risque et sur la gestion du risque, et la mesure dans laquelle cette interprétation est communiquée à l'échelle du ministère, de même qu'à ses intervenants internes et externes;
• la façon dont les employés comprennent la tolérance des principaux groupes d'intervenants à l'égard du risque;
• la question de savoir si les intervenants ont été consultés à propos de la tolérance à l'égard du risque et des cibles de rendement.

Le diagramme qui suit illustre la notion de tolérance à l'égard du risque en rapport avec le coût de la gestion en fonction des différents niveaux de risque.

Évaluer la capacité actuelle de gestion du risque

Il importe de cerner la nature, la pertinence et l'utilité des outils, des techniques, des compétences des ressources humaines et de l'expertise de l'organisation en matière de gestion du risque.

En dressant un bilan des outils et des techniques de gestion du risque en usage, ainsi que des compétences en gestion du risque à la disposition de l'organisation, on pourra évaluer la situation de l'infrastructure du risque sous l'angle de la stabilité de l'organisation et de la capacité du système. La direction doit veiller à ce que cette infrastructure soit en mesure de combler les besoins actuels et anticipés de l'organisation en matière de gestion intégrée du risque.

Élaborer la réaction initiale au risque

Une fois l'information recueillie (analyse de l'environnement, capacité de gestion du risque et tolérance des intervenants à l'égard du risque) et les constatations et hypothèses validées, tout cela doit être analysé, regroupé et soumis au comité de direction. Ensemble, l'administrateur général et le comité de direction doivent évaluer la probabilité de survenance du large éventail de risques auxquels l'organisation est confrontée, de même que leur incidence sur la réalisation des objectifs de l'organisation. Ils peuvent ensuite décider des principaux risques de haut niveau qui doivent être gérés par la direction et de ceux qui devraient ou pourraient être gérés à d'autres échelons.

Chacun des membres du comité de direction doit classer les principaux risques de haut niveau selon leur priorité et être prêt à expliquer le classement établi et les liens avec les objectifs de l'organisation et d'autres risques. On peut recourir au vote anonyme ou à des approches semblables pour classer les risques. Après de telles discussions, le comité de direction pourra décider du classement des risques pour toute l'organisation et déterminer les étapes pour les gérer. Ces étapes doivent s'appuyer sur les conclusions de l'analyse de l'environnement, sur la capacité de l'organisation de gérer le risque, sur la tolérance des intervenants à l'égard du risque, de même que sur la connaissance et l'expérience des membres de la direction.

Pour élaborer la réaction initiale au risque, l'organisation doit s'efforcer d'engager un dialogue avec les intervenants clés pour obtenir leur appui à l'égard des mesures proposées. Elle doit tenter de consolider et de garantir une perspective commune à l'égard des options et des compromis possibles, et demander l'aide des intervenants pour formuler des plans qui contribuent dans toute la mesure du possible à la réalisation des objectifs de l'organisation.

Les résultats de l'évaluation et de la classification des risques doivent être liés aux processus d'établissement des priorités et d'affectation des ressources de l'organisation, de manière que la direction concentre son attention et les ressources sur les risques les plus élevés.

Présenter le profil de risque de l'organisation

La dernière étape consiste à rédiger un document qui décrit le profil de risque de l'organisation. Ce document énonce les résultats des analyses de l'environnement, de l'évaluation et de l'analyse des risques, en plus de cerner les éléments qui doivent faire l'objet de décisions ou de consignes de la part de l'organisation au sujet des stratégies de gestion du risque. Les organisations ont mis au point diverses façons de présenter ces résultats, notamment sous forme de matrices, de plans des risques et de rapports renfermant des résumés par secteur de risque. Le lecteur trouvera sans doute utile de consulter l'échantillon de carte du risque figurant à l'annexe D.

Questions à considérer

Poser les questions suivantes pour confirmer que l'organisation obtient les résultats prévus de l'élaboration de son profil de risque.

1. Les principaux risques de haut niveau du ministère sont-ils identifiés?
2. A-t-on la preuve de la participation et de l'engagement de l'administrateur général et de la haute direction du ministère à l'égard de l'élaboration du profil de risque de l'organisation et des mesures connexes? (S'agit-il d'une priorité du ministère? A-t-on prévu des ressources d'amorce? Les conclusions seront-elles liées aux processus décisionnels, y compris aux exercices d'établissement des priorités et d'affectation des ressources?)
3. Pour cerner la réaction initiale du ministère et la façon de gérer les principaux risques de haut niveau, a-t-on tenu compte de la tolérance des principaux intervenants à l'égard du risque, et les membres de la haute direction sont-ils informés de la capacité de l'organisation de gérer ces risques? (Les employés connaissent-ils la théorie et les pratiques de gestion du risque? Applique-t-on déjà des processus systématiques de gestion du risque, et l'organisation peut-elle mobiliser ce savoir et cette expertise? Les employés disposent-ils des connaissances, des compétences et des outils nécessaires pour gérer les risques propres à leur domaine de responsabilité?)

Exemples

Élaborer le profil de risque de l'organisation : cadre d'engagement

Pour élaborer le profil de risque de l'organisation, un ministère utilisant l'expertise de risque de son groupe de vérification interne a élaboré des cadres d'engagement (un protocole d'entente) entre le groupe de vérification et les directions. De tels cadres servent de mécanisme pour décrire les rôles et les attributions permettant de cerner et d'évaluer les risques, d'élaborer les stratégies d'atténuation correspondantes et de faire rapport. À la suite de séances dirigées d'identification et d'évaluation des risques, échelonnées sur neuf mois et d'une période de consultations régionales, les principaux risques ont été identifiés et l'on a proposé une première série de stratégies de gestion. Ces dernières ont ensuite servi à élaborer un profil de risque de l'organisation ainsi qu'une gamme de stratégies d'atténuation. Tant les risques que les stratégies sont maintenant d'importants éléments du plan d'entreprise de l'organisation.

Élaborer le profil de risque de l'organisation : évaluation de l'environnement

Un autre ministère utilise l'analyse de l'environnement comme point de départ pour l'élaboration de son profil de risque. L'analyse englobe les éléments suivants :

• le recensement et la description des risques internes et externes qui influent nettement sur la réalisation des objectifs de l'organisation (principaux risques);
• un aperçu de la capacité du ministère de gérer le risque au moyen des compétences existantes et des processus systématiques;
• la liste des unités à risque (activités, groupes opérationnels, systèmes et programmes qui requièrent une attention particulière du fait qu'ils comportent des risques potentiels appréciables);
• les méthodes systématiques de gestion des unités à risque prioritaires.

Le profil de risque de l'organisation donne aussi une perspective globale de la tolérance à l'égard du risque et des modalités de sa communication aux gestionnaires et aux employés. Le conseil de direction du ministère examine chaque année tous les éléments du profil.

Utiliser le profil de risque de l'organisation

Un ministère, qui participe activement à l'exécution de programmes en région, dépend de son profil de risque pour expliquer comment les deux types de risque auxquels il est exposé (les risques inhérents à son mandat et ceux découlant de l'évolution de son contexte opérationnel) interagissent de façon dynamique pour influer sur la réalisation des objectifs opérationnels.

Le profil de risque de l'organisation vise aussi à informer le personnel et les intervenants de ce qui suit :

• la perspective du ministère au sujet des risques inhérents (principaux risques) découlant du mandat
• les risques issus de l'évolution du cadre opérationnel
• les unités à risque prioritaires, et la façon dont leurs risques sont atténués et gérés
• la tolérance à l'égard du risque et la façon de la communiquer
• la capacité actuelle de l'ensemble du ministère de gérer et d'atténuer les risques significatifs
• les besoins, les structures et les mesures d'apprentissage et de soutien permettant d'appuyer la gestion intégrée du risque au sein de l'organisation

Le profil de risque de l'organisation est mis à jour chaque année et approuvé par la haute direction.

Intégration avec la planification

La haute direction du ministère susmentionné s'est engagée à mettre en oeuvre des plans opérationnels pour tous ses secteurs et bureaux régionaux chaque année. Le processus englobe l'analyse de l'environnement interne et externe, des tensions, des possibilités et d'autres facteurs qui pourraient influencer les programmes stratégique et de gestion du ministère, le risque constituant l'un des éléments abordés et traités dans le cadre du processus de planification intégrée. À cela s'ajoute l'engagement d'élaborer ce que le ministère appelle le « tableau de bord » des principaux indicateurs opérationnels pouvant servir de système de préalerte des changements du contexte.

Récemment, l'ensemble des bureaux régionaux et des secteurs de ce ministère ont été priés d'indiquer deux projets ou programmes auxquels il serait bon d'appliquer des outils de gestion des risques. Ce faisant, les régions et les secteurs ont dû passer leurs risques en revue. En 1998 et en 2000, tous les gestionnaires supérieurs ont été interviewés et priés d'indiquer leurs risques les plus importants. En 2002, on a recensé des domaines auxquels la gestion du risque pouvait être appliquée et l'on a mené un exercice de planification opérationnelle comportant une analyse FFPM (forces, faiblesses, possibilités et menaces) pour chaque bureau régional et secteur. Les résultats couvraient les opérations et les secteurs d'activité de chaque bureau régional ou secteur.

Un autre ministère lance un vaste exercice d'analyse de l'environnement au début de chaque cycle annuel de planification. Cette analyse est conçue pour recueillir des renseignements et définir le contexte d'établissement des priorités, de même qu'à des fins de planification et de prise de décisions au cours de la prochaine année. Une analyse de cette ampleur permet d'examiner de façon uniforme les tendances horizontales entre les secteurs et les régions et constituent un levier important pour s'entendre, à l'échelle du ministère, sur les principales tendances (politiques, économiques, sociales et techniques), les possibilités et les menaces susceptibles d'influencer le ministère.

L'un des petits ministères utilise l'analyse de l'environnement pour recenser les risques internes et externes, ce qui favorise l'élaboration d'un profil de risques pour chacun des secteurs d'activité. Ces profils de risque et les résultats des analyses sont intégrés au profil de risque de l'organisation, puis discutés par le comité de la haute direction du ministère lors d'une journée de réflexion vouée à la planification stratégique. L'analyse de l'environnement relève conjointement des groupes chargés de la planification stratégique et des services intégrés. Pour l'amorcer plus rapidement, le ministère a retenu une approche simple, évitant les façons de procéder trop élaborées. Cette forme d'apprentissage par la pratique devrait développer l'engagement de l'organisation et déboucher sur un ensemble d'outils mieux intégrés.

Il existe de nombreux autres exemples parmi les ministères chefs de file de la mise en oeuvre. Le lecteur trouvera sur le site Web du SCT sur la gestion du risque des renseignements à jour sur les progrès de ces derniers et d'autres organismes fédéraux.

2. Créer une fonction de gestion intégrée du risque—Intégrer la gestion du risque aux processus décisionnels et aux rapports existants

La gestion intégrée du risque exige une infrastructure appropriée, qui s'inspire des éléments en place.

La présente section traite de l'intégration de la gestion du risque aux processus décisionnels existants et de l'utilisation des connaissances et de la tolérance de l'organisation à l'égard du risque pour amorcer un changement de culture.

En vertu de cet élément du CGIR, les organisations doivent cerner ou concevoir une infrastructure organisationnelle appropriée pour assurer la communication claire des questions, des pratiques et des procédures liées au risque à l'échelle de l'organisation. Ainsi, le profil de risque de l'organisation (élément 1) peut mieux correspondre aux objectifs globaux, à la vision, aux orientations stratégiques et aux pratiques opérationnelles. Les principes de gestion du risque sont intégrés aux structures de gouvernance et aux systèmes décisionnels et de rapports.

Fondements

Pour intégrer la gestion du risque aux structures existantes en matière de prise de décisions et de rapports, il faut :

• ancrer la gestion du risque grâce à l'engagement de la haute direction à l'échelon de l'administrateur général;
• désigner un champion ou un service de la gestion du risque à l'échelle de l'organisation;
• communiquer l'orientation de la direction en matière de gestion intégrée du risque;
• élaborer le profil de risque de l'organisation.

En faisant de la gestion intégrée du risque un élément clé de l'ordre du jour des comités de la direction, la haute direction communique son engagement à toute l'organisation. La démonstration d'un tel engagement favorise la mobilisation de l'effectif à tous les échelons à l'égard d'une culture de gestion du risque et aide à dégager un consensus sur ce que signifie la gestion intégrée du risque. En prêchant par l'exemple, les gestionnaires supérieurs relèvent le niveau de sensibilisation et communiquent l'importance de la pratique, tout en améliorant les liens horizontaux, en renforçant l'esprit d'équipe et en forgeant un sentiment d'appartenance collectif. Cela contribue à appuyer la pertinence de la gestion intégrée du risque lors de l'examen des questions, des approches et du rendement de l'ensemble de l'organisation touchant le risque.

L'administrateur général et le champion de la gestion du risque doivent s'assurer de l'appui des gestionnaires à divers échelons, qui légitimeront et sanctionneront la mise en oeuvre de la gestion intégrée du risque par la parole et l'action. Le champion parle avec autorité de la gestion intégrée du risque dans le contexte de la réalisation des objectifs de l'organisation, et il est un partisan enthousiaste et compétent. Pour être le plus efficace possible, le champion dirigera, appuiera et communiquera les avantages à grande échelle, en plus de faire état des progrès.

Le profil de risque de l'organisation (élément 1) fournit des consignes de base en vue de créer une fonction de gestion intégrée du risque. L'un des éléments clés du profil est l'évaluation du niveau de préparation des structures et des mécanismes de gouvernance, de prise de décisions et de responsabilisation de l'organisation. Grâce au profil, la haute direction peut établir des plans stratégiques pour développer les capacités au chapitre des ressources humaines, des outils et des processus, tant à l'échelle des unités fonctionnelles qu'à celle de l'organisation.

Comment faire

Pour jeter les bases de la gestion intégrée du risque, il faut déterminer qui, quoi et comment. La création d'une fonction de gestion intégrée du risque et son intégration aux systèmes décisionnels existants comportent quatre étapes clés :

• cibler la gestion du risque à l'échelle de l'organisation;
• communiquer l'orientation de la direction en matière de gestion du risque;
• intégrer la gestion du risque aux structures existantes pour la prise de décisions;
• développer la capacité de l'organisation.

Cibler la gestion du risque à l'échelle de l'organisation

La gestion intégrée du risque doit être ciblée à l'échelle de toute l'organisation, que la structure soit existante ou non. Les bases peuvent avoir été jetées au moyen de plans d'action et par l'élaboration du profil de risque de l'organisation. Les étapes suivantes peuvent aider à cibler la gestion du risque à l'échelle de l'organisation.

Charger une tribune de haut niveau de diriger et d'appuyer la gestion intégrée du risque

La gestion intégrée du risque devrait relever d'une tribune de haut niveau présidée par l'administrateur général. Il est essentiel que les consignes émanent de ce niveau pour garantir l'intégration des enjeux et des approches de l'organisation en matière de risque à la planification, à la prise de décisions et à la mesure du rendement. Cette tribune peut être un comité existant, comme le comité de direction ou un autre comité panorganisationnel de ce niveau mis sur pied expressément pour prendre en main la gestion du risque à l'échelle de l'organisation. On peut aussi mettre sur pied une nouvelle tribune de gestion intégrée du risque pour diriger la mise en oeuvre au départ et, à mesure que les pratiques arrivent à maturité, pour orienter la stratégie de l'organisation en matière de gestion du risque et la pensée novatrice.

Il faudrait aussi mettre sur pied au moins un groupe de travail pour fournir à la tribune de haut niveau des analyses multifonctionnelles et organisationnelles des questions touchant le risque à l'échelle de l'organisation.

