ARCHIVÉ - Les pratiques exemplaires en matière de gestion des risques dans les Secteurs privé et public, au niveau International

Source : KPMG

� KPMG

Certaines organisations ont �tabli des responsabilit�s particuli�res, dans le domaine de la gestion des risques, pour le conseil d'administration et la haute direction. Le conseil d'administration peut offrir des conseils sur la fa�on d'identifier les principaux risques qui guettent l'entreprise, de s'assurer que les syst�mes appropri�s soient mis en oeuvre pour faire la gestion des risques, de s'assurer de l'int�grit� des syst�mes de contr�le et de gestion, de d�finir les responsabilit�s et d'exercer un suivi des risques les plus importants. La direction est responsable de la coordination de la gestion des risques et de l'identification, de l'�valuation, du contr�le et du rapport des risques. Le conseil d'administration ou la haute direction d�finissent, �laborent et approuvent une politique en mati�re de risques. La politique sur les risques �tablit le niveau de risque qu'une entreprise est pr�te � accepter. La politique pourrait �galement �noncer les r�les, les responsabilit�s et les pratiques relativement � la gestion des risques.

1. Objet de l'�tude

Le gouvernement f�d�ral canadien poursuit la mise en oeuvre des recommandations du rapport du Groupe de travail ind�pendant charg� de la modernisation de la fonction de contr�leur dans l'administration f�d�rale du Canada. Ce rapport avait relev� quatre �l�ments essentiels de la fonction moderne de contr�leur :

• l'information sur la performance financi�re et non financi�re, historique et prospective,
• la gestion des risques,
• les syst�mes de contr�le,
• l'�thique, les pratiques d'�thique et un syst�me de valeurs.

La cr�ation et le maintien d'un environnement mature de gestion des risques constituaient une des composantes n�vralgiques de l'approche recommand�e par le comit�. Pour promouvoir un tel environnement, le Secr�tariat du Conseil du Tr�sor (SCT), de concert avec des minist�res f�d�raux et d'autres parties int�ress�es, est en train d'�laborer une fa�on d'aborder la gestion des risques qui puisse aider les employ�s � mieux comprendre, g�rer et communiquer en mati�re de risques et de choix associ�s, c'est-�-dire, une approche moderne et int�gr�e. Le r�sultat de ces travaux devrait prendre la forme d'une politique g�n�rale qui �tablit le contexte de la gestion des risques au niveau f�d�ral, ainsi que l'encadrement, les outils, les techniques et la formation, � l'usage des minist�res f�d�raux.

Cette �tude est l'une des quatre �tudes simultan�es qui contribuent � la recherche documentaire sur les pratiques exemplaires dans le domaine de la gestion des risques. Elle examine le secteur priv� et le secteur public au niveau international.

2. Objectifs et port�e de l'�tude

Le projet avait pour objectif de relever les pratiques exemplaires en mati�re de gestion des risques, c'est-�-dire les strat�gies, les approches, les m�thodes, les outils et les techniques utilis�s, et la fa�on dont on pourrait les utiliser au sein du gouvernement f�d�ral canadien.

L'�tude est men�e simultan�ment en deux parties, par deux firmes diff�rentes. La firme KPMG a �t� retenue pour relever les pratiques exemplaires du secteur priv� et du secteur public au niveau international. Suivant les param�tres de l'�tude, nous avons recueilli des renseignements sur les pratiques exemplaires en Europe de l'Ouest (Royaume-Uni, France, Allemagne, Suisse), en Australie, en Nouvelle-Z�lande et aux �tats-Unis. Nous avons �galement recueilli des renseignements provenant d'organisations de l'Afrique du Sud et de Ta�wan. Notre description des travaux appara�t � l'annexe A.

1. Le contexte

Comme il est indiqu� plus haut, cette �tude sur les pratiques internationales exemplaires a �t� men�e parall�lement � une autre �tude sur les pratiques exemplaires au sein des organismes canadiens du secteur priv� et du secteur public, �tude effectu�e par une autre firme de conseillers. Les param�tres de nos �tudes respectives exigeaient de nous une pr�sentation coordonn�e du sommaire de nos conclusions et de nos recommandations � notre charg� de projets. C'est ainsi que, depuis le tout d�but du projet, nos �quipes ont travaill� en �troite collaboration pour s'assurer d'avoir une m�me compr�hension des exigences de l'�tude, d'�tre en mesure de r�aliser une int�gration des renseignements recueillis et de pr�senter un sommaire coordonn�. Par exemple, nous avons d�fini la ' pratique exemplaire ' et les �l�ments de la gestion des risques qui avaient un rapport avec l'�tude.

Il est important de noter que l'�tude ne fait pas l'inventaire de la gamme compl�te des pratiques de gestion des risques.

• En premier lieu, l'�tude porte sur les pratiques jug�es ' exemplaires ', par comparaison � des ' bonnes ' pratiques. Nous avons d�fini les ' pratiques exemplaires ' comme une strat�gie, une approche, une m�thode, un outil ou une technique particuli�rement efficaces pour aider une organisation � atteindre ses objectifs en mati�re de gestion des risques. Est �galement pratique exemplaire celle que l'on pr�voit avoir une valeur pour d'autres organisations. Par exemple, une pratique qui a �t� particuli�rement utile dans l'�tablissement d'un encadrement aurait une valeur pour tout autre organisation qui a pour responsabilit� de faire de l'encadrement.

• En second lieu, l'�tude met l'accent sur les pratiques de gestion des risques qui ont �t� int�gr�es � d'autres pratiques de gestion, comme celles de la planification et de la prise de d�cisions. Elle �tudie �galement les strat�gies de planification, de d�veloppement, de mise en oeuvre et de suivi de la gestion des risques. Plus pr�cis�ment, nous avons relev� les pratiques exemplaires dans trois secteurs :

• Nous avons d�velopp� davantage sur ces secteurs dans notre guide d'entrevues.

