ARCHIVÉ - Les pratiques exemplaires en matière de gestion des risques dans les Secteurs privé et public, au niveau International

Cette page a été archivée.

Les pratiques exemplaires en matière de gestion des risques dans les Secteurs privé et public, au niveau International

27 avril 1999

Table des matières

• Sommaire
  • A. Cadre de l'étude
  • B. Les avantages à l'implantation de la gestion des risques
  • C. Les pratiques exemplaires
  • D. Les observations
  • E. Conclusions
• I Cadre de l'étude
  • A. L'objet de l'étude et les objectifs visés
  • B. Le contexte et l'approche
• II Pourquoi implanter la gestion des risques?
  • A. Les avantages
  • B. état de la mise en oeuvre de la gestion des risques
• III Les pratiques exemplaires
  • A. L'intégration de la gestion des risques aux autres pratiques de gestion
  • B. Approches, outils et techniques de mise en oeuvre de la gestion des risques
• IV Observations et conclusions
  • A. Observations
  • B. Conclusions
• Annexe A : énoncé des travaux
• Annexe B : Bibliographie
• Annexe C : Guide d'entrevues
• Annexe D : Critères d'évaluation de l'applicabilité des pratiques exemplaires au gouvernement fédéral canadien

Sommaire

Ce sommaire des Pratiques exemplaires en matière de gestion des risques dans les secteurs privé et public, au niveau international résume le cadre de l'étude, les meilleures pratiques ainsi que et les observations et les conclusions de la présente étude.

A. Cadre de l'étude

La firme KPMG a été retenue pour identifier les pratiques exemplaires du secteur privé et du secteur public au niveau international. Les objectifs de l'étude étaient d'identifier les pratiques exemplaires en matière de gestion des risques, c'est-à-dire les stratégies, les approches, les méthodes, les outils et les techniques utilisés, et la façon dont on pourrait les utiliser au sein du gouvernement fédéral canadien. L'étude a été menée parallèlement à une autre étude sur les pratiques exemplaires au sein des organismes canadiens du secteur privé et du secteur public, effectuée par une autre firme de conseillers. Nos équipes ont travaillé en étroite collaboration pour s'assurer d'avoir une même compréhension des exigences de l'étude et d'être en mesure de présenter un sommaire coordonné.

L'étude porte sur les pratiques ' exemplaires ', soit celles particulièrement efficaces pour aider une organisation à atteindre ses objectifs en matière de gestion des risques et qui représentent aussi un intérêt pour d'autres organisations. L'étude met l'accent sur les pratiques de gestion des risques qui ont été intégrées à d'autres pratiques de gestion, comme celles de la planification et de la prise de décisions. Elle étudie également les stratégies de planification, de développement, de mise en oeuvre et de suivi de la gestion des risques.

Le tableau 1 illustre l'approche utilisée pour mener l'étude et ses quatre composantes : recherche documentaire et contacts avec les bureaux de la firme KPMG à l'étranger; communiquer avec les organisations pour connaître leur intérêt à participer à notre étude, entrevues et collecte des données, puis analyse et rapport. Nous avons eu recours à notre réseau international de la KPMG pour identifier les organisations dans les pays qui possèdent de bonnes pratiques de gestion des risques.

Notre échantillon d'étude s'est composé de 228 publications pertinentes et des entrevues auprès de dix-huit organisations provenant de l'Australie, l'Europe de l'Ouest (France, Allemagne, Suède, Suisse, Royaume-Uni), la Nouvelle-Zélande, l'Afrique du Sud, Taïwan, et les états-Unis. Les organisations provenant de l'Europe de l'Ouest, de l'Australie et de la Nouvelle-Zélande représentent environ 80 p. 100 de notre échantillonnage. Ce dernier inclut douze organisations du secteur privé et cinq du secteur public. Nous avons interviewé des entreprises dans les secteurs d'activités suivants : industries de fabrication, mines et ressources naturelles, services financiers, produits pharmaceutiques, technologie et communications, et services publics.

Tableau 1
Approche

---

B. Les avantages à l'implantation de la gestion des risques

Les organisations font état de nombreux avantages découlant de la gestion des risques. Ces avantages sont, dans l'ensemble, reliés aux objectifs de l'organisation et aux pratiques de gestion. L'avantage principal est d'atteindre les objectifs de l'organisme. Les autres avantages rapportés sont une aide accrue à concentrer les énergies sur les priorités opérationnelles, un renforcement du processus de planification et d'aide à la direction relativement à l'innovation. Les avantages reliés à ce processus de gestion incluent : un changement culturel qui favorise une discussion ouverte sur les risques et sur l'information comportant un potentiel de dommages; l'amélioration de la gestion financière et opérationnelle en faisant en sorte que les risques soient adéquatement considérés dans le processus de prise de décisions; et enfin l'accroissement de la responsabilisation de la gestion.