Recenser les ressources à investir au départ

Les ministères qui ont fait des progrès substantiels pour mettre en oeuvre la gestion intégrée du risque ont reconnu la nécessité d'investir au départ des ressources particulières. Cela oblige habituellement à réaffecter des ressources pour financer le démarrage. Il faut du temps et des efforts pour développer un certain rythme, former les gestionnaires et les spécialistes, et mettre au point des outils et des processus de qualité. À plus long terme, la gestion intégrée du risque ne devrait avoir aucune incidence sur les ressources; cet investissement initial met le processus en marche et illustre l'ampleur de l'engagement au sein de l'organisation.

Désigner et appuyer un champion de la gestion du risque au sein de l'organisation

La désignation d'un champion efficace, idéalement au niveau de l'administrateur général, est considérée comme une étape fondamentale du lancement de la gestion intégrée du risque. Le rôle de champion incombe aussi couramment à une fonction de l'organisation au niveau de l'administrateur général adjoint, par exemple, le service de la planification stratégique et opérationnelle ou la direction des services intégrés. Le champion de la gestion du risque joue un rôle déterminant pour amorcer et soutenir la transition vers une culture organisationnelle caractérisée par le souci du risque. À cette étape préliminaire, l'intérêt personnel et la complémentarité naturelle avec un rôle existant au sein de l'organisation peuvent être des critères de sélection pertinents. Les connaissances et l'enthousiasme dans la communication du message sont d'autres facteurs importants.

Le champion de la gestion du risque au sein de l'organisation doit disposer de ressources adéquates. Cela peut inclure des spécialistes chargés de fournir une expertise et une approche systématique pour l'intégration de la gestion du risque. Le champion devra également avoir accès à la haute direction afin que la gestion intégrée du risque demeure une priorité de la culture organisationnelle.

Choisir le point de mire de l'organisation

Le point de mire choisi au départ sera habituellement la source d'expertise. Même si certains ministères mettent en oeuvre la gestion intégrée du risque avec l'aide de leur service de vérification interne, c'est à la direction de répondre de la mise en oeuvre et d'en rendre compte. Cela tient compte du besoin pour les vérificateurs internes des ministères de demeurer objectifs et de fournir des conseils indépendants et des garanties quant à l'efficacité de la gestion intégrée du risque au sein de leur organisation. Il n'est pas rare que le point de mire se retrouve par la suite dans un service comme la planification stratégique à mesure que la fonction arrive à maturité et que la gestion intégrée du risque devient partie intégrante des processus de planification et d'établissement des priorités de l'organisation. Quel que soit son emplacement, il faudra établir des liens entre le point de mire et les centres existants d'expertise fonctionnelle à travers l'organisation.

Communiquer l'orientation de la direction en matière de gestion du risque

Pour créer une culture où tous les employés considèrent la gestion du risque comme une activité valable, l'engagement et la vision de la haute direction doivent être communiqués à l'échelle de l'organisation.

Élaborer des consignes

L'orientation générale de la gestion intégrée du risque nécessite des consignes écrites, c'est-à-dire une politique, un cadre ou des principes opérationnels pour adapter la démarche aux besoins particuliers du cadre opérationnel de l'organisation. Le ministère ou l'organisme peut diffuser ces consignes en élaborant une politique ou un cadre de gestion du risque, ou en mettant à jour les politiques existantes de l'organisation. Dans un cas comme dans l'autre, il faudra définir des rôles et des responsabilités clairs, un échiquier de responsabilisation et des mécanismes de rapports sur le rendement. Une politique ou un cadre de gestion intégrée du risque permet aux différents services d'intégrer la gestion du risque à leurs opérations courantes.

Bâtir un réseau de promoteurs du changement ou de champions de la gestion du risque à l'échelle des unités fonctionnelles

Il est essentiel qu'une organisation se dote de politiques et de cadres pour être en mesure de mettre en oeuvre la gestion intégrée du risque, mais ce sont les gens au sein de l'organisation qui font en sorte que tout cela fonctionne. La désignation des gens au sein des groupes opérationnels à titre de chefs de file ou de champions de la gestion du risque à l'échelle des unités fonctionnelles et leur réunion au sein d'un groupe de travail afin qu'ils puissent mettre leurs expériences en commun et traiter les problèmes communs de mise en oeuvre contribuera au succès de la création de cette fonction.

Ce réseau de gens motivés peut aider la haute direction à élaborer des plans de travail qui reflètent la perspective de l'organisation à l'égard des questions liées au risque. Il s'agit en outre d'un véhicule approprié pour communiquer les concepts et le calendrier de mise en oeuvre à l'échelle de l'organisation.

Intégrer la gestion du risque aux structures existantes de prise de décisions

L'un des facteurs déterminant pour le succès de la mise en oeuvre est l'intégration homogène de la gestion intégrée du risque aux processus ministériels existants. La planification annuelle, les rapports sur le rendement, de même que le développement et la diffusion de la formation doivent tous être sensibles au risque.

La concordance entre, d'une part, la vision et les objectifs de la gestion du risque et, d'autre part, les objectifs et les orientations stratégiques de l'organisation fait que la gestion du risque est importante et pertinente pour tous les employés. À mesure que la mise en oeuvre progresse, les gens devraient en venir à considérer la gestion du risque comme faisant partie intégrante de leurs tâches quotidiennes, et non comme quelque chose qui s'ajoute à leurs activités courantes. Le degré d'acceptation des concepts de la gestion intégrée du risque sera fonction de la mesure dans laquelle l'organisation aura réussi à établir une terminologie commune à l'égard du risque et à intégrer celle-ci à ses outils et documents.

Tout au long du processus de planification stratégique, le champion de la gestion du risque ou le groupe de spécialistes doit faire fonction de catalyseur pour guider à la fois le processus et les agents responsables. Les agents de planification de l'organisation doivent aiguillonner le processus en intégrant la sensibilisation et la perspective à l'égard du risque, de manière à aider les gestionnaires à assurer la planification, l'établissement des priorités et l'affectation des ressources à l'échelle de l'organisation.

Développer les capacités de l'organisation

Non seulement la gestion du risque doit-elle être intégrée aux processus existants, mais la capacité de l'organisation de la mettre en pratique doit s'appuyer sur ce qui existe déjà. Le profil de risque de l'organisation fournit un étalon de la capacité de l'organisation. L'analyse continue de l'environnement fera ressortir les changements du profil qui nécessitent une amélioration plus poussée des compétences, des processus et des pratiques de gestion du risque.

L'évaluation et le développement des capacités existantes permettent d'adapter la façon de composer avec la situation particulière du ministère ou de l'organisme et son degré d'exposition au risque. On peut solliciter au besoin des consignes et des conseils auprès du Centre d'expertise du SCT et en communiquant avec d'autres organismes fédéraux pour profiter des leçons qu'ils ont eux-mêmes apprises.

Ressources humaines

Le CGIR mentionne quatre principaux domaines dans lesquels on pourrait devoir développer la capacité de l'effectif :

• promouvoir les initiatives et la culture de gestion du risque;
• élargir la gamme de compétences au moyen d'une formation rigoureuse faisant appel aux applications et aux outils qui conviennent;
• élargir la gamme de compétences par la mise en commun des pratiques exemplaires et des expériences;
• développer la capacité, les aptitudes et les compétences propres au travail d'équipe.

Outils et processus

De même, le CGIR décrit comment les outils et les processus de gestion du risque peuvent développer les capacités :

• mettre au point et adopter des outils, des techniques des pratiques et des processus de gestion du risque à l'échelle de l'organisation;
• fournir des consignes sur l'application des outils et des techniques;
• prévoir la mise au point et l'utilisation d'autres outils et techniques qui permettraient de mieux gérer le risque dans le cadre d'applications spécialisées;
• adopter des processus garantissant l'intégration de la gestion du risque à l'échelle de l'organisation.

La section traitant de l'élément 3 (Pratiquer une gestion intégrée du risque) fournit des précisions au sujet de la gamme d'outils qu'utilisent les ministères et les organismes.

Questions à considérer

1. A-t-on désigné un champion ou un service du ministère pour surveiller la mise en oeuvre de la gestion intégrée du risque?
2. La gestion du risque est-elle communiquée, comprise et appliquée à l'ensemble des processus organisationnels? La gestion du risque est-elle intégrée aux structures actuelles de gouvernance et de prise de décisions, et aux systèmes de rapports sur le rendement? Des évaluations du risque ont-elles été effectuées pour les processus organisationnels ou les nouveaux programmes proposés?
3. Des systèmes de contrôle et de responsabilisation ont-ils été adaptés pour tenir compte des processus de gestion du risque? Des indicateurs de rendement et des facteurs de réussite ont-ils été identifiés et mentionnés dans les rapports ministériels? La reddition de comptes sur le risque et la gestion du risque a-t-elle lieu par l'entremise des rapports sur le rendement, la surveillance continue, les évaluations, la vérification interne)?
4. Dispose-t-on d'une capacité suffisante pour gérer le risque au sein de l'organisation? Le ministère a-t-il mis en place des initiatives efficaces pour sensibiliser le personnel à la gestion du risque? A-t-on tenu des ateliers à l'intention des employés pour diffuser les connaissances et les techniques relatives à la gestion du risque? Les gestionnaires utilisent-ils des experts pour traiter des questions auxquels ils font face?

Exemples

On peut tirer d'importantes leçons des expériences des ministères et des organismes qui siègent au Conseil de mise en oeuvre du CGIR.

Orientation et engagement de la direction

L'un des ministères a ébauché un cadre de gestion intégrée du risque, de même qu'un plan de mise en oeuvre et un plan d'action avec le ferme appui du sous-ministre. Cette démarche a été élaborée grâce à des entrevues et à des discussions poussées à l'échelle de toute l'organisation, de même qu'à un atelier d'une demi-journée sur le risque tenu avec le sous-ministre et le comité de la haute direction. Le sous-ministre a participé directement à l'évaluation du risque et a fait en sorte que cela devienne une priorité de l'organisation.

Facteurs de réussite

L'un des ministères responsables a recensé huit facteurs qui l'ont aidé à créer une fonction de gestion intégrée du risque :

1. Instaurer un contexte positif.
2. S'assurer d'un engagement à l'égard du concept de la gestion intégrée du risque.
3. Nommer un groupe de spécialistes.
4. Être disposé à faire l'investissement initial nécessaire dans l'infrastructure de gestion intégrée du risque.
5. Établir des responsabilités à l'égard de la gestion intégrée du risque qui sont claires et bien réparties.
6. Exiger la présentation de rapports à la haute direction.
7. Doter l'organisation de processus de planification et d'établissement des priorités qui soient appropriés.
8. Mettre en oeuvre une fonction de gestion intégrée du risque adaptable.

Groupes de travail

L'un des ministères a mis sur pied un comité des SMA sur la gestion du risque avec la sanction du sous-ministre. En outre, un groupe de travail sur la gestion du risque a été mis sur pied à l'échelon de la direction, et tous les secteurs y sont représentés. Ce groupe de travail a essentiellement pour mandat de favoriser la sensibilisation et le souci de l'organisation à l'égard du risque, de promouvoir le souci du risque à l'échelle de l'organisation, et de former des champions au sein des unités fonctionnelles des différents secteurs d'activité. Le groupe de travail donne aux secteurs l'accès à une tribune de discussion, fournit des conseils au sujet d'initiatives visant à élaborer un programme de gestion du risque à l'échelle de l'organisation, soumet des recommandations au comité ministériel chargé de la gestion du risque, met en commun les leçons apprises et informe les secteurs des activités de gestion du risque.

Comité consultatif sur la gestion du risque

Une autre organisation a mis sur pied un comité consultatif ministériel pour fournir une aide et des conseils au sujet des orientations générales de l'initiative de gestion du risque. Ce comité vise à faciliter l'application plus systématique de la gestion du risque lorsque cela s'impose en raison de décisions entraînant des coûts ou des répercussions de grande envergure. Les membres du comité mettent en commun les leçons apprises et l'information au sujet des activités de gestion du risque dans leur secteur.

De la vérification à la planification intégrée

L'une des organisations a mis sur pied un mécanisme pour intégrer la gestion du risque à la planification intégrée et à l'établissement des priorités. La fonction de gestion du risque relevait au départ du service de vérification et d'évaluation; elle a été confiée par la suite au service de planification intégrée après la mobilisation de ressources dédiées, démontrant ainsi l'engagement du champion de la gestion du risque.

Le Centre d'expertise du SCT peut fournir d'autres exemples de création réussie d'une fonction de gestion intégrée du risque.

 

 

3. Pratiquer la gestion intégrée du risque

Il faut pratiquer la gestion intégrée du risque ascendante, descendante et horizontale à l'échelle de l'organisation pour obtenir un portrait complet qui soit significatif pour l'organisation.

Les organisations pratiquent la gestion intégrée du risque pour améliorer la réalisation de leurs objectifs et afin d'obtenir une meilleure information pour la prise de décisions. Il est donc essentiel de relier directement la gestion du risque à la réalisation des objectifs à tous les échelons de l'organisation. Si la gestion du risque ne semble pas appuyer le processus décisionnel, elle risque d'être perçue comme une exigence administrative supplémentaire à laquelle on peut passer outre.

La présente section traite de l'intégration de la pratique de la gestion du risque à l'échelle de l'organisation en respectant le cadre d'orientation, la philosophie et les pratiques établis par cette dernière. La perspective et les pratiques de gestion du risque des unités fonctionnelles doivent être liées de façon bidirectionnelle à la vision intégrée, c'est-à-dire les principaux risques et les stratégies d'atténuation qui figurent dans le profil de risque de l'organisation. Les groupes de spécialistes habitués à gérer des risques précis au niveau des unités fonctionnelles croiront peut-être au départ que la mise en oeuvre de la gestion intégrée du risque ne change pas grand chose. Avec le temps, toutefois, le contexte évolutif de leur travail transformera le cheminement de l'information vers une perspective plus large et en provenance de cette dernière. Cela influera à son tour sur le travail et les comportements des unités fonctionnelles à mesure que les interrelations deviendront apparentes, que les avantages individuels et collectifs se concrétisent et que les gens constatent la valeur de leur propre contribution. Les responsabilités et la responsabilisation seront aussi précisées et améliorées.

Le processus commun de gestion du risque schématisé à l'annexe B peut être adopté ou adapté pour identifier, évaluer, surveiller et évaluer les principaux risques de haut niveau liés à la réalisation des objectifs de la haute direction et ceux qui pèsent sur tous les autres échelons de l'organisation, et pour y réagir. Le degré d'insistance sur les divers aspects du processus peut varier, tout comme la nature, la rigueur ou l'ampleur des mesures envisagées, mais les étapes de base sont semblables.

Fondements

La pratique de la gestion intégrée du risque fait appel à des consignes émanant de la direction (établissement des objectifs et résultats) et à l'évaluation ascendante du risque (classification et regroupement des risques).

La nature logique, sensée et intuitive du processus en garantit le déroulement sans incident, sous réserve d'un engagement soutenu des employés et de consignes de la haute direction. Par conséquent, l'organisation sera à même de pratiquer la gestion intégrée du risque lorsque la culture de l'organisation présentera les caractéristiques suivantes :

• la gestion du risque est ciblée à l'échelle de l'organisation;
• l'orientation de la gestion du risque a été communiquée à tous les échelons, et l'on a jeté les bases d'une philosophie de souci du risque;
• la gestion du risque a été intégrée de façon homogène aux structures et aux processus décisionnels de l'organisation;
• on dispose d'une capacité suffisante du fait d'avoir élaboré et fourni au personnel les consignes, les outils et la formation qu'exige la gestion intégrée du risque.