Il s'ensuit donc que, m�me s'il existe de nombreuses autres ' bonnes ' pratiques dans une organisation, nous n'en faisons pas rapport. Nous ne rendons pas non plus compte d'un processus complet ou d'un syst�me de gestion des risques.

2. L'approche

Le tableau I-1 illustre l'approche que nous avons utilis�e pour mener l'�tude.

Nous avons abord� la question de la fa�on suivante :

• Recherche documentaire et contacts avec les bureaux de la KPMG � l'�tranger : Au d�but du projet, nous avons consult� la documentation pertinente pour pr�parer une liste pr�liminaire des organisations �trang�res qui �taient reconnus comme de bons praticiens de la gestion des risques. Nous avons eu recours � notre r�seau international de la KPMG pour d�terminer quels �taient ces organisations (gr�ce � nos bureaux locaux), pour faire les pr�sentations, nous donner les noms de personnes qui peuvent nous ouvrir les portes. Ces bureaux poss�dent une vaste connaissance des organisations du secteur public et du secteur priv� de leur march�. C'est ainsi qu'ils peuvent �tre au courant des organisations qui poss�dent de bonnes pratiques de gestion des risques. Nous avons cibl� des organisations de l'Europe de l'Ouest, de l'Australie, de la Nouvelle-Z�lande et des �tats-Unis. Nous avons �galement retenu des organisations situ�es en Asie. En tout et pour tout, ce fut l� la partie la plus difficile de l'�tude parce qu'il nous a fallu communiquer par-del� des fuseaux horaires et faire face au probl�me des absences des bureaux. Nous avons continu� notre recherche documentaire � l'ext�rieur du Canada, pour recueillir les renseignements sur les pratiques exemplaires. L� encore, nous avons utilis� les ressources de nos bureaux de la KPMG situ�s � l'�tranger pour d�terminer les publications qui pourraient nous int�resser et nous aider � les obtenir. L'annexe B est la bibliographie des publications examin�es pour la pr�sente �tude. Nous avons examin� 228 publications provenant de l'ext�rieur du Canada.

• Communiquer avec les organisations pour conna�tre leur int�r�t � participer � notre �tude : Tout au long de ces �tapes initiales du projet, nous avons respect� les demandes de nos coll�gues internationaux des bureaux de la KPMG � l'�tranger. Par exemple, certains coll�gues pr�f�raient communiquer directement avec les organisations pour obtenir leur participation. Certains ont �galement demand� � faire les entrevues en personne, en notre nom. Dans tous les autres cas, nous avons communiqu� directement avec les organisations et fix� des entrevues par t�l�phone.

• Obtenir des renseignements au moyen d'entrevues : Pour ce qui est des entrevues que nous avons faites � l'ext�rieur du Canada, nous avons fait parvenir � l'avance � nos interlocuteurs la documentation sur le contexte g�n�ral de l'�tude et le Guide d'entrevues qui appara�t � l'annexe C. Pour nous assurer que les entrevues r�alis�es par nos coll�gues �trangers correspondaient bien � celles que nous faisions par t�l�phone depuis le Canada, nous avons fourni � ces coll�gues des documents-guides, ainsi que la documentation d'appui et le guide d'entrevues qu'ils devaient remettre aux contacts avant la rencontre.
• Analyse et rapport : Nous avons fait une synth�se de nos entrevues et de notre recherche documentaire approfondie pour relever les pratiques exemplaires et les le�ons apprises. Nous avons �galement effectu� une �valuation pr�liminaire pour d�terminer dans quelle mesure les pratiques exemplaires sont applicables au gouvernement f�d�ral canadien.

3. Applicabilit� des pratiques exemplaires au secteur public canadien

Le cadre de r�f�rence de notre �tude nous demandait de documenter les pratiques exemplaires relev�es et de faire des recommandations sur leur utilit� et leur applicabilit� dans le contexte du gouvernement f�d�ral canadien. De concert avec l'autre firme, nous avons pr�par� une liste de crit�res permettant d'�valuer l'applicabilit� des pratiques exemplaires au gouvernement f�d�ral canadien. L'ensemble final des crit�res, contenu � l'annexe D, int�gre les contributions d'un comit� consultatif interne compos� de repr�sentants de minist�res. Dans la mesure du possible, nous avons �valu� l'applicabilit� des pratiques en fonction de ces crit�res.

4. �chantillon de l'�tude

Notre �chantillon d'�tude s'est compos� comme suit :

• des entrevues aupr�s de dix-huit organisations,
• un examen de 228 publications pertinentes au sujet.

Nous sommes donc s�rs de la base sur laquelle nous nous appuyons pour d�terminer les pratiques exemplaires.

Les organisations aupr�s desquelles nous avons tenu des entrevues repr�sentent l'Australie, l'Europe de l'Ouest (France, Allemagne, Su�de, Suisse, Royaume-Uni), la Nouvelle-Z�lande, l'Afrique du Sud, Ta�wan et les �tats-Unis. Le tableau I-2(a) montre la distribution selon le lieu. L'�chantillon se compose surtout d'organisations de l'Europe de l'Ouest, de l'Australie et de la Nouvelle-Z�lande.

Douze des organisations proviennent du secteur priv� et cinq du secteur public. Le tableau I-2(b) montre la distribution des organisations selon l'industrie. Les organisations du gouvernement f�d�ral repr�sentent 28 p. 100 de l'�chantillon (cinq organisations). Le reste repr�sente une vari�t� d'industries : industries de fabrication, mines et ressources naturelles, services financiers, produits pharmaceutiques, technologie et communications, et enfin, services publics. Nous sommes satisfaits d'avoir r�ussi � obtenir un �quilibre solide de repr�sentation g�ographique et industrielle dans le temps imparti pour l'�tude.