C. Les pratiques exemplaires

Le tableau 2 présente une vue d'ensemble des pratiques exemplaires. Le ' moyeux ', duquel partent toutes les autres pratiques, c'est la philosophie organisationnelle. Toutes les pratiques produisent un mouvement vers l'intégration de la gestion des risques au sein de l'organisation. Les approches, les outils et les techniques constituent le point de contact avec la ' route ', c'est-à-dire l'orientation et les objectifs de l'organisation. Plusieurs pratiques sont interreliées. Par exemple, les ' équipes multidisciplinaires ' ont besoin d'une ' communication ouverte '.

Tableau 2
Aperçu général des pratiques exemplaires

---

• Promotion d'une philosophie et d'une culture organisationnelles selon lesquelles tout le monde est gestionnaire de risques : La pratique prédominante d'intégration de la gestion des risques est, de loin, celle qui consiste à édifier une culture organisationnelle dans laquelle tout le monde est gestionnaire de risques. Certaines organisations considèrent que cet aspect était plus important que l'élaboration et la promulgation de politiques et de procédures élaborées. Les employés qui prennent la responsabilité de leurs actions et de leurs rés ultats deviennent des gestionnaires de risques. Idéalement, les employés ont une compréhension intuitive des buts de l'organisation et ils travaillent dans ce sens.

• La haute direction et/ou les organismes de régie se font les champions de la gestion des risques, définissent et communiquent les niveaux de risques acceptables : La responsabilité de diriger la gestion des risques est placée à un niveau élevé dans l'organisation. La haute direction (et/ou des organismes de régie, comme le conseil d'administration) doivent être au courant de la gestion des risques et la comprendre. La haute direction et le conseil diffusent, à l'interne comme à l'externe, le message affirmant l'importance de la gestion du risque. Il est aussi important que les autres gestionnaires, intéressés et employés voient l'implication de ces instances.

• L'établissement de canaux de communication ouverts : Une communication ouverte est nécessaire au succès de la gestion des risques. Sans communication ouverte, il est impossible à la gestion des risques d'être l'' affaire de chacun '. Les gestionnaires ont besoin de canaux de communication directs vers le haut, vers le bas et à travers leurs unités organisationnelles pour les aider à détecter les risques et à prendre les mesures appropriées. L'information doit se partager.

• L'utilisation d'équipes et de comités : Les équipes formelles et informelles constituent un mécanisme auquel, selon les rapports, de nombreuses organisations ont recours pour faire la gestion des risques. La constitution d'équipes fait ressortir la dynamique qui se manifeste entre les disciplines, réunit des attitudes diverses face au risque, et amène une nouvelle façon d'envisager les problèmes et les solutions. Elle est perçue comme une façon d'amener des disciplines diverses à se concentrer sur des objectifs communs.

• L'utilisation d'un langage simple et ordinaire pour parler des risques d'affaires : Un langage commun pour traiter des risques d'affaires permet aux gestionnaires de communiquer avec des habitués de la salle de réunion ou de la salle des fournaises en des termes que tous peuvent comprendre. Cet aspect est également important dans les cas où on s'attend à ce que tous et chacun fassent de la gestion de risques. Les concepteurs de ce processus doivent réaliser un équilibre entre la simplicité et l'utilité.

• La mise sur pied d'une fonction de gestion des risques au niveau de l'entreprise : De nombreuses organisations ont mis sur pied un centre responsable de la gestion des risques. Certaines unités sont placées sous un Chef des risques qui définit des moyens uniformes d'aborder la gestion des risques. En tant que champion du risque organisationnel, ce chef a la responsabilité de faire preuve de leadership puis d'établir et de maintenir une sensibilisation aux risques dans l'ensemble de l'organisation. Il pourrait également fixer des objectifs en matière de contrôle des risques, établir un cadre de gestion des risques et concevoir des façons de mesurer les risques.

• La communication de la performance de la gestion des risques : Un petit nombre d'organisations font rapport à la direction, aux actionnaires et aux parties prenantes sur les risques et la performance en matière de gestion des risques. Par exemple, dans une organisation, les gestionnaires des unités administratives doivent faire rapport trois fois l'an au sous-comité du conseil d'administration sur les finances et les risques. Les rapports décrivent les dix principaux risques des unités et la façon dont on en fait la gestion.