Comment faire

Les risques pour l'organisation étant connus et l'infrastructure ayant été définie et mobilisée, la pratique de la gestion intégrée du risque consiste surtout à :

• mobiliser l'ensemble de l'organisation;
• doter les gens d'outils et de techniques;
• entretenir une culture et des processus habilitants;
• consulter et à communiquer tout au long du processus.

Mobiliser l'ensemble de l'organisation

Consignes émanant de la direction et évaluation ascendante—Prendre appui sur ce qui existe

La pratique de la gestion intégrée du risque exige d'abord des consignes émanant de la direction pour mettre en place l'approche de l'organisation; cela comprend la politique ou le cadre, les objectifs, les principes opérationnels, le vocabulaire commun et le processus approuvés par la haute direction. L'approche aura été adaptée dans ses grandes lignes en fonction des besoins de l'organisation, sur la base des principaux risques, des stratégies d'atténuation ainsi que des points forts et des lacunes de capacité indiqués dans le profil de risque de l'organisation. Le champion de la gestion du risque ou le groupe de spécialistes fournit maintenant des conseils de mise en oeuvre sur le moment et la façon d'instaurer et de pratiquer la gestion intégrée du risque, en plus d'en coordonner la mise en oeuvre.

Lorsqu'elle fonctionne bien et que sa pratique est à maturité, la gestion intégrée du risque est homogène. Aux fins de son lancement, il est utile d'envisager trois niveaux de pratique : organisationnel (à l'échelle de l'organisation, soit le niveau le plus élevé), par secteur d'activité (grands secteurs fonctionnels) et les autres secteurs (programmes, grands projets, activités et processus). Certaines approches qualifient ces niveaux de « stratégiques », de « gestion » et de « opérationnels » ou emploient d'autres qualificatifs en fonction de leur situation. Certaines organisations peuvent inclure d'autres niveaux ou catégories. Par exemple, elles peuvent établir une différence entre les programmes et les grands projets.

Quelle que soit la terminologie employée, les organisations trouvent utile d'adopter une perspective stratifiée pour décrire et exécuter la gestion intégrée du risque. À l'échelon le plus élevé de l'organisation, les résultats de la gestion du risque et les principaux risques de l'organisation sont regroupés dans le profil de risque de l'organisation pour alimenter la stratégie de cette dernière en vue de gérer le risque dans le but de réaliser ses objectifs. De façon générale, le profil de risque de l'organisation découle des profils de risque des secteurs d'activité élaborés à l'échelon hiérarchique inférieur de l'organisation, c'est-à-dire la direction et les unités fonctionnelles, qui relèvent habituellement d'un sous-ministre adjoint ou, dans les ministères et les organismes de moindre envergure, d'un directeur général ou d'un directeur exécutif. Le niveau opérationnel est l'échelon le moins élevé d'évaluation et de regroupement du risque. Les résultats obtenus ici alimentent les profils de risque des secteurs d'activité et de l'organisation. L'effectif du niveau organisationnel connaît le mieux ses activités et les risques qui s'y rattachent et sont à même de prendre toute mesure nécessaire. Il est donc essentiel d'obtenir leur participation pour avoir accès à leurs connaissances, développer chez ces employés un sentiment d'appartenance et faire en sorte qu'ils interviennent lorsque cela s'impose.

Utiliser un vocabulaire, un cadre et un processus communs

L'organisation doit promouvoir l'utilisation du vocabulaire, du cadre et du processus communs qu'elle a retenus pour créer la fonction de gestion intégrée du risque (voir l'élément 2 et l'annexe B). Elle doit donc employer de façon uniforme la terminologie du risque dans les documents traitant de sa politique et de la planification, ainsi que dans les rapports, sans oublier ceux destinés à la direction et aux fins de la mise en commun horizontale des résultats des unités fonctionnelles au chapitre de la gestion du risque. Il n'est pas nécessaire que les spécialistes renoncent à leurs terminologies professionnelles ou scientifiques propre au risque, mais ils doivent utiliser le vocabulaire commun de l'organisation pour présenter ou transmettre leurs résultats à l'ensemble de l'organisation afin que ces résultats soient pertinents et utiles pour l'ensemble des secteurs d'activité. Des communications et une compréhension améliorées ajoutent à la valeur du travail d'un service du point de vue des autres et font ressortir les liens ou le besoin, non constaté jusque là, d'en établir.

Le spécialiste de la gestion du risque ou le groupe de travail et les parrains du changement à l'échelle des unités fonctionnelles collaborent avec les gestionnaires ou conseillent ces derniers afin que le processus soit compatible avec les besoins particuliers des unités fonctionnelles.

Intégrer la gestion du risque aux pratiques à tous les échelons

Il faut veiller à ce que tous les échelons de l'organisation appliquent bel et bien les concepts de la gestion du risque à la prise de décisions et aux rapports pour renforcer les liens entre la charge de travail, l'affectation des ressources et le risque à l'échelle de l'organisation.

Le champion de la gestion du risque ou le groupe de spécialistes assure l'orientation et la coordination générales de l'intégration de la gestion du risque aux activités de planification et d'établissement des priorités de l'organisation. Il faut faire appel au comité de direction ou au groupe de travail pour obtenir commentaires et information.

Les champions de la gestion du risque ou les parrains du changement des unités fonctionnelles dirigent et facilitent la concordance à l'échelle de l'organisation et s'efforcent d'apporter les micro-changements importants suivants à l'ensemble des politiques, des procédures, des activités quotidiennes, des processus et des systèmes des unités fonctionnelles.

• Tenir compte de la gestion du risque dans l'élaboration des politiques, des plans et des priorités de l'ensemble de l'organisation.
• Encourager les gens à évaluer l'effet d'entraînement de leur travail.
• Intégrer les plans et les résultats de la gestion intégrée du risque aux processus de planification et d'établissement des priorités de l'organisation.
• Les unités fonctionnelles (directions et divisions) doivent intégrer la gestion du risque aux programmes et aux grandes initiatives.
• Il faut définir le risque sous l'angle des rôles et des responsabilités des gestionnaires (p. ex., évaluer les risques avant la prise d'une décision importante et intégrer les évaluations du risque aux études de cas).
• Intégrer l'évaluation du risque et la réponse à celui-ci aux plans d'entreprise des unités fonctionnelles à l'échelle de l'activité, de la division et de la région.
• Utiliser les nouveaux mécanismes de responsabilisation, comme les cadres de vérification axés sur les risques et les cadres de gestion et de responsabilisation axés sur les résultats, pour aider à intégrer la gestion du risque à la planification.
• Assurer la synergie entre la stratégie globale de gestion du risque du ministère et les pratiques de gestion du risque des unités fonctionnelles.

Les décideurs et les spécialistes ont des rôles distincts à jouer pour mettre en oeuvre la gestion intégrée du risque. Les décideurs doivent comprendre leurs responsabilités et privilégier l'analyse intégrée et les conseils. De leur côté, les spécialistes doivent comprendre les opérations et fournir une information et des analyses pertinentes et crédibles. Pour garantir la disponibilité en temps opportun de la bonne information aux fins d'une prise de décisions fondées sur la valeur et axées sur les résultats, cette information doit provenir de nombreuses sources, ce qui exige l'établissement d'un partenariat entre les spécialistes et les décideurs.

À l'instar de la fonction de contrôleur, la gestion du risque est un état d'esprit. Les gestionnaires doivent avoir conscience de la gestion du risque et l'intégrer à leurs autres pratiques de gestion. La gestion du risque sera plus pertinente si l'on évite les processus démesurément bureaucratiques et complexes. Les gestionnaires ont besoin de souplesse pour utiliser les techniques qu'ils jugent pertinentes et qui sont compatibles avec leurs activités. Toutefois, il faut pouvoir regrouper les techniques et comparer les résultats des unités opérationnelles à l'échelle de l'organisation.

Le diagramme qui suit représente une version de l'approche employée par Affaires indiennes et du Nord Canada. Il montre que la gestion du risque en général et l'application du processus décisionnel en particulier se pratiquent non en vase clos, mais dans le contexte d'activités opérationnelles continues à tous les niveaux de l'organisation, et que ces deux volets peuvent être complémentaires.

Facteurs personnels : aspects de l'expérience, de la personnalité, des antécédents et des préférences personnelles qui influent sur la tolérance à l'égard du risque et la propension à gérer le risque.

Facteurs collectifs : façons dont l'entourage immédiat d'une personne peut influencer sa tolérance à l'égard du risque et sa volonté de gérer le risque.

Facteurs organisationnels : messages directs et indirects que l'organisation transmet à ses membres au sujet des règles de base relatives à la tolérance à l'égard du risque et à la gestion du risque en général.

Facteurs environnementaux : éléments extérieurs à l'organisation qui nourrissent un intérêt ou exercent une influence à l'égard d'une décision spécifique en matière de risque ou de la gestion du risque en général.

Habiliter les gens

Il faut habiliter les gens à pratiquer la gestion du risque à l'échelle des unités fonctionnelles d'une manière qui alimente la gestion intégrée du risque à l'échelle de l'organisation et est alimentée par cette dernière.

Outils et techniques

L'organisation doit veiller à ce que tous les employés aient une formation adéquate, disposent d'outils éprouvés de gestion du risque et comprennent bien le vocabulaire commun de la gestion du risque pour faciliter les communications. La terminologie doit être à la fois claire et utile pour que les outils soient faciles à comprendre et à utiliser. Au nombre des principaux outils, citons les cartes du risque et les outils de modélisation.

Un modèle de gestion du risque (comme celui du CGIR figurant à l'annexe C) peut être utilisé pour évaluer où un risque donné se situe au plan de la probabilité (faible, moyenne ou élevée) et de l'incidence (importante, modérée ou mineure). Les résultats de l'évaluation du risque aident à cerner les risques les plus importants. Le modèle peut également servir à mesurer la tolérance à l'égard du risque, ou à en discuter, en établissant une zone définissant les risques acceptables et inacceptables. Enfin, le modèle peut servir à présenter une carte sommaire du risque indiquant la probabilité et l'incidence de chaque risque aux fins de comparaison ou de classification.

L'emploi d'une approche commune facilite le processus et appuie la comparabilité lorsque les résultats sont regroupés et considérés à l'échelle de l'organisation.

Les approches et les méthodes faciles à comprendre sont plus susceptibles d'être utilisées correctement. Songez à utiliser les outils existants ou ceux disponibles auprès d'associations professionnelles. Les employés les connaissent peut-être déjà ou les trouvent utiles dans d'autres contextes.

Entretenir une culture et des processus habilitants

Leadership actif de l'administrateur général, de l'équipe de direction et du champion de la gestion du risque

L'administrateur général, le champion de la gestion du risque et les gestionnaires supérieurs doivent appuyer constamment la gestion des principaux risques mentionnés dans le profil de risque de l'organisation et veiller à ce que ce profil demeure à jour. Ces chefs de file doivent encourager de façon visible la pratique de la gestion du risque et la mise en commun de l'information à l'échelle des secteurs d'activité et des unités fonctionnelles.

Cet appui de la haute direction doit englober la discussion de haut niveau des risques et des stratégies de l'organisation, de même que la surveillance de la planification stratégique et opérationnelle, ainsi que la reddition de comptes sur le rendement. La mesure dans laquelle les cadres supérieurs présentent les principes de gestion du risque donne le ton du maintien d'une culture de gestion intégrée du risque à l'échelle de l'organisation.

Consulter et communiquer

Informer les gens au sujet des pratiques de gestion du risque

Il faut élaborer et mettre en oeuvre une stratégie de communication, surveiller les résultats et apporter les ajustements nécessaires. Par exemple, le champion de la gestion du risque et les parrains locaux du changement doivent prévoir des boucles périodiques de rétroaction avec tous les services et dans tous les secteurs, et promouvoir des occasions de mettre en commun l'information sur la gestion du risque à l'échelle des secteurs et des fonctions. Il faut mettre au point des outils d'information (sites intranet, bulletins aux employés) pour mettre en commun les techniques, les outils et l'information sur la gestion du risque. Il faut encourager la tenue de tribunes ou d'ateliers sur la gestion du risque, en surveiller le nombre et déterminer si ces activités ont permis de cerner les risques, de proposer des stratégies d'atténuation et de discuter des pratiques exemplaires. Il faut mener des sondages périodiques pour déterminer si tous les membres du personnel sont informés des principaux risques, des procédures d'escalade du risque et des mesures d'urgence. A-t-on consulté les intervenants en temps opportun et de manière utile à l'égard de la gestion du risque, et les processus de consultation étaient-ils conformes à la Politique de communication du gouvernement du Canada?

Questions à considérer

1. L'organisation a-t-elle adopté un processus commun de gestion du risque. Existe-t-il une compréhension générale du risque et de la gestion du risque dans l'organisme? Utilise-t-on un vocabulaire commun relatif à la gestion du risque?
2. Comment les outils et méthodes de gestion du risque sont-ils appliqués à la prise de décisions? Quels outils de gestion du risque sont disponibles (p. ex., listes de vérification, cartes, questionnaires électroniques et pratiques exemplaires)? Ces outils font-ils appel aux consignes existantes, comme le Code de valeurs et d'éthique de la fonction publique de 2003? Sont-ils utilisés de manière efficace et uniforme? A-t-on recours à l'analyse de scénarios ou à des modèles de prévision pour comprendre divers scénarios liés à la planification des activités et aux mesures d'urgence?
3. Les plans d'activités et opérationnels tiennent-ils tous compte du risque et renferment-ils tous des mesures visant à les atténuer, à optimiser les occasions, ou les deux? A-t-on mis en place des systèmes et des processus pour surveiller le risque et l'efficacité des stratégies d'atténuation du risque? La direction rend-t-elle compte des risques et des processus de gestion du risque?
4. Existe-t-il des méthodes pour favoriser une communication régulière avec les intéressés, en ce qui concerne la perception du risque et la tolérance au risque?

Exemples

On trouvera à l'annexe D des échantillons de gabarits pour recenser, évaluer, consigner et communiquer l'information sur le risque. D'autres exemples sont disponibles sur le site Web du SCT, et cette liste sera étoffée en temps utile.

 

 

4. Assurer l'apprentissage continu en matière de gestion du risque

L'apprentissage en matière de gestion du risque consiste à mobiliser et à développer les connaissances et les capacités existantes afin que la culture organisationnelle opère la transition souhaitée vers un effectif et un contexte opérationnel soucieux du risque.

Pour obtenir le changement de culture souhaité afin que leur effectif ait le souci du risque, les organisations doivent faire place aux possibilités, à l'innovation et à la prise de risques responsable, tout en s'efforçant de réaliser leurs objectifs. Pour ce faire, les organisations doivent encourager l'apprentissage et insister sur le développement de la capacité de gestion du risque, tout en se concentrant sur l'accroissement de la sensibilisation à la gestion du risque, sur les connaissances et sur les compétences à l'échelle individuelle, de l'équipe et de l'organisation en plus de renforcer les processus, c'est-à-dire développer et utiliser les outils de gestion du risque.

Le rendement de la gestion intégrée du risque est tributaire de l'apprentissage continu. Chaque jour, les gens et les organisations trouvent de nouvelles façons de gérer efficacement le risque. Les organisations doivent surveiller les situations où la gestion du risque est devenue un outil de prise de décisions, et en tirer des leçons.