Nous avons trouv�, dans nos entrevues, que ces organisations du secteur public et du secteur priv� faisaient face � des probl�matiques semblables � celles du secteur public f�d�ral au Canada : environnements de contraintes, pressions pour l'innovation et cultures organisationnelles en changement.

Notre recherche documentaire approfondie nous a renseign�s sur les pratiques exemplaires ayant cours dans de nombreuses autres organisations. Une pratique rapport�e dans une publication est une ' pratique exemplaire ' selon la d�finition utilis�e dans la pr�sente �tude. Il est clair que la pratique est consid�r�e efficace et avoir de la valeur pour d'autres organisations si elle fait l'objet d'une discussion publique.

1. La port�e de la gestion des risques

Toutes les organisations que nous avons interview�es ont toujours pratiqu� une forme quelconque de gestion des risques; par exemple, la gestion des risques dans des disciplines particuli�res comme les finances. Certaines de ces organisations ajoutaient plus de substance � leurs processus en place. Environ un tiers d'entre elles s'int�ressaient maintenant � implanter la gestion des risques pour traiter des risques d'affaires ou des risques organisationnels.

Les pratiques tir�es de la recherche documentaire portaient sur l'implantation de la gestion des risques d'affaires et des risques disciplinaires.

L'int�r�t envers l'implantation de la gestion des risques va en augmentant.

2. La d�finition des risques

Dans la plupart des cas, les risques sont per�us comme �tant toute chose ou tout �v�nement qui pourrait emp�cher une organisation de r�aliser ses objectifs.

Il s'ensuit donc, pour ces organisations, que la gestion des risques n'a rien � voir avec le fait d'�tre ' hostile au risque '. La gestion des risques ne vise pas � �viter les risques. Elle se concentre sur l'identification, l'�valuation, le contr�le et la ' ma�trise ' des risques. La gestion des risques veut �galement dire qu'on tire profit des perspectives profitables et qu'on prend des risques sur la base d'une d�cision inform�e et d'une analyse des r�sultats.

Source : KPMG

� KPMG

1. Promotion d'une philosophie et d'une culture organisationnelles selon lesquelles tout le monde est gestionnaire de risques

La pratique pr�dominante d'int�gration de la gestion des risques est, de loin, celle qui consiste � �difier une culture organisationnelle dans laquelle tout le monde est gestionnaire de risques. Certaines organisations ont dit que cet aspect �tait plus important que l'�laboration et la promulgation de politiques et proc�dures �labor�es. La gestion des risques fait partie int�grante de la philosophie de gestion. Les employ�s qui prennent la responsabilit� de leurs actions et de leurs r�sultats deviennent des gestionnaires de risques. Id�alement, les employ�s ont une compr�hension intuitive des buts de l'organisation et ils travaillent dans ce sens. Une organisation a not� que la culture avait pris naissance dans les rangs des employ�s, pour �ventuellement se propager jusqu'� l'�tage de la haute direction.

Voici quelques exemples de cette pratique :

• L'installation de miroirs dans les salles de repos, qui rappellent aux employ�s qu'ils ' sont en face de la personne responsable de la s�curit� '.
• L'injection, dans la culture, d'un ' sens d'excellence ' qui encourage les gens � chercher des solutions aux probl�mes et � parler honn�tement des points o� ils ont besoin d'aide.
• La participation de tout le personnel aux activit�s de gestion des risques au moyen de comit�s et de r�unions tenues � diff�rents lieux de travail.

Il arrive parfois que la culture doive �tre d�velopp�e. Voici quelques pratiques dans ce domaine :

• Mise sur pied du d�partement de la gestion des risques comme centre d'excellence pour r�pandre les proc�dures et les pratiques de la gestion des risques � la grandeur de l'organisation. Le but vis� est d'encourager les employ�s � �tre chacun son gestionnaire des risques, le d�partement de la gestion des risques jouant alors le r�le de soutien.
• Recrutement en fonction de l'attitude au lieu de l'exp�rience, pour �tre en mesure d'offrir un service hors pair � la client�le. Cette mesure aide � la gestion des risques reli�s � la client�le.
• Mise en vigueur de p�nalit�s. Un gouvernement a instaur� un d�lit de ' meurtre institutionnel ' con�u pour punir les directeurs de soci�t�s qui auraient n�glig� de corriger des pratiques dangereuses qui sont la cause de pertes de vies.
• Mise sur pied d'initiatives de reconnaissance et de r�compenses qui encouragent les employ�s � faire la gestion des risques.
• Mise en vigueur de programmes de r�mun�ration qui d�couragent l'exc�s de prise de risques. Par exemple, certains courtiers en valeurs calculent maintenant la r�mun�ration des courtiers selon une formule qui compare leurs profits � ceux d'une norme de r�f�rence qui refl�te les rendements du march� dans son ensemble. Dans une autre organisation, on se sert d'un ' indice de viabilit� ' pour calculer les boni de la haute direction. L'indice est calcul� en prenant le co�t de l'�lectricit�, les r�sultats atteints en mati�re d'action positive et la performance technique de l'usine, des lignes de transmission et du r�seau.
• L'�valuation du rendement des employ�s en mati�re de gestion des risques, au moyen du processus d'�valuation du rendement.
• D�finition de la gestion des risques comme faisant partie des exigences applicables � tous les postes de gestion.
• Renforcement de l'�thique et des valeurs soit en publiant un code d'�thique, soient en communiquant la teneur au moyen de cours, de r�unions ou d'ateliers.

L'avantage d'une culture de gestion des risques, selon les rapports, est que les organisations peuvent changer plus rapidement et peuvent faire la gestion des risques de fa�on plus efficace.