Fondements

• Développer les connaissances et la capacité existantes.
• Créer et favoriser un cadre de travail habilitant, où les gens peuvent tirer des leçons lorsqu'une situation donnée ne s'est pas déroulée comme prévu.
• Fournir des incitatifs pour souligner et renforcer les nouveaux comportements souhaités.
• Encourager et récompenser une attitude proactive à l'endroit du risque; apprendre à anticiper.
• Valoriser l'apprentissage exploratoire et l'expérimentation, plus particulièrement lorsque les retombées prévues du succès dépassent le coût d'un échec.
• Investir dans le pouvoir du savoir. Au lieu de craindre l'inconnu, trouver une façon de le démystifier. De bonnes décisions exigent une information de qualité. Enseigner les fondements. Promouvoir la gestion consciente et l'engagement des employés à développer les compétences en gestion du risque, en plus de développer, d'appliquer et de peaufiner les outils de gestion du risque (élaborer des plans et investir dans le développement des capacités de gestion du risque à l'échelle individuelle et de l'organisation).

Comment faire

À partir de l'évaluation des capacités élaborée pour les besoins du profil de risque de l'organisation, l'étape suivante consiste à formuler un plan de mise en oeuvre pour effectuer l'acquisition des compétences nécessaires à la gestion du risque actuel et anticipé de l'organisation. Cela comprend notamment l'intégration des concepts et des pratiques dans des plans de formation et des programmes d'apprentissage, la mise en commun des pratiques exemplaires de diverses façons et l'intégration d'incitatifs dans des systèmes de récompense.

Pour que le développement des compétences soit efficace, l'apprentissage doit être lié à une stratégie. Les organisations peuvent intégrer des plans d'apprentissage dans leurs processus et pratiques de gestion du risque et dans les ententes conclues avec les employés. Les ministères et les organismes peuvent susciter ou exploiter des possibilités d'apprentissage qui favorisent le développement des connaissances et des compétences des employés, de même que l'efficacité des processus. On peut notamment examiner la formation offerte par le Centre canadien de gestion (CCG), Formation et Perfectionnement Canada, d'autres ministères ou des experts-conseils de l'extérieur; participer à des conférences; devenir membres d'associations ou d'instituts; adopter les processus et les outils utilisés par d'autres ministères; et détacher les employés pour leur permettre de développer leurs compétences et leurs connaissances.

Les ministères et les organismes peuvent aussi vouloir mettre au point des cours, des activités d'apprentissage, des processus et des outils internes ou thématiques pour répondre aux besoins spécifiques de l'organisation ou mettre l'accent sur les approches et les priorités. Au nombre des sources d'avis, d'outils, de techniques et de ressources connexes, citons le document intitulé Fondements en vue de l'élaboration de stratégies d'apprentissage en gestion du risque dans la fonction publique, publié par le CCG en 2001.

Au chapitre de la mise en commun des pratiques exemplaires, les ministères et organismes peuvent explorer des mécanismes pour encourager l'apprentissage en matière de gestion du risque. Par exemple, les gens de votre organisation risquent fort d'avoir des idées au sujet de la compréhension de la gestion du risque, et d'être prêts à les partager. Les organisations peuvent utiliser les véhicules existants ou établir de nouveaux mécanismes pour communiquer, mettre en commun et rendre plus accessible ce savoir. Au nombre des processus et des moyens efficaces d'échanger des pratiques exemplaires, citons le groupe de travail de la gestion du risque de votre organisation, l'intranet ou l'Internet, les activités d'apprentissage, les séances d'information, un bulletin aux employés et des publications pour échanger des leçons apprises particulières à propos de la gestion du risque ou de la gestion intégrée du risque.

Une autre façon d'échanger l'information et les leçons apprises consiste à souligner les réussites et les contributions d'envergure. Les organisations peuvent encourager et récompenser la mise en commun et promouvoir l'apprentissage de la gestion du risque en documentant et en communiquant les leçons apprises, les études de cas et les pratiques exemplaires au sein du ministère. Pour étendre l'apprentissage au-delà des frontières ministérielles, ce savoir peut être transmis à une collectivité plus large. De même, prendre le temps de tirer des leçons de l'expérience d'autrui est un autre volet important de l'apprentissage continu.

La direction peut aussi modeler les comportements recherchés au plan de l'apprentissage continu de la gestion du risque. Pour démontrer que le savoir, les nouvelles idées, les nouvelles relations et l'expérimentation sont prisés, on peut inclure une gamme de points de vue dans le processus décisionnel, comme la perspective des intervenants et des citoyens. La sollicitation active des points de vue et de la rétroaction comme point de départ d'autres mesures transmet un message semblable.

Enfin, l'apprentissage continu de la gestion du risque signifie qu'il faut évaluer l'efficacité de certaines mesures et approches de gestion et les ajuster au besoin en fonction de leur contribution à la réalisation des résultats escomptés ou souhaités de l'organisation.

Questions à considérer

1. Les leçons apprises et les pratiques exemplaires sont-elles soulignées, documentées et communiquées à grande échelle? Sont-elles utilisées pour la planification et la formation?
2. A-t-on instauré des incitatifs pour déceler, encourager et récompenser l'identification du risque, les bonnes pratiques de gestion du risque, l'innovation et la prise des risques responsable?
3. La philosophie de gestion du risque fait-elle partie des programmes d'apprentissage existants? La formation en gestion du risque est-elle mise en valeur dans le programme de formation de l'organisation? Fait-on connaître à grande échelle les possibilités d'apprentissage et la disponibilité des outils de gestion du risque?

Exemples

Il est clair que les ministères commencent à reconnaître les avantages de la mise en commun des pratiques. Des mécanismes sont présentement mis au point pour faciliter la transmission du savoir et de l'expérience afin de minimiser le dédoublement des efforts. La mesure dans laquelle les ministères instaurent un environnement propice à l'apprentissage continu de la gestion de risque se reflète dans les plans d'apprentissage, les priorités en formation de gestion du risque, l'évaluation systématique des activités de gestion du risque, de même que la rétroaction et la mise en commun des résultats afin de permettre une amélioration continue. Plusieurs ministères font la promotion de l'apprentissage à l'échelle de l'organisation et partagent les leçons apprises avec la collectivité plus étendue. Voici des exemples :

• Certains ministères ont intégré des composantes de gestion du risque à leur page Web traitant de la modernisation de la fonction de contrôleur pour mettre en commun l'information sur la gestion du risque.
• Une organisation a invité les fonctionnaires de plusieurs autres ministères à suivre sa formation interne en gestion intégrée du risque.
• Certains ministères ont fait des présentations à l'intention d'autres organisations sur leurs défis de mise en oeuvre dans le but de promouvoir la mise en commun des expériences et la coordination.
• Certaines organisations ont partagé avec d'autres leurs analyses de l'environnement ou leurs cadres de gestion du risque.

Outre ces efforts ministériels, le SCT contribue à l'apprentissage continue de la gestion du risque. Voici des exemples :

La Direction de la gestion du risque (DGR) du SCT a lancé un site Web et un Conseil de mise en oeuvre du CGIR pour faciliter la mise en commun de l'information sur la gestion du risque à l'échelle de la fonction publique. La DGR a organisé des activités d'apprentissage pour développer le niveau de sensibilisation, les connaissances et les capacités en matière de gestion du risque, et elle continuera de le faire à l'avenir.

La DGR et la Direction de la modernisation de la fonction de contrôleur (DMFC) du SCT ont collaboré avec le CCG et Formation et perfectionnement Canada pour mettre au point des produits d'apprentissage de la gestion du risque (cours, ateliers, apprentissage électronique et séances informelles).

La DMFC a également lancé un site Web pour faciliter la mise en commun des pratiques ministérielles sur la modernisation de la fonction de contrôleur, y compris la gestion du risque. En outre, dans le cadre de son initiative de marketing social, la DMFC a publié des témoignages sur les pratiques exemplaires de gestion du risque.

 

Élaborer et mettre en oeuvre la gestion intégrée du risque : un aperçu

Démarrage—Obtenir et maintenir l'appui de la haute direction

L'administrateur général et la haute direction donnent le ton. Pour développer la volonté et la capacité de mise en oeuvre, ils doivent comprendre la gestion intégrée du risque et sa contribution à la réalisation des objectifs de l'organisation. Leur appui témoigne de l'engagement de l'organisation, tandis que le succès dépend de leur appui actif et soutenu.

• Discuter du niveau de préparation, des rôles et des approches de l'organisation avec les membres de direction pour obtenir leur engagement à apporter et à gérer les changements nécessaires. On peut hausser leur sensibilisation à la gestion du risque au moyen de séances d'information, de colloques, de retraites et de cours.
• Désigner un membre de la haute direction à titre de champion de la gestion du risque pour diriger et faciliter l'élaboration de plans d'exécution et de consignes sur l'intégration de la gestion du risque au processus décisionnel en place.
• Créer ou utiliser une tribune de haut niveau sur la gestion du risque présidée par l'administrateur général; envisager la mise sur pied d'un groupe de travail chargé de proposer des approches, des plans, des systèmes et des pratiques pour l'ensemble de l'organisation et de fournir des conseils à cet égard.
• Élaborer et communiquer un plan d'action pour mettre en oeuvre la gestion intégrée du risque et faire état des progrès.

Élaborer le profil de risque de l'organisation

Comprendre le contexte opérationnel—menaces, possibilités, points forts et lacunes—pour aider à orienter la gestion intégrée du risque. Dresser un bilan pour cerner les risques clés pour l'organisation et la capacité de cette dernière de composer avec eux.

• Analyser l'environnement interne et externe pour recenser et évaluer les types et les sources de risque, de même que ce qui est à risque, en tenant compte de l'interdépendance des domaines de risque pour l'ensemble de l'organisation, ainsi que des événements ou des activités d'envergure.
• Comprendre la tolérance à l'égard du risque pour saisir la nature et le niveau des risques que les intervenants sont prêts à accepter.
• Évaluer la capacité actuelle de gestion du risque (c.-à-d. l'utilité des outils, des techniques, des compétences, de l'expertise et des ressources de gestion du risque de l'organisation) pour déterminer la capacité actuelle de contrôler le risque et de cerner les lacunes.
• Élaborer la réponse initiale au risque en formulant des stratégies d'atténuation, de même qu'en tenant des consultations et en peaufinant les résultats de l'analyse et de la réponse.
• Présenter le profil de risque de l'organisation (c.-à-d. les résultats de l'analyse, de l'évaluation et de la réponse) de manière utile pour les intervenants, y compris la haute direction. Par exemple, soumettre une carte du risque d'une page et des bilans à l'échelle de l'administration centrale, des régions, des secteurs d'activité et des programmes.

Créer une fonction de gestion intégrée du risque - Intégrer la gestion du risque aux processus décisionnels et aux rapports existants

Établir et communiquer l'orientation et l'infrastructure de l'organisation en matière de gestion du risque en prenant appui sur ce qui existe déjà.

• Cibler la gestion du risque à l'échelle de l'organisation en utilisant les structures en place ou en en créant de nouvelles sous la conduite d'une tribune de la direction, à l'aide de ressources initiales de mobilisation et d'un champion désigné de la gestion du risque à l'échelle de l'organisation.
• Communiquer une orientation unique à l'échelle de l'organisation. Le champion de la gestion du risque dirige l'élaboration de consignes écrites comme une politique ou un cadre de gestion intégrée du risque et des principes opérationnels pour aider les divers services à intégrer la gestion du risque aux activités courantes. Cerner les rôles et les responsabilités, les cibles de programme, les facteurs critiques de succès, les mesures de rendement, de même que les sources et les types de risques, et fournir des consignes à ce sujet; diffuser ces consignes sur l'Intranet de l'organisation.
• Intégrer la gestion du risque aux structures décisionnelles existantes de façon homogène. Établir un vocabulaire et un processus ou un modèle commun du risque; concilier l'approche avec la planification organisationnelle; montrer comment elle appuie les objectifs de l'organisation.
• Développer la capacité de l'organisation. Recenser les compétences, les processus et les pratiques de gestion du risque qui doivent être développés et renforcés; prendre appui sur la capacité existante et adapter en fonction des besoins.

Pratiquer la gestion intégrée du risque

Gérer le risque à l'échelle de l'organisation et à celle des unités fonctionnelles, des programmes, des projets, des activités et des processus.

• Mobiliser l'ensemble de l'organisation. Concilier pleinement la gestion intégrée du risque avec les objectifs de l'ensemble des politiques, des plans et des opérations. Encourager l'administrateur général et le champion à exercer un leadership actif, et les cadres à discuter du profil de risque de l'organisation et de ceux des secteurs d'activité. Intégrer les plans et les résultats de la gestion intégrée du risque aux processus de planification et d'établissement des priorités de l'organisation.
• Habiliter les gens au moyen d'outils, de processus et de techniques en mettant à leur disposition des ressources et des outils efficaces et éprouvés.
• Soutenir l'initiative en développant une culture et des processus habilitants qui favorisent la participation, la confiance et l'intervention rapide à l'égard des enjeux; continuer de démontrer l'appui de la direction, prévoir du temps dans le cadre des réunions opérationnelles et de planification; tenir le profil de risque de l'organisation à jour; faire état du rendement; documenter les risques, les processus, les décisions, les plans, les mesures et les résultats.
• Consulter les intervenants internes et externes et communiquer avec eux tout au long du processus.

Assurer l'apprentissage continu en matière de gestion du risque

Créer et maintenir un milieu de travail habilitant pour appuyer l'évaluation, la rétroaction et la mise en commun des leçons. Appuyer l'innovation et encourager l'apprentissage—des gens et des processus - à l'échelle individuelle, de l'équipe et de l'organisation.

• Cultiver un milieu de travail habilitant. Démontrer l'engagement de la direction à l'égard de l'apprentissage en reliant l'apprentissage à la stratégie et aux priorités du ministère; valoriser le savoir, les idées et les relations nouvelles, de même que l'expérimentation; offrir les bons incitatifs en intégrant les récompenses et la reconnaissance; célébrer les réussites et les contributions d'envergure.
• Développer la capacité. Intégrer la gestion du risque aux plans d'apprentissage des employés, et les plans d'apprentissage aux pratiques de gestion du risque; faire appel à l'apprentissage externe; mettre au point des cours et offrir des activités d'apprentissage sur les approches du ministère; intégrer une gamme de perspectives (celles des intervenants et des citoyens) au processus décisionnel; solliciter activement des commentaires et de la rétroaction comme fondements des nouvelles mesures.
• Tirer des leçons de l'expérience. Surveiller, évaluer et ajuster les systèmes, les processus et les pratiques; documenter et partager les leçons et les pratiques exemplaires internes et externes; favoriser l'apprentissage par l'expérience au lieu de blâmer.

 

Résumé du quoi et du comment pour la mise en oeuvre de chaque élément du Cadre de gestion intégrée du risque

Démarrage—Obtenir et maintenir l'appui de la haute direction

Développer la volonté et la capacité nécessaires au changement, diriger l'initiative et gérer le changement

Quoi Ce que votre ministère ou organisme a déjà fait ou doit faire :	Comment Il y a diverses façons d'y parvenir. Essayez ces techniques éprouvées.
La direction discute du niveau de préparation de l'organisation, des rôles et des approches pour obtenir l'engagement à apporter et à gérer les changements nécessaires. Les gestionnaires doivent être convaincus de la valeur de la gestion intégrée du risque.	Informer et former la haute direction pour leur transmettre les renseignements pertinents et obtenir leur engagement par le biais de l'expertise interne ou en collaboration avec un praticien de l'extérieur, d'un chef de file de la mise en oeuvre ou un expert-conseil. Envisager le recours à des journées de réflexion pour la direction, à des colloques, à des ateliers et à des cours formels. Encourager l'examen du CGIR et des documents diffusés par le Bureau du conseil privé, le CCG et les ministères. Discuter au départ du niveau de préparation, des facteurs clés (autres initiatives et priorités de l'organisation, choix du champion de la gestion du risque, etc.).
L'administrateur général désigne un champion de la gestion du risque, doté des ressources appropriées, pour diriger l'élaboration et la mise en oeuvre d'un cadre de gestion intégrée du risque et d'une politique ou de consignes. Le rôle de champion de la gestion du risque reflète le besoin de centraliser la coordination et les conseils.	La désignation d'un champion de la gestion du risque au niveau de l'administrateur général est le moyen le plus efficace; il est également courant et efficace de situer le champion au sein d'une fonction organisationnelle (à l'échelon de l'administrateur général adjoint) comme la planification stratégique et les activités ou les services ministériels. Investir dans le démarrage—le champion a ainsi les employés et les fonds nécessaires. Il faut des efforts pour atteindre un certain rythme, assurer la formation des gestionnaires et des spécialistes, et établir des outils et des processus de bonne qualité. Désigner un groupe de spécialistes pour fournir leur expertise et promouvoir une façon systématique d'intégrer la gestion du risque. Commencer par une source d'expertise existante (p. ex., les services ministériels) et migrer aux besoins (p. ex., vers la planification stratégique). Avec l'aide du champion, le groupe peut orienter et coordonner l'intégration avec la planification organisationnelle et l'établissement des priorités, de même que les processus communs servant à établir les priorités entre les principaux domaines de risque et affecter les ressources, ainsi qu'un processus d'examen de l'environnement à l'échelle de l'organisation.
L'administrateur général met sur pied et préside une tribune de gestion du risque, pour développer la volonté et la capacité nécessaires au changement, pour gérer le changement et pour tenir compte de façon soutenue des risques, des approches de mise en oeuvre, de la capacité et du rendement.	Mettre sur pied une tribune distincte de haut niveau ou en utiliser une existante, comme le comité de direction du ministère. Faire preuve d'engagement personnel. Le comité de direction peut aider à aiguillonner le processus en prévoyant des activités et en prévoyant des rapports. Souligner que l'administrateur général et les cadres supérieurs doivent être disposés à prendre l'initiative en charge. Même si la coordination est centralisée, les responsabilités sont claires et réparties puisque les risques de l'organisation sont souvent gérés par secteur d'activité. Mettre sur pied un groupe de travail multifonctionnel représentatif afin de proposer des approches, des plans, des systèmes et des pratiques organisationnels et de fournir des conseils à cet égard.
Évaluer le niveau de préparation et les rôles de l'organisation pour préparer cette vaste initiative de changement qui nécessitera l'investissement de temps et de ressources à plus long terme.	Utiliser les résultats de l'évaluation des capacités de la fonction de contrôleur, de même que la réponse et le plan de l'organisation à l'égard du risque. Poser des questions fondamentales : Comment la gestion intégrée du risque (GIR) nous aidera-t-elle à réaliser nos objectifs, comment pouvons nous garantir le succès, comment les employés réagiront-ils? Utiliser des outils de haut niveau pour évaluer le degré général de préparation : modèles de changement, processus organisationnels d'évaluation, schémas culturels et sondages, outils d'analyse de situation, groupes de discussion (voir la rubrique « Documents de référence » du présent guide). Emprunter et utiliser des pratiques de gestion du changement. Utiliser les leçons et les outils dont disposent déjà certains ministères et organismes (p. ex., l'outil de référence et de diagnostic de la GIR de Développement des ressources humaines Canada). Utiliser le comité ou le groupe de travail de la gestion du risque pour obtenir commentaires et information. Tenir des séances avec la direction et les autres intervenants en faisant appel à des animateurs externes. Consulter les sources et les conseillers externes. Utiliser les bibliothèques de référence (p. ex., celles du SCT et de la Risk and Insurance Management Society (RIMS)).
Élaborer et communiquer un plan d'action pour mettre en oeuvre la gestion intégrée des risques en fonction de l'évaluation du niveau de préparation et des rôles.	Préparer un plan d'action (le SCT offre un gabarit). Prévoir une mise en oeuvre souple. La GIR progressera probablement par étapes; envisager des projets pilotes. Prévoir une stratégie pour passer des projets pilotes à l'intégration systématique pour aider à maintenir le cap de la mise en oeuvre sur une plus longue période. Utiliser l'outil d'autoévaluation du cadre de gestion du risque de l'organisation. Mettre sur pied des groupes consultatifs multifonctionnels. Cibler et appuyer les praticiens de la première heure, dont la participation et la démonstration des avantages concrets favorisera l'appui des autres équipes de gestion. Établir des partenariats avec d'autres intervenants, comme les promoteurs du changement (chefs de file des secteurs d'activité) pour que la GIR demeure une priorité et que les agents du changement modifient l'ensemble des politiques, des activités courantes, des systèmes et des processus. Intégrer la GIR aux plans de formation et d'apprentissage. Fournir des exemples et des points de référence provenant d'organisations externes semblables : utiliser les bibliothèques de référence (SCT, CCG, Conference Board du Canada et RIMS); consulter le plan d'examen des progrès du SCT pour prendre connaissance des indicateurs de progrès et des approches de suivi; utiliser les outils d'autoévaluation (voir la rubrique « Documents de référence »).
En permanence : Consulter l'ensemble des employés, des intervenants et des clients, et communiquer avec eux.	Mettre sur pied des groupes consultatifs multifonctionnels. Diffuser les travaux en cours et prévoir des mécanismes pour solliciter et saisir la rétroaction. Faire une utilisation efficace des systèmes existants d'information sur le rendement. Lancer la formation et l'apprentissage axés sur la GIR.

Élaborer le profil de risque de l'organisation

Le profil de risque de l'organisation donne un aperçu du contexte opérationnel de cette dernière et de sa capacité de composer avec les principaux risques de haut niveau de manière à réaliser les objectifs et les résultats de l'organisation.

Quoi Ce que votre ministère ou organisme a déjà fait ou doit faire :	Comment Il y a diverses façons d'y parvenir. Essayez ces techniques éprouvées.
Planifier et préparer Faire participer la haute direction à l'élaboration du profil de risque de l'organisation, de même qu'à la mise au point d'un processus.	Informer et former la haute direction en matière de gestion intégrée du risque et solliciter leurs commentaires et leur appui à l'égard du processus choisi pour élaborer le profil de risque de l'organisation. Le processus doit inclure une classification élémentaire des risques et un système de cotation. Au nombre des catégories de risque possibles, citons la santé et la sécurité, la gestion financière et économique, les facteurs sociaux, l'environnement, les opérations, la confiance du public, les actifs, les projets, les engagements, la sécurité, la technologie de l'information, les ressources humaines et les facteurs politiques. Utiliser l'expertise interne pour élaborer un tel processus, ou le développer en collaboration avec un praticien ou un expert-conseil de l'extérieur. Étalonner le statut de l'organisation en matière de gestion du risque. Évaluer la pertinence d'autres approches pour l'organisation.
Utiliser une tribune ou un comité de la direction.	Utiliser une tribune ou un comité de la direction pour guider l'élaboration du profil de risque de l'organisation. Envisager le recours à un groupe de travail pour appuyer ce comité.
Communiquer l'approche approuvée et les progrès.	Diffuser un bulletin aux employés ou une note de service interne. Tenir une séance d'information de la direction. Tenir une assemblée générale de l'organisation. Organiser une journée de réflexion pour la direction. Solliciter des renseignements précis par le biais d'entrevues, de lettres d'appel, d'une tribune ouverte ou d'une séance dirigée.
Documenter les éléments clés du profil
Analyser l'environnement.	Utiliser ce qui existe déjà. Valider les conclusions, les hypothèses et les perceptions auprès des gestionnaires clés et du comité de direction. Analyse de l'environnement interne Examiner les résultats de l'évaluation des capacités de l'Initiative de modernisation de la fonction de contrôleur et le plan d'action correspondant. Examiner les documents de planification stratégique, les observations de vérification, et les recommandations. Examiner les rapports et l'information sur le rendement. Examiner le cadre stratégique. Consulter les groupes chargés de la planification intégrée, de la politique, de la vérification et de l'évaluation. Contacter les cadres et les gestionnaires clés des directions, des programmes, des secteurs d'activité et des fonctions. Envisager le recours à des entrevues, à des enquêtes, à des questionnaires, à des groupes de discussion et à des séances dirigées. Envisager la collecte de données sur les risques par programme, par secteur d'activité, par discipline ou par domaine fonctionnel, par emplacement géographique, par type de risque, par source de risque, ou selon une combinaison de ce qui précède ou d'autres catégories pertinentes. Analyse de l'environnement externe Envisager un contrôle médiatique et l'emploi de sondages d'opinion. Mettre sur pied des groupes ou des conseils consultatifs. Solliciter l'avis de groupes de consommateurs (utilisateurs de programmes ou de services). Examiner le programme stratégique du gouvernement, y compris le discours du Trône. Comparer le statut de l'organisation à celui d'autres ministères. Examiner les résultats des enquêtes de Statistique Canada pour dégager les tendances. Consulter des groupes de réflexion, des associations, des groupes d'intérêts et des groupes de pression. Envisager ce qui suit pour recueillir l'information souhaitée : Effectuer une analyse de l'environnement interne d'une fonction existante de l'organisation (p. ex., le groupe des communications ministériel). Avoir recours à un fournisseur de services externe pour effectuer le contrôle médiatique ou des recherches. Employer une enquête ou un questionnaire ciblé ou omnibus. Employer des babillards électroniques, des scénarios théoriques et des ateliers animés pour solliciter la réaction des intervenants. Mettre à l'essai auprès de groupes cibles et réaliser des projets pilotes pour cibler des marchés ou des régions géographiques.
Comprendre la tolérance à l'égard du risque.	Tenir compte de ce qui suit : Examiner le cadre stratégique (instruments directeurs, lois, règlements, etc.). Examiner les attentes et les résultats en matière de rendement. Déterminer dans quelle mesure les employés comprennent les risques pris par eux-mêmes, par leur équipe et par le ministère. Déterminer s'il y a consensus sur la notion de tolérance à l'égard du risque. Consulter les principaux intervenants pour mieux comprendre leur tolérance à l'égard du risque.
Évaluer la capacité actuelle en matière de gestion du risque.	Recenser les outils et les techniques de gestion du risque en usage, et noter par qui. Déterminer le niveau d'expertise des ressources humaines en gestion du risque (connaissances et compétences actuelles). Évaluer l'infrastructure, c'est-à-dire la stabilité organisationnelle et la capacité des systèmes.
Élaborer la réponse à l'égard du risque.	Analyser l'information recueillie (analyses de l'environnement, capacité de gérer le risque et tolérance des intervenants à l'égard du risque) et en soumettre un bilan à l'examen du comité de direction. Le comité de direction évalue le large éventail de risques auxquels l'organisation est confrontée quant à leur probabilité et à leur incidence sur la réalisation des objectifs de l'organisation. Le comité de direction choisit de 5 à 10 principaux risques de haut niveau qui doivent être gérés à l'échelle de l'organisation. Le comité de direction classifie ces risques et détermine les étapes que l'organisation doit suivre pour les gérer. Chercher à mobiliser les intervenants clés pour obtenir leur appui à l'égard des étapes prévues.
Présenter le profil de risque de l'organisation.	Intégrer l'information organisationnelle et connexe sur les principaux risques dans les documents ministériels (plans stratégiques, rapports sur le rendement, etc.); Élaborer un document distinct pour énumérer les principaux risques auxquels est confrontée l'organisation et présenter l'information connexe et les mesures d'atténuation.

Créer une fonction intégrée du risque—Intégrer la gestion du risque aux processus décisionnels et aux rapports existants

Mettre sur pied une infrastructure organisationnelle—le pourquoi, le quoi, le qui et le comment—pour faire de la gestion du risque un élément intégral de la stratégie et des opérations de l'organisation. Utiliser le profil de risque de l'organisation pour façonner des objectifs et des stratégies de gestion du risque qui correspondent aux objectifs de l'organisation. Intégrer la gestion du risque pour qu'elle fasse partie des efforts courants axés sur la réalisation des objectifs et qu'elle ne soit pas perçue comme une exigence supplémentaire.

Quoi Ce que votre ministère ou organisme a déjà fait ou doit faire :	Comment Il y a diverses façons d'y parvenir. Essayez ces techniques éprouvées.
Cibler la gestion du risque à l'échelle de l'organisation en utilisant les structures en place ou en en créant de nouvelles.	Situer la gestion intégrée du risque comme relevant d'une tribune de haut niveau présidée par l'administrateur général. Prévoir un investissement initial de ressources à des fins de mobilisation. Désigner un champion de la gestion du risque à l'échelle de l'organisation et lui fournir un soutien adéquat, c'est-à-dire du temps d'accès à la direction et des ressources spécialisées. Assortir la gestion intégrée du risque d'un point de mire approprié au sein de l'organisation à partir duquel on pourra établir des liens naturels avec les domaines fonctionnels.
Communiquer l'orientation de la direction à l'égard de la gestion du risque à tous les niveaux de l'organisation pour forger une culture organisationnelle soucieuse du risque.	Le champion de la gestion du risque de l'organisation dirige l'élaboration d'une politique ou d'un cadre de gestion intégrée du risque au moyen de l'expertise interne ou avec l'aide d'un expert-conseil; il faut montrer comment la gestion intégrée du risque rejoint et appuie les objectifs de l'organisation. Des consignes écrites (un cadre, une politique ou des principes opérationnels) sont communiquées à l'échelle de l'organisation et aident les divers services à intégrer la gestion du risque aux activités courantes, ce qui lui confère une valeur et de la pertinence aux yeux de tous les employés. Recenser et encadrer les rôles et les responsabilités, les cibles de programme, les facteurs critiques de réussite, les mesures du rendement, de même que les sources et les types de risque. Utiliser un réseau de champions de la gestion du risque au niveau fonctionnel pour obtenir commentaires et information, et servir d'intermédiaire pour communiquer les messages de l'organisation au sujet du risque.
Intégrer la gestion du risque aux structures décisionnelles existantes de façon homogène.	Établir un vocabulaire commun à propos du risque (notamment ce que l'on entend par le risque, la gestion du risque et la gestion du risque juridique) et utiliser ce vocabulaire de façon uniforme dans les consignes et les documents de l'organisation. Établir un processus commun de gestion du risque. L'un des buts du processus est de faire de la gestion du risque un volet intégral des pratiques administratives afin que les employés ne la considèrent pas comme une source de travail additionnel. Concilier l'approche avec la planification organisationnelle. Le champion de la gestion du risque ou le groupe de spécialistes encadre et coordonne l'intégration avec la planification organisationnelle et l'établissement des priorités, la définition de processus communs pour établir les priorités, répartir les ressources entre les principaux domaines de risque et diriger l'analyse de l'environnement à l'échelle de l'organisation. Utiliser le groupe de travail multifonctionnel représentatif pour proposer des approches, des plans, des systèmes et des pratiques, y compris l'affectation des ressources, à l'échelle de l'organisation, et pour fournir des conseils à cet égard.
Développer la capacité de l'organisation : recenser les capacités, les processus et les pratiques de gestion du risque qu'il faut développer et renforcer en prenant appui sur la capacité existante et en l'adaptant au besoin.	Développer la sensibilisation aux initiatives et à la culture de gestion du risque; étendre la gamme de compétences au moyen d'une formation structurée; développer les connaissances par la mise en commun des pratiques exemplaires et des expériences; développer la capacité de travailler en équipe. Développer, adapter et adopter des outils, des techniques, des pratiques et des processus de gestion du risque à l'échelle de l'organisation; fournir des consignes sur l'utilisation des outils et des techniques; permettre l'élaboration et l'utilisation d'autres outils et techniques qui pourraient être mieux adaptés à la gestion du risque dans des situations particulières; et adopter des processus pour assurer l'intégration de la gestion du risque à l'échelle de l'organisation.