2. La haute direction et/ou les organismes de r�gie se font les champions de la gestion des risques, d�finissent et communiquent les niveaux de risques acceptables

La responsabilit� de direction de la gestion des risques est plac�e � un niveau �lev� dans l'organisation. C'est �galement un outil permettant d'int�grer la gestion des risques � la culture. Le soutien de la haute direction (et/ou des organismes de r�gie, comme le conseil d'administration) est essentiel. Au point de d�part, la haute direction et le conseil d'administration doivent �tre au courant de la gestion des risques et la comprendre. Il existe de nombreuses fa�ons, pour les hauts dirigeants, de prendre part � la gestion des risques. Mais, quelle que soit la fa�on, le r�le de la haute direction et du conseil d'administration dans la diffusion, � l'interne comme � l'externe, du message affirmant l'importance de la gestion des risques, est � la base de tout. Il est aussi important que les autres gestionnaires, int�ress�s et employ�s voient la participation de ces instances. La gestion des risques n'est pas qu'un article de discussion pour comit�s de gestion si�geant � huis clos.

Voici quelques fa�ons utilis�es par la haute direction et les conseils d'administration pour mener des initiatives de gestion des risques :

• Le groupe de gestion des risques se place sous l'�gide de la haute direction pour s'assurer que le message de gestion des risques soit adopt� par ceux qui rel�vent directement de celle-ci.
• Le chef de la direction a assist� � toutes les r�unions de mise en oeuvre des processus de gestion des risques. Le chef des finances de l'organisation fut le premier haut dirigeant � �laborer un plan d'action pour un point �manant d'un atelier sur les risques.
• La haute direction consacre une journ�e de son processus de planification strat�gique annuelle pour d�finir et quantifier les risques � un niveau strat�gique.
• Les hauts dirigeants si�gent � un comit� de contr�le interne et sont charg�s de doter leurs chefs de d�partements de m�canismes de contr�le interne appropri�s.
• On a demand� aux membres du conseil d'administration de penser � un risque qui les tenait en �veil la nuit. Puis, on les a charg�s de superviser la gestion de ce risque.
• Un comit� de supervision de la s�curit�, organisme auxiliaire du conseil principal de direction, produit des rapports mensuels de performance en mati�re de sant�, de s�curit� et d'environnement � l'intention du conseil d'administration.
• Le conseil autorise les nouveaux dossiers commerciaux, lesquels doivent comprendre une analyse des risques.
• Un conseil (externe) a fix� les param�tres dont se sert l'�quipe d'�valuation des risques.

Certaines organisations rapportent qu'elles ont �tabli des responsabilit�s particuli�res, dans le domaine de la gestion des risques, � l'intention du conseil d'administration et la haute direction. Le conseil d'administration peut offrir des conseils sur la fa�on d'identifier les principaux risques qui guettent l'entreprise, de s'assurer que les syst�mes appropri�s soient mis en oeuvre pour faire la gestion des risques, de s'assurer de l'int�grit� des syst�mes de contr�le et de gestion, de d�finir les responsabilit�s et d'exercer un suivi des risques les plus importants. La direction est responsable de la coordination de la gestion des risques et de l'identification, de l'�valuation, du contr�le et du rapport des risques. Le plus important, c'est que le conseil d'administration, ou la haute direction d�finisse, �labore et approuve une politique en mati�re de risques.

Le message principal de la politique sur les risques, c'est le niveau de risques qu'une entreprise est pr�te � accepter. La politique pourrait �galement �noncer les r�les, les responsabilit�s et les pratiques relativement � la gestion des risques. Les gestionnaires ont besoin d'une direction claire quant � la tol�rance aux risques. Cette direction doit venir de l'organisme de r�gie ou de la haute direction. Les ateliers constituent une autre fa�on de communiquer les niveaux de tol�rances.

3. L'�tablissement de canaux de communication ouverts

Les pratiques rapport�es d�montrent qu'une communication ouverte est n�cessaire au succ�s de la gestion des risques. Par exemple, les �quipes se fient � la communication pour g�rer les risques et atteindre leurs objectifs. �galement, beaucoup rapportent que la communication ouverte est une fa�on d'int�grer facilement la gestion des risques aux processus en vigueur. Si la communication est inexistante, il est impossible � la gestion des risques d'�tre ' l'affaire de chacun '. Les gestionnaires ont besoin de canaux de communication directs vers le haut, vers le bas et � travers leurs unit�s organisationnelles pour les aider � d�tecter les risques et � prendre les mesures appropri�es. De nouvelles structures, fond�es sur une information plus ouverte, sont en train de remplacer les structures traditionnelles de l'organisation et leurs relations hi�rarchiques d�finies. L'information doit se partager.

Voici des exemples de bonnes communications ouvertes :

• Utilisation de l'Intranet pour communiquer les efforts d�ploy�s par l'organisation et faire participer tous les employ�s � la gestion des risques. L'Intranet sert �galement � communiquer les objectifs fix�s.
• Nomination de gestionnaires dont la seule t�che consiste � communiquer aux employ�s les risques auxquels ils sont expos�s.
• La tenue de r�unions trimestrielles d'un comit� de gestion des risques pour examiner et discuter � quel point l'organisation est expos�e et les mesures de protection qui sont prises.
• L'utilisation de la fonction gestion des risques pour communiquer les objectifs poursuivis.
• La promotion d'une sensibilisation aux questions de gestion des risques au moyen de rapports mensuels, trimestriels et annuels. Les rapports mettent l'accent sur les secteurs qui ont besoin de l'aide du groupe de gestion des risques.
• Des pr�sentations faites � la haute direction et/ou � l'organisme de r�gie sur le processus de gestion des risques.
• Encouragement � ce que les employ�s discutent des erreurs commises.