Pratiquer la gestion intégrée du risque

Mettre en oeuvre des approches et des processus souples et dynamiques pour intégrer la gestion du risque aux politiques, aux plans, aux opérations et aux processus décisionnels courants. Il faut pratiquer la gestion intégrée du risque ascendante, descendante et horizontale afin que la perspective organisationnelle alimente les pratiques locales, et vice versa.

Quoi Ce que votre ministère ou organisme a déjà fait ou doit faire :	Comment Il y a diverses façons d'y parvenir. Essayez ces techniques éprouvées.
Mobiliser l'ensemble de l'organisation en intégrant pleinement la gestion intégrée du risque aux objectifs de l'ensemble des politiques, des plans et des opérations, et en intégrant les résultats de la gestion du risque aux pratiques à tous les échelons.	À partir du profil de risque de l'organisation et des consignes données lors de la création de la fonction de gestion intégrée du risque : Le champion de la gestion du risque ou le groupe de spécialistes encadre et coordonne l'intégration avec la planification organisationnelle, l'établissement des priorités et l'élaboration de processus communs pour établir les priorités et répartir les ressources pour répondre aux risques et élaborer un processus d'analyse de l'environnement à l'échelle de l'organisation. Assurer la compatibilité avec les objectifs à tous les niveaux afin que les gens puissent constater les avantages individuels et collectifs, de même que leur contribution; cela permet aussi de préciser et d'améliorer la responsabilisation. La concordance est assurée ou facilitée par les champions ou les parrains du changement des unités fonctionnelles qui veillent à apporter les micro-changements à l'ensemble des politiques, des procédures des unités fonctionnelles, des activités courantes, des processus et des systèmes. Utiliser le comité ou le groupe de travail de la gestion du risque pour obtenir commentaires et information.
Doter les gens de processus, d'outils et de techniques en mettant à leur disposition des ressources et des outils efficaces et éprouvés.	Utiliser un processus commun de gestion du risque pour cerner, évaluer, surveiller et évaluer les risques, et pour y réagir. Encourager les gens à évaluer l'effet d'entraînement de leur travail. Utiliser un vocabulaire commun de la gestion du risque pour faciliter les communications. Fournir des outils de formation pour améliorer les connaissances sur la gestion du risque, y compris les processus communs et spéciaux de gestion du risque comme le contrôle et l'autoévaluation du risque.
Maintenir une culture habilitante et développer des processus qui favorisent la participation, la confiance et une intervention rapide à l'égard des diverses questions.	L'administrateur général, le champion de la gestion du risque et les cadres supérieurs exercent un leadership actif; par exemple, l'administrateur général et le SMA, ou les responsables des secteurs d'activité, discutent en tête à tête des principaux risques; l'ensemble des membres de la direction discutent des profils de risque de l'organisation et des secteurs d'activité; les cadres supérieurs manifestent clairement leur engagement et leur appui en consacrant du temps à cette question lors des réunions de planification et d'examen des opérations. Utiliser le groupe de travail multifonctionnel représentatif pour proposer des approches, des plans, des systèmes et des pratiques à l'échelle de l'organisation, et fournir des conseils à cet égard. Tenir à jour le profil de risque de l'organisation. Faire état du rendement (p. ex., en regard des attentes en matière de gestion du risque dans le texte des principaux indicateurs du rendement, des ententes des employés sur le rendement et des descriptions de travail). Documenter les risques, les processus, les décisions, les plans, les mesures et les résultats.
Consulter les intervenants internes et externes et communiquer avec eux tout au long du processus.	Utiliser le réseau intranet de l'organisation pour promouvoir la sensibilisation au risque et les outils pertinents, et pour obtenir et mettre en commun l'information sur le risque (p. ex., sur le risque dans certains domaines). Adresser des messages précis sur le risque aux auditoires cibles; tenir compte du « Cela me donne quoi? » à l'égard de chaque personne et de chaque groupe. Comprendre et expliquer de manière efficace au public que le risque, qu'il soit perçu comme étant bon, mauvais ou neutre, est un élément inhérent et que le gouvernement doit gérer le risque pour obtenir un résultat net. Utiliser les rapports de l'organisation pour diffuser les messages sur le risque, par exemple, la façon dont le risque est géré. Se conformer à la Politique des communications du gouvernement du Canada.

Assurer l'apprentissage continu en matière de gestion du risque

Mobiliser et développer les connaissances et les capacités existantes pour obtenir le changement de culture souhaité en faveur d'un effectif et d'un milieu de travail soucieux du risque.

Quoi Ce que votre ministère ou organisme a déjà fait ou doit faire :	Comment Il y a diverses façons d'y parvenir. Essayez ces techniques éprouvées.
Créer un milieu de travail habilitant.	Faire la preuve de l'engagement et de l'appui de la direction à l'égard de l'apprentissage en reliant ce dernier aux priorités de l'organisation en matière de gestion du risque. Valoriser les connaissances, les idées nouvelles, les nouvelles relations et l'expérimentation. Souligner les réussites et les contributions d'envergure. Développer, utiliser, obtenir et améliorer les outils de gestion du risque.
Développer la capacité.	Intégrer la gestion du risque aux plans formels de formation individuels et collectifs. Le cas échéant, intégrer une philosophie de gestion du risque aux programmes de formation existants. Mobiliser et exploiter les possibilités d'apprentissage externes. Élaborer des cours pour cibler les approches et les priorités du ministère.
Tirer des leçons de l'expérience.	Mettre au point un processus efficace pour documenter et mettre en commun les leçons apprises à l'interne et à l'échelle de l'administration fédérale. Examiner les décisions, les événements et les mesures que l'on ne parvient pas à transformer en des occasions d'apprentissage. Évaluer les résultats des décisions de gestion du risque pour en déterminer l'efficacité (prendra-t-on la même mesure à l'avenir dans des circonstances similaires?)

 

Documents de référence

On trouvera sur la page du site Web du SCT consacrée à la gestion du risque (/site/default.aspx) de multiples ressources, exemples et études de cas sur la gestion intégrée du risque sous forme de documents ou de liens vers d'autres sites Web. Voici quelques documents de référence.

Gouvernement fédéral

Bureau du vérificateur général du Canada. Rapport d'avril 2003, et plus particulièrement le message de la vérificatrice générale et le chapitre 1, La gestion intégrée du risque (www.oag-bvg.gc.ca).

Centre canadien de gestion. Les documents suivants sont disponibles sur le site Web du CCG (www.ccmd-ccg.gc.ca) :

• Fondements en vue de l'élaboration de stratégies d'apprentissage en gestion du risque dans la fonction publique (2001).
• Bâtir la confiance : une pierre d'assise de la gestion du risque (2001).
• Guide d'introduction à la gestion du risque dans la fonction publique (2001).

Développement des ressources humaines Canada. La gestion intégrée du risque à Développement des ressources humaines Canada (octobre 2002). Disponible auprès de ce ministère, ce document explique comment DRHC a géré la mise en oeuvre de la gestion intégrée du risque à l'échelle de l'organisation et traite des leçons apprises.

Bureau du Conseil privé (www.pco-bcp.gc.ca) :

• Gestion du risque pour le Canada et les Canadiens : Rapport du Groupe de travail des SMA sur la gestion du risque (mars 2000).
• Cadre d'application de la précaution dans un processus décisionnel scientifique en gestion du risque (juillet 2003).

Secrétariat du Conseil du Trésor du Canada. Sauf indication contraire, les documents sont disponibles à l'adresse /rm-gr/site/default.aspx :

• Cadre de gestion intégrée du risque (avril 2001).
• Le cadre de responsabilisation de gestion du Secrétariat du Conseil du Trésor du Canada (2003) (/maf-crg/index-fra.asp).
• Cadre de gestion intégrée du risque : Rapport sur les progrès de la mise en oeuvre (mars 2003) (/rm-gr/irmf-cgir/2003-03-rprt-fra.asp).
• Code de valeurs et d'éthique de la fonction publique (2003) (/veo-bve/).
• Assembler tous les éléments : initiatives principales et témoignages au sujet de la fonction de contrôleur moderne, plus particulièrement les études de cas de gestion du risque, aux pages 55 à 83 (mars 2003) (/cmo_mfc/).
• Changer la culture de gestion : modèles et stratégies pour réaliser cet objectif (mars 2003) (/cmo_mfc/).
• Mise en oeuvre du Cadre de gestion intégrée du risque : Plan d'examen des progrès réalisés. Préparé par T. K. Gussman Associates Inc., pour le Secrétariat du Conseil du Trésor du Canada, 18 janvier 2002).
• Répertoire des outils et de la formation ministérielle en matière de gestion des risques au gouvernement fédéral (décembre 2001) .
• Les pratiques exemplaires en matière de gestion des risques dans les secteurs privé et public, au niveau international. Préparé par KPMG LLP pour le SCT (avril 1999).
• Étude sur les meilleures pratiques canadiennes en matière de gestion des risques. Préparé par Performance Management Network Inc. pour le SCT (avril 1999).
• Risque, innovation et valeurs—examen des tensions. Préparé par M. Otto Brodtrick, du Centre for Public Manaement, pour le SCT (avril 1999).

Conference Board du Canada

Les documents suivants sont à la disposition des membres du Conference Board du Canada, à l'adresse www.conferenceboard.ca :

• Getting Reputation Right/A Risky Business, Glenda Myles et Karen Schoening-Thiessen (juin 2003).
• Valuing Risk Management Performance, Proceedings of the 2002 Risk Management Conference. Karen Thiessen. Parrainé par le SCT. Aussi disponible sur le site Intranet de la fonction publique fédérale .
• Integrating Risk Management Through a Change Management Process, Karen Thiessen (octobre 2001).
• Forewarned is Forearmed/Identification and Measurement in Integrated Risk Management, Kimberley Birkbeck (janvier 1999).
• Realizing the Rewards in Risk Management/How Integrated Risk Management Can Benefit Your Organization, Kimberley Birkbeck (juin 1998).
• A Conceptual Framework for Integrated Risk Management, Lucy Nottingham (septembre 1997).

Association canadienne de normalisation

Gestion du risque: Lignes directrices à l'intention des décideurs, CAN/CSA-Q850-97 (octobre 1997).

Autres gouvernements

Australie/Nouvelle-Zélande

Documents disponibles par le biais du portail de Standards Australia (http://www.riskreports.com/standards.html) :

• HB 143:1999 Guidelines for managing risk in the Australian and New Zealand public sector. A Joint Australian/New Zealand Handbook prepared by Joint Technical Committee OB/7—Risk Management., Standards Association of Australia, ISBN 0 7337 2815 4.
• HB 142:1999 A basic introduction to managing risk using the Australian and New Zealand Risk Management Standard, AS/NZS 4360:1999. An Australian Handbook prepared by Joint Technical Committee OB/7 —Risk Management, Standards Association of Australia, ISBN 0 7337 2794 8.
• Australian/New Zealand Risk Management Standard, AS/NZS 4360:1999.

Royaume-Uni

• Risk: Improving government's capability to handle risk and uncertainty, Strategy Unit, Cabinet Office, novembre 2002
  (http://www.cabinetoffice.gov.uk/strategy/index.asp).
• Risk Management Strategy, Department for Environment, Food and Rural Affairs, avril 2002 (http://www.defra.gov.uk/corporate/busplan/riskmanage/index.htm).
• UK Departmental Risk Management Frameworks. HM Treasury (http://www.hm-treasury.gov.uk/about/about_riskmanage.cfm).

Annexe A

Qui fait quoi pour mettre en oeuvre la gestion intégrée du risque

Voir aussi l'annexe 1, « Leadership partagé - Suggestions de rôles et de responsabilités », du Cadre de gestion intégrée du risque (avril 2001)