4. L'utilisation d'�quipes et de comit�s

Les �quipes formelles et informelles constituent un m�canisme auquel, selon les rapports, de nombreuses organisations ont recours pour faire la gestion des risques. Les �quipes ont �t� mentionn�es dans nombre de situations, comme la gestion des risques financiers, les projets de construction, l'indemnisation des travailleurs, la sant� et la s�curit�, l'assurance, la gestion des contrats, les transports, la gestion de tr�sorerie, la gestion de projets, le d�veloppement de nouveaux produits. La constitution d'�quipes fait ressortir la dynamique qui se manifeste entre les disciplines, r�unit des attitudes diverses face au risque, et am�ne une nouvelle fa�on de penser les probl�mes, les bonnes perspectives, les strat�gies et les solutions. Elle est per�ue comme une fa�on d'amener des disciplines diverses � se concentrer sur des objectifs communs, dont l'un est celui qui vise � minimiser les risques. Les �quipes sont source d'�quilibre. �galement, les �quipes r�pandent la pr�occupation envers la gestion des risques comme un pollen qui alimente toutes les parties de l'organisation, plut�t que rester la pr�occupation d'une seule fonction ou discipline. Alors que la pratique consistant � former des �quipes est consid�r�e �tre une ' pratique exemplaire ', il n'existe pas de pratique commune concernant la composition de l'�quipe.

La composition d'�quipes formelles de gestion des risques se pr�sentait sous les formes suivantes :

• Professionnels de la gestion hi�rarchique, de la tr�sorerie, de la v�rification, de la conformit�, des relations publiques, des ressources humaines et de la gestion des risques.
• �quipes de gestion des risques particuliers � chacun des secteurs suivants : contr�le de la gestion des contrats, sant� et s�curit�, assurance, transports et gestion de la tr�sorerie.
• �quipes pluridisciplinaires pour le d�veloppement de projets et de produits.
• Dotation des �quipes de gestion de certains individus poss�dant diverses attitudes face au risque.
• Un comit� interdisciplinaire de gestion des risques touchant toutes les fonctions, compos� de repr�sentants des unit�s op�rationnelles et du tr�sor ou des finances, des ressources humaines et de la gestion des risques.
• Un groupe de direction de la strat�gie de gestion au sein duquel toutes les principales fonctions sont repr�sent�es.
• Un comit� de gestion des risques compos� des chefs de divisions.

Dans d'autres cas, on encourage diverses disciplines � travailler ensemble, comme, par exemple :

• Le groupe de v�rification, le chef des finances, la haute direction et le tr�sor.
• Un d�partement de r�clamations d'indemnisation des travailleurs, un d�partement m�dical, un d�partement d'�thique de la soci�t�, de la s�curit�, des ressources humaines et du d�partement juridique assumant conjointement des responsabilit�s en mati�re de gestion des risques.
• Un coordonateur des r�clamations travaillant en �troit rapport avec le d�partement des ressources humaines.
• Une �quipe de sp�cialistes en contr�le des pertes et de responsables des r�clamations disponibles pendant les projets de construction.
• Une �quipe de projet compos�e de la v�rification interne, des finances et du contr�le, et un comptable agr�� qui joue le r�le de soutien � l'auto-�valuation des risques effectu�e par les gestionnaires.

Les �quipes offrent une perspective plus large et examinent les risques et les cons�quences sous divers angles. Pour pouvoir fonctionner, les �quipes ont besoin d'une communication ouverte.

5. L'utilisation d'un langage simple, ordinaire, pour parler des risques d'affaires

Pour int�grer la gestion des risques aux autres processus de gestion, il faut que la terminologie soit facile � comprendre pour les gestionnaires. Les approches devraient �galement �tre simples � comprendre et � utiliser. En �laborant un langage commun pour traiter des risques d'affaires, les gestionnaires peuvent communiquer avec des habitu�s de la salle de r�union ou de la salle des fournaises en des termes que tous peuvent comprendre. Cet aspect est �galement important dans les cas o� on s'attend � ce que tous et chacun fassent de la gestion de risques. Les fa�ons d'aborder la gestion des risques et les processus doivent �tre simples pour �tre accept�es par les responsables de la gestion des affaires. Des organisations nous ont rapport� que des outils complexes, intellectuels s'�taient av�r�s infructueux. D'autres nous ont mis en garde � l'effet que les approches doivent aussi avoir la flexibilit� suffisante pour rester intelligibles � travers les unit�s op�rationnelles. M�me si le processus doit rester simple et utile � travers ces unit�s, il ne faudrait pas qu'il soit trop simplifi�. Les concepteurs de ce processus doivent r�aliser un �quilibre entre la simplicit� et l'utilit�.

6. La mise sur pied d'une fonction de gestion des risques au niveau de l'entreprise

De nombreuses organisations ont mis sur pied un centre de responsabilit�s destin� � la gestion des risques. Certaines unit�s sont plac�es sous un Chef des risques, qui d�finit des moyens uniformes d'aborder la gestion des risques. En tant que champion du risque organisationnel, ce chef a la responsabilit� du leadership, d'�tablir et de maintenir une sensibilisation aux risques dans l'ensemble de l'organisation. Il pourrait �galement fixer des objectifs en mati�re de contr�le des risques, �tablir un cadre de gestion des risques et concevoir des fa�ons de mesurer les risques. Ces gestionnaires des risques de haut niveau doivent poss�der de fortes capacit�s de persuasion. Le gestionnaire des risques doit traiter des risques d'affaires et non seulement des risques assurables. Ainsi, son importance va en s'accentuant au sein de l'organisation.

7. La communication de la performance de la gestion des risques

Un petit nombre d'organisations font rapport � la direction, aux actionnaires et aux parties prenantes sur les risques et la performance en mati�re de gestion des risques. En voici quelques mod�les :

• Le d�partement du contr�le interne pr�sente chaque ann�e deux rapports au pr�sident. Ces rapports communiquent les r�sultats du suivi des risques. Chaque division op�rationnelle doit pr�parer un rapport annuel sur les r�sultats de son suivi � l'intention du d�partement de contr�le interne.
• Les gestionnaires des unit�s administratives doivent faire rapport trois fois l'an au sous-comit� du conseil d'administration sur les finances et les risques. Les rapports d�crivent les dix principaux risques des unit�s et la fa�on dont on en fait la gestion.
• Les g�rants offrent des avis au conseil d'administration sur les risques de leurs entreprises, et les principaux actionnaires et parties prenantes ont leur mot � dire.