Éléments/résultats de la mise en oeuvre de la gestion intégrée du risque	Administrateurs généraux (ou l'équivalent) et haute direction	Champion de la gestion du risque à l'échelle de l'organisation/point de mire	Gestionnaires	Conseillers fonctionnels et spécialistes, examen et vérification interne	Tous les fonctionnaires
Démarrage—Obtenir et maintenir l'appui de la haute direction (s'engager)	Engager—Développer la volonté et la capacité nécessaires au changement, diriger l'initiative et gérer le changement.
Résultats escomptés : Le niveau de préparation de l'organisation est évalué. Les principaux risques sont examinés individuellement par une tribune de la direction. Les rôles et les approches pour aborder le risque sont discutés par les membres de la haute direction en collégialité. Un champion de la gestion du risque membre de la haute direction est désigné.	Évaluer le niveau de préparation de l'organisation. Inscrire la gestion intégrée du risque au programme de la direction; veiller à ce que la direction en discute. Désigner un champion de la gestion du risque. Faire preuve d'engagement et d'appui pour mobiliser l'ensemble de l'organisation.	Devenir ou demeurer en mesure de parler de façon compétente de la gestion intégrée du risque dans le contexte de la réalisation des objectifs de l'organisation. Sensibiliser davantage les membres de la direction au risque. Diriger et faciliter l'élaboration et la diffusion de plans de mise en oeuvre et des consignes nécessaires.	Participer à l'évaluation du niveau de préparation de l'organisation. Contribuer à sensibiliser l'organisation au risque. Être des agents du changement.	Participer à l'évaluation du niveau de préparation de l'organisation, et fournir des conseils à cet égard. Appuyer les gestionnaires dans leur rôle d'agents du changement.	Comprendre les changements à l'horizon et faire preuve d'ouverture.
Élaborer le profil de risque de l'organisation (réfléchir)	Recourir à la pensée stratégique—Faire le point sur l'environnement opérationnel de l'organisation et sur sa capacité de composer avec les risques clés de haut niveau liés à la réalisation de ses objectifs.
Résultats escomptés : L'analyse de l'environnement permet de cerner les risques auxquels fait face l'organisation. La situation actuelle en matière de gestion du risque dans l'organisation est évaluée. Le profil de risque de l'organisation est déterminé.	Établir l'orientation stratégique. Constamment remettre en question les hypothèses. Encourager les gestionnaires à renouveler leurs perspectives et à maintenir leurs analyses à jour. Prendre et communiquer les décisions au sujet des priorités et de l'acceptation du risque de façon que les employés aient une même impression du risque et disposent du même contexte pour prendre position.	Diriger l'élaboration du profil de risque de l'organisation ou travailler avec les agents de planification de l'organisation pour en diriger l'élaboration.	Participer à l'analyse de l'environnement, au recensement, à l'analyse et à l'évaluation des menaces et des possibilités, y compris en ce qui touche la capacité interne de gestion du risque.	Aider les gestionnaires à recenser et à évaluer le risque, de même que l'efficacité et l'économie des mesures existantes de gestion du risque.	Demeurer conscient et attentif à l'égard des questions touchant la gestion du risque.
Créer la fonction de gestion intégrée du risque (préparer)	Préparer—Établir une infrastructure appropriée à la gestion intégrée du risque, laquelle s'inspire des éléments en place.
Résultats escomptés : L'orientation de la direction en matière de gestion du risque est communiquée, comprise et appliquée. La gestion intégrée du risque est mise en oeuvre par l'intermédiaire de la structure actuelle de prise de décisions et de rapports. La capacité de l'effectif est renforcée grâce à la mise au point de plans et d'outils d'apprentissage.	Veiller à ce que la gestion du risque soit encrée au niveau de l'administrateur général et que les personnes compétentes participent à sa mise en oeuvre ou la dirige. Encourager la conception et la mise en oeuvre en temps opportun. Approuver la politique, l'approche, les principes opérationnel et la structure de gouvernance. Appuyer l'utilisation ou l'élaboration des systèmes appropriés d'information et de TI.	Fournir des conseils au sujet des approches de mise en oeuvre et des stratégies de gestion du changement. Appuyer l'élaboration de la fonction, ce qui peut prendre un certain temps, par exemple, démontrer les avantages pour l'organisation (gains et économies mesurables et meilleure gestion de risques auparavant négligés).	Commenter les approches et les stratégies proposées à la lumière des systèmes et des questions à l'échelle fonctionnelle et organisationnelle, et fournir des conseils à cet égard. Comprendre et communiquer l'orientation de la direction, de même que des conseils et des questions aux employés et unités fonctionnelles.	Fournir des conseils sur la conception et sur la question de savoir si la fonction en voie d'être établie ou existante satisfera à la vision et aux objectifs connus.	Comprendre l'approche de l'organisation pour mettre en oeuvre la fonction, et fournir des conseils au sujet de sa conception et de sa mise en oeuvre.
Pratiquer la gestion intégrée du risque (agir)	Agir—Pratiquer la gestion intégrée du risque ascendante, descendante et horizontale pour obtenir un portrait complet qui soit significatif pour l'organisation.
Résultats escomptés : Un processus commun de gestion du risque est appliqué de manière uniforme à tous les échelons. Les résultats des pratiques de gestion du risque à tous les échelons sont intégrés à la prise de décisions et à l'établissement des priorités éclairées. Les outils et les méthodes sont appliquées. On consulte les intervenants et l'on communique constamment avec eux.	Assurer un leadership stratégique qui appuie le profil de risque de l'organisation, les plans stratégiques et opérationnels, aiguillonne l'identification et l'examen des principaux risques et façonne les principes d'une saine gestion du risque. Continuer de manifester un appui et consacrer du temps à la gestion intégrée du risque à l'occasion des réunions opérationnelles et de planification. Veiller à ce que les communications renforcent la culture souhaitée en adressant au besoin les messages sur le risque à des auditoires cibles.	Fournir un appui et des conseils, notamment par l'entremise d'un centre d'expertise sur la gestion du risque; par exemple, traiter des politiques et de l'orientation de l'ensemble de l'organisation, élaborées par ou avec les services ayant une expertise fonctionnelle et pour faire accepter la gestion intégrée du risque; coordonner l'élaboration d'un aperçu (tendances et changements) pour éviter le double emploi.	Cerner et gérer systématiquement le risque de façon stratégique au sein des unités fonctionnelles. Toujours savoir qui est en charge. Veiller à ce que les employés connaissent les toutes dernières consignes de gestion du risque. Veiller à ce que les objectifs de travail des employés reflètent leurs responsabilités particulières en matière de gestion du risque.	Aider les gestionnaires à concevoir et à mettre en oeuvre des outils pour une gestion du risque plus efficace. Fournir des conseils sur la question de savoir si la fonction joue le rôle prévu, si elle permet de réaliser la vision et les objectifs établis, et si des changements locaux ou systémiques sont nécessaires.	Comprendre que chacun est un gestionnaire du risque. Comprendre comment chacun contribue aux activités de son secteur et de l'organisation. Recenser et évaluer les risques. Signaler, surveiller et évaluer les risques, et y réagir, selon les besoins du gestionnaire ou de l'organisation. Documenter les décisions et l'information d'appui.
Assurer l'apprentissage continu en matière de gestion du risque (améliorer)	Améliorer—Mobiliser et développer les connaissances et les capacités existantes afin que la culture organisationnelle opère la transition souhaitée vers un effectif et un contexte opérationnel soucieux du risque.
Résultats escomptés : On instaure un milieu de travail habilitant où l'apprentissage tiré de l'expérience est valorisé et où les leçons sont partagées. Les plans d'apprentissage sont intégrés aux pratiques de gestion du risque de l'organisation. Les résultats de la gestion du risque sont évalués afin d'encourager l'innovation, l'apprentissage et l'amélioration continue. Les expériences et les pratiques exemplaires sont partagées à l'interne et dans toute l'administration publique.	Donner le ton : la gestion intégrée du risque est utile, et chacun peut et doit y contribuer. Assurer l'uniformité des mesures à l'échelle de l'organisation. Expliquer aux intervenants que le risque fait partie intégrante de la gestion en vue d'obtenir un bénéfice net, que l'innovation exige l'expérimentation et que l'apprentissage par l'expérience repose sur une saine gestion du risque. Souligner les réussites individuelles et collectives.	Veiller à ce que les communications et la formation tiennent compte du « Cela me donne quoi? » pour chacun. Veiller à ce que la formation soit donnée en contexte et à ce qu'elle donne aux gens une vue d'ensemble, qu'elle leur montre la place qu'ils y occupent, comment ils peuvent aider et comment la GIR contribue aux résultats pour les Canadiens.	Mettre en oeuvre les pratiques, les mesures et les activités nécessaires pour obtenir les résultats escomptés de l'apprentissage continu.	Faire le suivi et rendre compte des leçons apprises du point de vue fonctionnel et de l'organisation. Effectuer une évaluation indépendante des stratégies et pratiques de gestion du risque	Solliciter les plans d'apprentissage individuels et y contribuer. Documenter les décisions et l'information d'appui.

Annexe B

Un processus commun de gestion du risque

Un processus commun de gestion du risque permet à l'organisation de mieux comprendre, gérer et communiquer le risque. La gestion continue du risque comporte plusieurs étapes. Il se peut que l'importance ne soit pas la même pour tous les aspects du processus. De même, le type d'actions envisagées, leur rigueur ou leur portée peuvent varier, mais les étapes de base sont semblables. Le schéma qui suit donne un exemple de processus continue de gestion du risque qui insiste sur une approche intégrée de la gestion du risque. Le diagramme et sa description sont tirées du Cadre de gestion intégrée du risque.