8. La v�rification interne et/ou le comit� de v�rification aident � la mise en oeuvre de la gestion des risques

La fonction de la v�rification interne joue un r�le capital dans la mise en oeuvre de la gestion des risques dans l'ensemble d'une organisation. En voici quelques exemples :

• l'animation d'ateliers d'auto-�valuation,
• le suivi et les rapports sur la gestion des risques importants,
• la prestation de conseils,
• la sensibilisation des gestionnaires � la gestion des risques,
• l'identification de risques critiques et la pr�paration de ' mandats de surveillance ' � leur �gard,
• le suivi de la conformit� dans des domaines d'importance capitale, comme les exigences l�gislatives,
• l'examen des processus de gestion des risques,
• la communication des objectifs de gestion des risques,
• une pr�sence au comit� de gestion des risques.

9. L'encadrement

L'encadrement est une pratique importante permettant l'int�gration de la gestion des risques. L'encadrement est offert indirectement (au moyen de documents) ou directement (par des conseils). En voici quelques exemples :

• Un document d'orientation � l'intention des minist�res d'un gouvernement qui pr�parent des projets de construction dans le secteur public. Les ' Exigences essentielles de l'acquisition de services de construction ' int�grent la gestion de la valeur et des risques � la gestion de projet.
• Une trouse � outils destin�e aux soci�t�s d'�tat. La trousse permet aux soci�t�s de faire elles-m�mes l'�valuation de leur position par rapport aux pratiques exemplaires. Il les aide �galement � viser l'adoption de pratiques exemplaires en se servant des strat�gies d'am�lioration g�n�riques.
• Des services internes de consultation offerts par l'unit� de gestion des risques.
• Un forum de gestionnaires. Les gestionnaires sont capables d'identifier leurs probl�mes et leurs risques. Le forum permet le partage des pratiques exemplaires. Des mesures sont propos�es pour g�rer les risques. Le fait que tous les gestionnaires hi�rarchiques sont maintenant conscients des risques et des mesures � prendre constitue un autre avantage.
• Une agence l�gislative, qui fait � la direction de l'agence, des recommandations visant la r�duction des risques. Ces recommandations se sont av�r�es efficaces dans d'autres agences.

10. La formation en mati�re de gestion des risques

La formation en mati�re de gestion des risques, plac�e dans le cadre du programme de formation d'une soci�t�, aide � faire l'int�gration de la gestion des risques. Les domaines qui se pr�tent � la formation sont, notamment : les �valuations du risque, les pratiques exemplaires, les exigences l�gislatives, la s�curit�, les objectifs de gestion des risques, la formation dans le domaine de la sensibilisation aux risques, et ce, pour s'assurer que tous les gestionnaires tiennent compte des risques.

1. Relev�s des risques d'entreprise

Les organisations sont en train d'�laborer des relev�s des risques d'entreprise pour d�terminer quels sont les principaux risques d'entreprise qui menacent l'organisation. Cette activit� aide l'organisation � comprendre et absorber les risques qui l'affectent. La direction doit quantifier l'ampleur des risques et mesurer leur impact potentiel. L'utilisation d'un cadre � grande port�e permet de tenir compte de diff�rents genres de risques possibles lors de l'inventaire des risques. L'utilisation d'un cadre peut avoir une influence sur une discussion portant sur les sources et les genres de risques, soit, par exemple, les risques externes, �conomiques, risques de march�, de cr�dit, risques reli�s � l'information et aux ressources humaines, et risques strat�giques. Cette fa�on d'aborder la question permet d'examiner les risques sous l'angle d'une perspective multidisciplinaire.

Voici quelques exemples de cette pratique :

• Dresser une liste des divers risques d'entreprise. Les risques sont ensuite r�partis en quadrants en fonction de leur haute ou faible probabilit� de se produire et de la gravit� plus ou moins importante de la perte qui en r�sulterait.
• �laborer une carte des risques tenant en une seule feuille de papier. La carte donne une �valuation comparative de tous les risques op�rationnels, financiers, al�atoires et strat�giques auxquels l'organisation doit faire face. En comparant les risques sur une seule matrice de gravit� et de fr�quence, les hauts dirigeants peuvent voir un portrait complet de tous les risques qui menacent la compagnie et les relations qu'ils ont entre eux.
• �laborer une ' grande matrice des risques '. Elle prend en compte les menaces les plus dommageables qui se dressent devant l'entreprise. La haute direction et le conseil d'administration peuvent s'en servir pour la prise de d�cision.

La simplicit� est un trait sous-jacent de ces approches.

2. Les outils de mod�lisation

Les outils de mod�lisation permettent aux gestionnaires de g�rer l'incertitude. L'analyse par sc�narios et les mod�les pr�visionnels en sont les outils de pr�dilection. Voici quelques exemples de l'utilisation de ces outils de mod�lisation :

• En utilisant l'analyse par sc�narios, les d�cideurs peuvent voir la gamme des possibilit�s et consid�rer des changements qu'ils auraient autrement ignor�s. Ces sc�narios peuvent �galement �tre int�gr�s aux plans d'urgence de l'organisation. Les sc�narios peuvent �tre document�s et les analyses peuvent �tre faites � l'aide d'un logiciel de tableur sur ordinateur.
• En se servant de l'analyse statistique et des techniques de valeur � risque, les gestionnaires peuvent estimer la variabilit� des pertes futures. Ils mesurent les r�percussions d'une perte possible sur les gains ou le flux mon�taire et se servent �galement d'analyse de sensibilit�, de v�rification des stress et de divers genres de simulation.
• Les mod�les financiers qui font une simulation dynamique des divers risques financiers et de l'impact de divers sc�narios sur les portefeuilles de dettes et de capitaux propres.
• Pr�voir les risques dans le processus de production, lesquels pourraient �tre cause de d�fectuosit�s dans le produit, puis d�terminer les points o� ils pourraient �tre contr�l�s.
• �valuer les risques techniques � l'�tape du d�veloppement des nouveaux produits en identifiant, t�t au cours du projet, les erreurs susceptibles de se produire dans le processus de fabrication. Cette mesure donne le temps de r�agir aux cons�quences.
• Accumuler l'exp�rience des projets pass�s et en faire une extrapolation pour servir de synth�se de l'impact possible des risques d'un projet particulier.