Les communications internes et externes et l'apprentissage continu améliorent la compréhension de la gestion du risque et les compétences voulues pour la pratique de la gestion du risque à tous les échelons d'une organisation. Le processus fait appel à une terminologie commune, guide la prise de décisions à tous les niveaux et permet aux organisations d'adapter leurs activités à l'échelle locale. La documentation du bien-fondé d'une décision renforce la responsabilisation et témoigne d'une diligence raisonnable. Le processus commun de gestion du risque et les activités connexes se décrivent comme suit : Identifier le risque 1. Identifier le risque et établir le contexte Définir les risques ou les bonnes occasions à venir, la portée, le contexte (social, culturel, preuves scientifiques, etc.) et les questions connexes. Décider quels outils, expertise, personnes et techniques sont nécessaires (scénarios, séances de remue-méninges, listes de contrôle). Effectuer une analyse des personnes touchées (déterminer les degrés de tolérance à l'égard du risque, la position des intervenants et les attitudes). Évaluer le risque 2. Évaluer les principaux secteurs à risque Analyser le contexte et les résultats de l'évaluation de l'environnement opérationnel et déterminer les types ou catégories de risques à traiter, les questions importantes pour toute l'organisation et les questions locales primordiales. 3. Mesurer la probabilité et l'incidence Déterminer le degré d'exposition aux risques évalués, soit la probabilité et l'incidence, et choisir les outils appropriés. Examiner les preuves empiriques, de même que le contexte public. 4. Classer les risques par ordre de priorité Classer les risques en tenant compte de la tolérance à l'égard du risque, en se servant de critères ou d'outils existants ou en en élaborant de nouveaux. Répondre au risque 5. Établir les résultats désirés Déterminer les objectifs et les résultats escomptés à l'égard des risques dont l'ordre de priorité a été établi, à court et à long terme. 6. Élaborer des options Cerner et analyser les options (façons de minimiser les menaces et d'optimiser les bonnes occasions), les approches et les outils. 7. Retenir une stratégie Choisir une stratégie et appliquer des critères de décision qui sont axés sur les résultats et fondés sur les problèmes ou les occasions. Le cas échéant, appliquer l'approche préventive pour gérer les risques de conséquences sérieuses ou irréversibles dans les situations d'incertitude scientifique. 8. Mettre en oeuvre la stratégie Élaborer et mettre en oeuvre un plan. Surveiller et évaluer 9. Surveiller, évaluer et rajuster Apprendre et améliorer le processus décisionnel et le processus de gestion du risque, tant au niveau des unités fonctionnelles que dans toute l'organisation, utiliser des critères de mesure de l'efficacité et présenter des rapports sur le rendement et les résultats. Les organisations peuvent choisir les étapes de base et les activités de soutien qui leur conviennent le mieux pour arriver à une compréhension commune et à une mise en oeuvre uniforme, efficiente et efficace de la gestion du risque. Une approche ciblée, systématique et intégrée tient compte du fait que toutes les décisions comportent un volet de gestion du risque, qu'il s'agisse des opérations ordinaires ou des initiatives d'envergure mettant en présence des ressources considérables. I importe d'appliquer le processus de gestion du risque à tous les niveaux, de celui de l'organisation à celui des programmes, depuis les grands projets aux systèmes et opérations des unités fonctionnelles. Bien que le processus permette une certaine adaptation pour des utilisations différentes, une approche uniforme au sein de l'organisation permet de regrouper l'information pour traiter des questions liées au risque à l'échelle de l'organisation. Il existe de nombreux autres processus communs de gestion du risque, y compris la norme d'Australie et de Nouvelle-Zélande, la norme Q850 de l'Association canadienne de normalisation et celles du Software Engineering Institute. (On trouvera des liens aux sites Web de ces organismes sur celui du SCT.) Quel que soit le processus retenu, le nombre d'étapes ou la terminologie, tous les processus comportent les quatre volets suivants : identification du risque évaluation du risque réponse au risque surveillance et évaluation La plupart des modèles insistent également sur l'importance des communications tout au long du processus. Les conseils qui suivent sur l'exécution d'un processus de gestion du risque étoffent les consignes que renferme le CGIR. Identifier le risque Rechercher et déceler les risques avant qu'ils ne deviennent des problèmes. Comment faire séances de remue-méninges analyse des forces, des faiblesses, des possibilités et des menaces (FFPM) fiches d'identification des risques sondage des questionnaires entrevues et groupes de discussion Questions à considérer Qu'est-ce qui est à risque? Quels sont les principaux objectifs? Quels sont les risques associés à chaque objectif? Qui sont les intervenants? Trucs Inclure de l'information contextuelle en plus du risque lui-même. Le recours à des équipes multidisciplinaires augmente les chances d'identification des nouveaux risques. Une communication honnête et une attitude ouverte sont essentielles. Tenir compte de la tolérance, des positions et des attitudes des intervenants à l'égard du risque. Évaluer le risque Transformer les données concernant le risque en information pour la prise de décisions en déterminant les principaux risques, la probabilité et l'incidence de ces risques, les liens entre eux et lesquels sont les plus importants. Comment faire Déterminer le degré d'exposition au risque en fonction de la probabilité, de l'incidence et du calendrier. Au nombre des méthodes qualitatives, citons les séances de remue-méninges, l'évaluation à l'aide de groupes multidisciplinaires, le jugement des spécialistes, des entrevues structurées et des questionnaires. Au nombre des techniques quantitatives, citons l'analyse des conséquences, les arbres de décision, l'analyse des coûts du cycle de vie, les simulations ou la modélisation informatique, les analyses statistiques et les études de marché. Classer les risques pour décider de ceux à traiter en premier. Questions à considérer Quel est le niveau acceptable de risque? Quels sont les contrôles existants? Quelles sont les conséquences possibles de la survenance d'une situation présentant un risque? Trucs Évaluer les principaux domaines de risque en regroupant les risques d'après leurs caractéristiques communes, la source, l'incidence ou une autre mesure quelconque. Des matrices d'incidence et de probabilité peuvent aider à visualiser l'ensemble des risques. Tenir compte à la fois des preuves empiriques et du contexte public. Répondre au risque Décider de la réaction face aux risques décelés, en traduisant l'information sur les risques en des décisions et en des mesures d'atténuation. Comment faire Déterminer les résultats souhaités et définir les objectifs et les résultats escomptés pour les risques dont l'ordre de priorité a été établi, à court et à long terme. Élaborer des options pour minimiser les menaces et optimiser les bonnes occasions. Envisager des façons d'éviter le risque; en atténuer l'impact ou la probabilité; le céder à un tiers; en accepter la possibilité et surveiller la situation. Retenir et mettre en oeuvre une stratégie. Questions à considérer Dans quelle mesure chaque option est-elle faisable et rentable? Quelles sont les ressources nécessaires? Trucs Il s'agit d'adopter une approche équilibrée lors de l'élaboration des stratégies d'atténuation. Il faut éviter de planifier ou de simplifier à outrance. Il faut garder à l'esprit le résultat final lorsque l'on élabore des plans d'atténuation. Surveiller et évaluer Surveiller les risques et les résultats des stratégies d'atténuation en rajustant l'approche au besoin. Tirer des leçons de l'approche pour améliorer la prise de décisions et la gestion du risque à l'échelle des unités fonctionnelles et de l'organisation. Comment faire rapports d'étape périodiques analyse des tendances rapports sur le rendement et les résultats Questions à considérer Compte tenu de l'efficacité de la stratégie d'atténuation, la situation d'un risque quelconque a-t-elle changé? Les hypothèses initiales sont-elles encore valides? Comment peut-on améliorer les stratégies et les processus en place? Trucs Élaborer des mesures d'urgence pour pouvoir les appliquer au besoin. Communiquer les pratiques exemplaires et les leçons apprises tant des réussites que des échecs. Comprendre que la gestion du risque est un processus continu; il peut survenir de nouveaux risques qui doivent être évalués et auxquels il faut répondre. Fournir des ressources, des outils et des techniques efficaces Ressources Considérer l'information sur les ressources énumérées dans la section « Documents de référence » du présent guide, de même que l'information sur les ressources traitant de la gestion du risque ou des liens pertinents sur le site Web du SCT. Par exemple, le document du CCG, intitulé Fondements en vue de l'élaboration de stratégies d'apprentissage en gestion du risque dans la fonction publique, fournit des renseignements utiles sous diverses perspectives, comme la compréhension des risques, les compétences nécessaires, des exemples de listes d'identification des risques, de même que les obstacles à une saine gestion des risques et des solutions à cet égard. Outils et techniques outils informatiques outils d'autoévaluation trousses de notation des risques outils de modélisation, comme des analyses de ces derniers et des modèles de prévision des cadres fonctionnels, comme l'approche de précaution (Cadre d'application de la précaution dans un processus décisionnel scientifique en gestion du risque) et la gestion du risque juridique des processus systématiques, comme la norme Q850 de l'Association canadienne de normalisation le recours aux réseaux Internet et intranet pour promouvoir la sensibilisation au risque grâce au partage de l'information à l'interne et à l'externe des techniques qualitatives, comme des ateliers et des questionnaires. Consultation et communication Cette étape est essentielle pour appuyer la prise de décisions saines en matière de gestion du risque et doit être considérée à chaque étape du processus de gestion du risque. La communication interne est nécessaire pour assurer le transfert efficient de l'information à tous les échelons de l'organisation. Trucs pour communiquer avec les gestionnaires Donner d'abord une vue d'ensemble. Répondre aux questions clés. Fournir une description qualitative, et non seulement des chiffres. Fournir des exemples réels et des analogies évocatrices. Dire non seulement ce que l'on sait mais aussi ce que l'on soupçonne. Faire abstraction des petits détails. Signaler les endroits où les données sont insuffisantes. Signaler les éléments d'incertitude. Préciser la position des intervenants. La communication externe fait appel aux principaux intervenants à toutes les étapes du processus de gestion du risque, selon les besoins, en conformité de la Politique sur les communications du gouvernement du Canada. Les trucs qui suivent s'appliquent à la communication à chacune des quatre étapes du processus de gestion du risque. Identifier le risque Définir les enjeux et identifier les intervenants potentiels. Examiner les besoins, les questions et les préoccupations des intervenants. Décider de la façon de communiquer avec les intervenants. Formuler des messages initiaux et désigner un porte-parole. Élaborer au besoin des documents d'information initiaux pour les fonctionnaires clés. Évaluer le risque Documenter les risques et l'historique des préoccupations des intervenants. Cerner les préoccupations, les attentes, les perceptions, le niveau des connaissances et les besoins des intervenants. Anticiper les incidents, les événements ou les allégations possibles et prévoir des réponses. Veiller à mettre en place des mécanismes de réponse rapide pour donner suite aux reportages dans les médias et aux préoccupations des intervenants. Élaborer une stratégie médiatique pour appuyer le processus de consultation publique. Répondre au risque Pour élaborer et analyser les options : faciliter la communication continue avec et entre les intervenants; partager les préoccupations des intervenants avec autrui; déterminer à quel point les options de réponse au risque sont acceptables pour les intervenants; élaborer une stratégie médiatique proactive pour évaluer la réaction du public aux options possibles. Pour mettre en oeuvre l'option choisie : exécuter une stratégie de communication générale, y compris un plan médiatique proactif; adopter une stratégie des plus visibles dans les endroits clés pour faire passer le message et répondre aux préoccupations du public au sujet du plan d'action; mettre la dernière main à la stratégie médiatique; préparer des documents d'information pour les intervenants et les principaux fonctionnaires; élaborer un mécanisme de réponse rapide aux commentaires du public. Surveiller et évaluer Surveiller la réaction du public. Effectuer des sondages pour mesurer les préoccupations et les réactions du public. Analyser la couverture médiatique pour dégager les tendances. Peaufiner et remanier les principaux messages en conséquence. Diffuser les résultats à l'interne et à l'externe, et signaler les problèmes nouveaux ou possibles. Effectuer une évaluation formelle et élaborer des mesures d'urgence prospectives. Évaluer l'impact du plan d'action sur les intervenants touchés, et comparer aux prévisions. Trucs La compréhension commune ne débouche pas nécessairement sur un consensus. La crédibilité et la confiance se bâtissent à long terme mais peuvent être démolies en un instant. Fonder toutes les discussions sur des faits. L'appui d'un tiers indépendant rehausse la crédibilité. Le risque perçu diffère parfois énormément du risque mesuré objectivement. Communiquer dès les premières étapes, et souvent. Les ministères et organismes ont diffusé de l'information sur la communication du risque et la consultation. Pour obtenir des renseignements complémentaires, le lecteur peut visiter le site Web du SCT ou ceux des différents ministères et organismes. Par exemple, l'Agence canadienne d'inspection des aliments a préparé un document intitulé La communication des risques et le gouvernement : Théorie et application à l'Agence canadienne d'inspection des aliments, disponible à l'adresse www.inspection.gc.ca. Ce document, qui comprend une liste détaillée d'ouvrages de référence, a été conçu pour examiner la communication des risques dans la perspective du gouvernement et pour examiner en partie la théorie récente au sujet de la communication des risques du point de vue des risques alimentaires et des communications scientifiques. Annexe C Modèle commun de gestion du risque Un modèle commun de gestion du risque tiré du CGIR De nombreuses variantes de ce modèle de gestion du risque sont en usage, y compris des matrices auxquelles on a ajouté des rangées ou des colonnes pour faire place aux mentions « très élevée » et « très faible ». La description de l'incidence et de la probabilité le long des deux axes peut varier, tout comme la description de certaines cellules, selon le contexte et les exigences de l'organisation utilisant le modèle. Certaines versions comprennent des renvois à la structure de prise de décisions de l'organisation, c'est-à-dire que les cellules ombrées peuvent préciser le niveau d'autorisation requis ou le rang de la personne responsable de la gestion du risque en question. Cela aide à déterminer où un risque donné se situe au plan de la probabilité et de l'incidence, et à établir la réponse de l'organisation pour gérer le risque. Pour schématiser la position des principaux risques les uns par rapport aux autres sur une même page, on peut aussi utiliser des cartes du risque à l'échelle de l'organisation, d'un secteur d'activité ou d'un programme. Le modèle peut aussi être utilisé pour évaluer des idées dans le contexte de la recherche d'occasions ainsi que de l'innovation ou de l'expérimentation, l'idée étant qu'une organisation souhaite investir de façon appropriée en fonction du rendement probable de ces placements. Dans ce contexte, on tiendra compte de l'incidence et de la probabilité en posant des questions comme les suivantes : Que pourrait valoir cette idée si elle fonctionne? Quelles sont les chances de succès de cette idée? Que faudra-t-il faire pour obtenir ce résultat?   Annexe D Exemples de gabarits pour identifier, évaluer, consigner et communiquer l'information sur le risque Les organisations ont mis au point une gamme de gabarits pour aider les membres de la direction et les employés à cerner, à évaluer et à communiquer l'information sur le risque de façon systématique et uniforme. De façon générale, ces gabarits appartiennent à l'une de trois catégories qui correspondent aux trois types d'informations névralgiques qu'ils sont conçus pour saisir : gabarits d'identification du risque gabarits d'analyse du risque cartes du risque Gabarit d'identification du risque Ce simple gabarit, qui se présente habituellement sous la forme d'un tableau, est conçu pour permettre aux gestionnaires d'énumérer les principaux risques, ou les sources de risque, souvent à l'intérieur de domaines ou de catégories de risque prédéfinis. Dans la plupart des cas, ce gabarit comprend aussi une section sur l'évaluation préliminaire du risque. Certaines variantes plus perfectionnées doivent inclure un modèle décisionnel d'incidence et de probabilité permettant d'indiquer une cote de risque (c.-à-d. une combinaison d'incidences et de probabilités) avant la mise en oeuvre de stratégies d'atténuation (voir l'annexe C). Pièce 1 : Gabarit d'identification du risque Objectif de l'initiative ou du projet : Risques ou domaines de risque : Évaluation préliminaire Faible Moyenne Élevée 1.       2.       3.       4.       5.       Gabarit d'analyse du risque Ces gabarits sont souvent plus étoffés et comprennent deux tableaux ou plus. Ils sont conçus pour saisir un maximum d'information au sujet des risques décelés et en faire un suivi. En plus d'une description plus détaillée de risques spécifiques, le gabarit peut inclure : des liens vers des programmes, des objectifs de l'organisation ou d'autres thèmes définis par cette dernière; le niveau actuel de probabilité et d'incidence du risque, et parfois les mêmes renseignements après l'application de correctifs prévus; les mesures et la capacité existantes d'atténuation du risque; les réponses prévues de la direction, les stratégies et les mesures d'urgence; le service ou la personne chargé de gérer un risque donné. Pièce 2 : Gabarit d'analyse du risque Objectif de l'organisation touché Description du risque et de ses conséquences Résultats de l'évaluation de la probabilité et de l'incidence Cote du risque Capacité ou moyens d'atténuation existants Mesures ou stratégie d'atténuation supplémentaire Gestionnaire responsable Probabilité Incidence                                                                                     Cartes du risque Les cartes du risque sont des représentations graphiques des principaux risques auxquels une organisation est confrontée à un moment donné. Ces risques sont transposés sur une matrice décrivant leur incidence et leur probabilité ou leur gravité et leur fréquence. La représentation graphique des risques peut correspondre à une légende de couleurs pour en refléter la source, la catégorie ou d'autres considérations (p. ex., les risques assurés et non assurés) qui peuvent être utiles dans le contexte d'une organisation, dans sa collectivité ou d'un programme donné. Les risques ou les domaines de risque sont habituellement numérotés ou codés pour correspondre à l'information détaillée contenue dans un gabarit d'analyse du risque ou dans un inventaire des risques. Les organisations qui ont décelé de nombreux risques peuvent aussi en indiquer le nombre total dans chaque cellule. Pièce 3 : Carte du risque Risques identifiés   Économiques et financiers F1 Taux d'intérêt F2 Valeurs mobilières F3 Coût de l'assurance Environnementaux E1 Changement climatique E2 Pollution E3 Épuisement de la couche d'ozone Politiques P1 Embarras P2 Réputation internationale P3 Confiance du public Technologiques T1 Énergie nucléaire T2 Biotechnologie T3 Génie génétique Sécurité S1 Invasion S2 Terrorisme S3 Crime organisé   Les risques indiqués ici sont adaptés à partir des listes de l'annexe E et ne figurent dans aucun ordre particulier. Gabarit de saisie et de communication de l'information sur le risque Consignes pour la note de signalement du risque Direction/région : Nom de la direction Risque : Nom du risque Domaine de risque à l'échelle de l'organisation : Nom du domaine de risque Bref énoncé des événements et de l'incidence des risques Objectifs à risque : Brève énumération point par point des objectifs de la direction qui pourraient ne pas être pleinement réalisés. Cela pourrait résulter des défis susmentionnés ou des problèmes touchant la mise en oeuvre des stratégies d'atténuation qui suivent. L'on tend à faire des compromis entre ces objectifs pour élaborer les stratégies d'atténuation.   Points à considérer : Brèves séries d'énoncés point par point au sujet des facteurs qui doivent être pris en compte pour faire les bons compromis afin d'élaborer des stratégies d'atténuation acceptables. Principales stratégies d'atténuation : Recenser toutes les principales stratégies d'atténuation Échéancier : Date d'achèvement prévue de chaque stratégie d'atténuation Source : La gestion intégrée du risque à Développement des ressources humaines Canada, octobre 2002.     Annexe E Exemples de listes d'identification du risque Hiérarchie de risques possibles. Les équipes interfonctionnelles ou interdisciplinaires seraient les mieux placées pour répertorier les risques possibles de façon globale et complète. Source : Centre canadien de gestion, Fondements en vue de l'élaboration de stratégies d'apprentissage en gestion du risque dans la fonction publique, 2001. Sources éventuelles de risques Description des points de vue Perspective stratégique Sources de risques susceptibles de nuire à la réalisation du mandat et des objectifs Perspective des secteurs d'activité Sources de risques susceptibles de nuire à la réalisation des objectifs du programme ou du secteur d'activité Perspective de la gestion d'ensemble Sources de risques susceptibles de ne pas appuyer comme il se doit l'obtention des résultats Perspective de l'observation Sources de risques susceptibles de gêner l'organisation ou de créer des obligations en raison de l'inobservation de lois et de règlements Perspective du programme gouvernemental Sources de risques cruciaux pour assurer l'harmonisation avec les engagements dans l'ensemble de l'administration fédérale Sources de risques Stratégique Politique et stratégie Réputation globale Facteurs politiques Attentes du public Relations avec les parties prenantes Relations avec les médias Développements dans l'industrie Évolution démographique Mondialisation Menaces à la sécurité nationale Continuité des activités Protection civile Tendances technologiques Tendances économiques Tendances concurrentielles Secteur d'activité Activités professionnelles Activités de programmes Exécution des programmes Services à la clientèle Prestation des services Alliances, partenariats Grands projets Gestion d'ensemble Structure et rapports hiérarchiques Planification et établissement des priorités Établissement du budget et attribution des ressources Gestion des dépenses Recettes et recouvrement des coûts Paiements de transfert Achats et marchés Gestion financière Gestion du rendement Gestion de projet Gestion du changement Gestion des stocks Gestion des actifs Ressources humaines Information et connaissances Technologie de l'information Communication Gestion du risque Observation Financement et crédits Rapports législatifs Observation des lois et des règlements Observations des politiques des organismes centraux Obligations découlant d'accords et d'ententes contractuelles Santé et sécurité au travail Protection de l'environnement Sécurité, protection de la vie privée et des renseignements personnels Poursuites et responsabilités légales Programme du gouvernement Accent sur le citoyen Valeurs et éthique Reddition de comptes Transparence Dépenses judicieuses Satisfaction des clients Gouvernement en direct Rapports améliorés Modernisation de la fonction de contrôleur Équité Des résultats pour les Canadiens et les Canadiennes Modernisation de la GRH Gestion intégrée du risque Source : Trousse d'outils sur les priorités de la vérification interne axée sur le risque pour les petits ministères et organismes, mars 2003 (http://www.tbs-sct.gc.ca/ia-vi/policies-politiques/priorities-priorites/priorities-priorites-fra.pdf) Liste de risques susceptibles d'intervention gouvernementale Transport  automobiles, motocyclettes camions trains aéronefs bateaux, chalands et autres embarcations pipelines (pétrole, gaz, eau, denrées) électricité (champs électromagnétiques spécialement) Environnement  changement climatique pollution air, eau, sol (p. ex., pluies acides, smog urbain, sites contaminés) pratiques forestières substances toxiques biodiversité et espèces en danger de disparition pêches appauvrissement de la couche d'ozone Ressources naturelles accès et utilisation des ressources renouvelables : poisson, bois d'oeuvre, eau, faune accès et utilisation des ressources non renouvelables : pétrole, charbon, gaz naturel, minéraux) Produits de consommation automobiles (p. ex., ceintures de sécurité, sacs gonflables, pare-chocs, feux de position, normes du carburant) médicaments (humains et animaux) instruments médicaux jouets, vêtements, berceaux, sièges-auto, etc., pour enfants explosifs bateaux de plaisance (p. ex., motomarines) pneus Aliments contamination d'aliments pendant la production ou la distribution étiquetage des aliments épandage de pesticides et résidus dans les aliments hormone de croissance bovine dans le lait irradiation aliments génétiquement modifiés Technologie énergie nucléaire biotechnologie génie génétique technologies de l'information Milieu de travail sécurité au travail Économiques ou financiers liés aux institutions et instruments financiers valeurs (endettement et valeur nette réelle) banques et autres établissements financiers compagnies d'assurances régimes de retraite assurance-dépôts liés à l'achat de produits étiquetage de produits, dont les marques de commerce poids et mesures annonces ou pratiques commerciales trompeuses assurance de la qualité (p. ex., contraceptifs) efficacité de services professionnels liés au niveau/mouvement de revenus assurance-emploi Régime de pensions du Canada, prestations de bien-être social indemnisation des accidents du travail assurance-récolte secours aux sinistrés (ponctuel) Sécurité humaine infrastructure barrages, ponts, lignes de transport, routes, pipelines sinistres conditions météorologiques (ouragans, tornades, inondations, tempêtes de verglas et de neige, sécheresses, avalanches) tremblements de terre incendies de forêt ou de prairie Sécurité et sûreté sécurité nationale défense contre les invasions ou les attaques protection contre la subversion intérieure sûreté personnelle des citoyens police pompiers Droits droits de la personne (dont la Charte) négociation collective traitement humanitaire des animaux Adaptée d'un document de travail non publié rédigé par W.T. Stanbury et soumis aux membres de la table ronde du CCG en 2000 Spectre du risque Source : Présentation de Kevin W. Knight donnée à Ottawa en juin 2003   Annexe F  Cadre de responsabilisation de gestion du SCT—attentes en matière de gestion du risque Gestion du risque une attente clé de la direction en ce qui a trait au Cadre de responsabilisation de gestion Attente Indicateurs Mesures L'équipe de la haute direction définit clairement le contexte ministériel et les pratiques de gestion proactive des risques organisationnels et stratégiques. Définition et gestion des risques clés Prise en compte des risques dans le processus décisionnel Culture consciente des risques Capacité de communiquer et de gérer le risque dans un contexte public Examen régulier du profil de risques de l'organisation Outils, formation et appui pour le personnel Planification stratégique tenant compte de considérations liées au risque Participation d'intervenants externes à l'évaluation / communication des risques Le cadre de responsabilisation de gestion du Secrétariat du Conseil du Trésor du Canada (2003) est disponible à l'adresse suivante : //maf-crg/index-fra.asp.