Certains outils, comme l'analyse par sc�narios, la mod�lisation, l'analyse des risques techniques, peuvent largement s'appliquer aux domaines de la gestion. D'autres, comme les mod�les financiers, s'appliquent moins bien � d'autres disciplines.

3. Techniques d'identification et d'�valuation des risques

Les techniques d'identification et d'�valuation des risques aident les gestionnaires � d�terminer les endroits o� ils devraient faire porter leur attention et leurs ressources. Aucune de ces techniques ne l'emporte sur les autres.

Les voici :

• Les groupes de remue-m�ninges. Les employ�s de plusieurs unit�s de l'entreprise se rencontrent pour faire un remue-m�ninges sur certaines questions.
• Les ateliers. Les organisations commencent � �laborer des ateliers centr�s sur les risques, men�s par des animateurs, qui aident le personnel op�rationnel � d�terminer ses objectifs et � les classer par ordre de priorit�, puis � identifier et � �valuer les risques. Les dirigeants qui y participent devraient g�n�ralement toucher une vari�t� de secteurs.
• Les questionnaires. Les unit�s op�rationnelles doivent remplir des questionnaires sur les objectifs et les risques. Par exemple, les gestionnaires peuvent chaque ann�e faire une mise � jour des risques et des progr�s accomplis dans leur gestion.
• L'auto-�valuation. Les gestionnaires font leur auto-�valuation avec le soutien de la v�rification, des finances et d'un comptable de l'ext�rieur.
• Auto-�valuation de contr�le. Cette technique offre l'assurance qu'� un point final, l'objectif de l'entreprise sera atteint, compte tenu des contr�les et des risques. Des ateliers orient�s sur les risques aident les gestionnaires op�rationnels � d�terminer leurs objectifs et � en �tablir les priorit�s.
• Les filtres. Les risques sont �valu�s en regard de quatre filtres : fonction non essentielle, faible impact, risque bien g�r�, et faible probabilit� de se produire.
• Les diagrammes ' Boston Squares '. Ces outils servent � repr�senter graphiquement l'impact et la gravit� des risques.
• Le balayage rapide des risques. Il s'agit d'une technique de pr�sentation des risques (co�t, moment, sp�cifications, etc.) d'une fa�on telle que ceux-ci peuvent �tre facilement compar�s les uns aux autres en termes de probabilit� et de cons�quences. Elle est particuli�rement utile dans les projets.
• La matrice d'�valuation de la capacit� des fournisseurs. Cette matrice sert � faire une �valuation d'ensemble de la capacit� d'un fournisseur potentiel de livrer avec succ�s les services ou produits sp�cifi�s dans un contrat. Elle tient compte des �l�ments suivants : l'histoire et le d�veloppement de l'entreprise du fournisseur, l'arri�re-plan juridique et la structure du capital, les �l�ments critiques de performance du contrat, la direction et les employ�s, l'engagement, les impr�vus et le contentieux; la viabilit� financi�re.
• La matrice d'�valuation. La matrice consiste en une s�rie de questions couvrant les �l�ments de gestion des risques et les contr�les internes. Elle comprend aussi des descriptions de pratiques exemplaires.
• Les gabarits d'identification des risques. On attribue des gabarits aux unit�s de l'entreprise. Ces gabarits les aident � identifier et � �valuer les risques dans le cours de leur processus de planification des op�rations.
• Les �valuations de risques de ' bas en haut '. Les gestionnaires des op�rations identifient et �valuent les risques. Ceux-ci sont ensuite agglom�r�s au niveau de l'entreprise toute enti�re.
• Le mod�le de valeur au risque (VAR) et le mod�le au pire. Ces mod�les servent � �valuer les risques. Le mod�le (VAR) examine les pertes possibles en valeur d'un poste ou d'un portefeuille au cours d'une certaine p�riode bas�e sur des facteurs du march�. Elle permet la comparaison simultan�e des tendances des fluctuations de la monnaie, par exemple.
• �tablissement des priorit�s entre les risques. Sur la base de leur classement, les risques sont abord�s.

4. L'Internet et l'Intranet

L'Internet et l'Intranet servent de plus en plus � la gestion des risques. On s'en sert pour promouvoir la sensibilisation aux risques et la gestion des risques, pour obtenir de l'information sur les risques qui existent dans certains domaines pr�cis, et pour communiquer les objectifs de gestion des risques.

1. La gestion des risques, tout comme la fonction de contr�leur, est un �tat d'esprit.

Il est possible de sensibiliser les gestionnaires � l'existence des risques et � la gestion des risques. La gestion des risques peut �tre enseign�e et �tre renforc�e. Toutefois, la gestion des risques atteint son maximum d'efficacit� lorsque les gestionnaires et les employ�s sont au diapason de la gestion des risques. La gestion des risques ne s'impose pas. Les gestionnaires devraient �tre conscientis�s au sujet de la gestion des risques et int�grer celle-ci � leurs autres pratiques de gestion. Il faut tenir compte des risques au moment de la prise de d�cisions. Les gestionnaires sont plus susceptibles d'accepter la pratique si elle est positionn�e comme une activit� de gestion normale. Les processus trop bureaucratiques et trop complexes vont noyer la gestion des risques sous un flot d'�l�ments non pertinents. Il faut atteindre un �quilibre entre la flexibilit� et l'uniformit�. Les gestionnaires ont besoin de flexibilit� pour utiliser des techniques qui sont pertinentes pour eux-m�mes et pour leurs op�rations. Cependant, la technique doit �galement permettre la synth�se des donn�es et la comparaison des r�sultats d'unit�s op�rationnelles au niveau de l'entreprise g�n�rale. Il faut que des sp�cialistes soient disponibles pour pr�ter assistance aux gestionnaires.

2. La gestion des risques et les fonctions d'ordre �thique de l'entreprise devraient fonctionner de pair.

Les renseignements que nous avons recueillis indiquent que les programmes de gestion des risques et les programmes traitant de l'�thique sont �troitement apparent�s. Par exemple, un code d'�thique �crit est un m�canisme de communication des valeurs d'une organisation et des risques y aff�rents. Un programme d'�thique destin� aux employ�s du gouvernement est per�u comme un moyen de sensibiliser les employ�s aux enjeux d'ordre �thique ou aux risques d'affecter les valeurs de l'entit�. Les gestionnaires de risques pourraient �tre de plus en plus appel�s � collaborer avec la fonction �thique pour comprendre et r�soudre les risques reli�s � l'information. Une autre organisation a �galement rapport� qu'une initiative d'�thique de fonctionnement a r�v�l� des dangers reli�s � l'information qui d�coulent d'une ' culture du secret '. Les politiques et les normes internes n'�taient pas �crites ou communiqu�es aux employ�s de fa�on uniforme. Le gestionnaire de l'�thique a travaill� avec la fonction de gestion des risques pour �laborer des �tapes ayant pour but d'�viter, � l'avenir des infractions aux normes. De nombreuses composantes d'un programme d'�thique de l'entreprise visent � l'am�lioration des flux d'information de l'organisation. Ces derniers comprennent les programmes g�n�raux de communication, l'engagement de la haute direction et la communication des valeurs et principes de l'organisation, et le suivi des pratiques op�rationnelles. Nous avons d�j� dit que les communications et les flux d'information constituent une pratique fondamentale de la gestion des risques.

3. La gestion des risques est un processus dynamique.

Au fur et � mesure que changent les besoins et les risques op�rationnels, de nouveaux processus ou outils de gestion des risques sont n�cessaires. Par exemple, l'usage accru de l'Internet peut �tre source de risques et peut, en m�me temps, �tre un outil de gestion des risques. Les pratiques doivent continuellement s'adapter � un environnement en �volution. La performance des organisations en mati�re de gestion des risques doit �galement faire l'objet d'une surveillance et d'une am�lioration continues. Les employ�s et les gestionnaires doivent �tre inform�s des changements qui surviennent. Les �valuations de risques devraient �tre r�vis�es au fur et � mesure que les circonstances changent. Il ne s'agit pas d'une op�ration strictement ponctuelle et ' jetable '.

4. De nombreux sp�cialistes fonctionnels joueront un r�le dans la gestion des risques.

L'examen que nous avons effectu� des pratiques exemplaires indique que de nombreux sp�cialistes fonctionnels auront un r�le � jouer dans la gestion des risques. Ces sp�cialistes sont, notamment, les sp�cialistes en technologie de l'information, ceux des ressources humaines, des communications et des finances.

Les sp�cialistes de la technologie de l'information ont (T.I.) toujours eu une pr�occupation envers la gestion des risques. Ils ont eu l'occasion de faire la gestion de risques de projets de T.I. Maintenant, leur r�le peut �tre en expansion pour offrir un soutien de sp�cialistes aux sp�cialistes et aux gestionnaires de la gestion des risques. Au fur et � mesure que les nouvelles technologies sont accept�es (p. ex., l'Internet, le commerce �lectronique), les sp�cialistes de la T.I. seront appel�s � aider les autres � comprendre les risques possibles associ�s aux op�rations de m�me qu'� la technologie, et � faire face � ces risques. Ils contribueront � l'identification, � l'�valuation et � la gestion des risques l� o� se trouvera une composante technologique. Ils seront des membres de premi�re importance des �quipes et des comit�s.

Les sp�cialistes de la technologie de l'information seront �galement appel�s � mettre sur pied des syst�mes de gestion des risques. Ces syst�mes comprennent notamment des logiciels de mod�lisation, des syst�mes de surveillance des risques et des syst�mes de suivi de la performance en mati�re de gestion des risques.

Les sp�cialistes des ressources humaines seront appel�s � concevoir des m�canismes appropri�s � l'�valuation du rendement des gestionnaires dans leur gestion des risques. Ils seront �galement appel�s � faire la conception de strat�gies d'apprentissage et de programmes de formation. Ils pourront �galement �tre invit�s � participer � la gestion du changement et � des initiatives visant � op�rer un changement dans la culture de l'organisation.

Les sp�cialistes des communications auront un r�le � jouer dans l'�tablissement des canaux de communication appropri�s. Ils seront probablement appel�s � participer aussi � la production de rapports sur les risques et sur le rendement en mati�re de gestion des risques.

Les sp�cialistes des finances auront un r�le � jouer dans l'identification et l'�valuation des implications financi�res de divers sc�narios lorsque les gestionnaires dressent des mod�les de l'incertitude.

5. La gestion des risques doit �tre appuy�e par des ressources ad�quates.

La mise en oeuvre de la gestion des risques exige des ressources. Il faudra investir dans les domaines suivants : la formation, le d�veloppement des processus et des techniques, les syst�mes de gestion, les groupes de sp�cialistes. La haute direction doit s'engager � soutenir cette initiative en y consacrant les ressources n�cessaires.