• La vérification interne et/ou le comité de vérification aident à la mise en oeuvre de la gestion des risques : La fonction de la vérification interne joue un rôle capital dans la mise en oeuvre de la gestion des risques dans l'ensemble d'une organisation. En voici quelques exemples : l'animation d'ateliers d'auto-évaluation; le suivi et les rapports sur la gestion des risques importants; la prestation de conseils; la sensibilisation des gestionnaires à la gestion des risques; l'examen des processus de gestion des risques; et une présence au comité de gestion des risques.

• L'encadrement : L'encadrement est offert indirectement (au moyen de documents tels qu'une ' trousse d'outils ') ou directement (au moyen de conseils tels que des services internes de consultation).

• La formation en matière de gestion des risques : La formation en matière de gestion des risques, placée dans le cadre du programme de formation d'une société, aide à faire l'intégration du risque. Les domaines qui se prêtent à la formation sont, notamment : les évaluations du risque, les pratiques exemplaires, les exigences législatives, la sécurité, les objectifs de gestion des risques, la formation dans le domaine de la sensibilisation aux risques afin de s'assurer que tous les gestionnaires tiennent compte des risques.

• Approches, outils et techniques de mise en oeuvre de la gestion des risques : Les organisations utilisent différentes approches, outils et techniques afin de gérer les risques. Plusieurs d'entre elles ont élaboré des relevés des risques d'entreprise qui aident l'entreprise à déterminer, comprendre et aborder les risques qui l'affectent. L'utilisation d'un cadre à grande portée peut influencer une discussion sur les sources et les genres de risques, soit, par exemple, les risques externes, économiques, risques de marché, de crédit, risques reliés à l'information et aux ressources humaines, et risques stratégiques. Cette façon d'aborder la question permet d'examiner les risques sous l'angle d'une perspective multidisciplinaire. Les outils de modélisation, tels que l'analyse par scénarios et les modèles prévisionnels, permettent aux gestionnaires de gérer l'incertitude. En utilisant l'analyse par scénarios, les décideurs peuvent voir la gamme des possibilités et également intégrer ces scénarios aux plans d'urgence de l'organisation. Les techniques d'identification et d'évaluation des risques aident les gestionnaires à déterminer les endroits où ils devraient porter leur attention et investir leurs ressources. Ces techniques comprennent les ateliers, les questionnaires, l'auto-évaluation, le balayage des risques et les gabarits d'évaluation. L'Internet et l'Intranet servent de plus en plus à : promouvoir la sensibilisation aux risques et la gestion des risques; obtenir de l'information sur les risques qui existent dans certains domaines précis; communiquer avec les employés; partager l'information sur la gestion des risques à travers les agences et communiquer les objectifs de gestion des risques.

D. Les observations

à la suite de notre analyse des pratiques exemplaires, voici nos observations concernant la gestion des risques :

• La gestion des risques, tout comme la fonction de contrôleur, est un état d'esprit : Les gestionnaires devraient avoir conscience de la gestion des risques et intégrer celle-ci à leurs autres pratiques de gestion. Les processus trop bureaucratiques et trop complexes vont noyer la gestion des risques sous un flot d'éléments non pertinents. Les gestionnaires ont besoin de flexibilité pour utiliser des techniques qui sont pertinentes pour eux-mêmes et pour leurs opérations. Cependant, la technique doit également permettre la synthèse des données et la comparaison des résultats des unités opérationnelles au niveau de l'entreprise dans son ensemble. Il faut que des spécialistes soient disponibles pour prêter assistance aux gestionnaires.

• La gestion des risques et les fonctions éthiques de l'entreprise devraient fonctionner de pair : Les renseignements que nous avons recueillis indiquent que les programmes de gestion des risques et les programmes d'ordre éthique sont étroitement apparentés. Par exemple, un code d'éthique écrit est un mécanisme de communication des valeurs d'une organisation et des risques y afférents. Un code d'éthique destiné aux employés du gouvernement est perçu comme un moyen de sensibiliser les employés aux enjeux d'éthique ou aux risques affectant les valeurs fondamentales de l'entité.

• La gestion des risques est un processus dynamique : Au fur et à mesure que changent les besoins et les risques opérationnels, de nouveaux processus ou outils de gestion des risques sont nécessaires. La performance des organisations en matière de gestion des risques doit également faire l'objet d'une surveillance et d'une amélioration continues. Les évaluations des risques ne sont pas des opérations strictement ponctuelles.

• De nombreux spécialistes fonctionnels joueront un rôle dans la gestion des risques : L'examen que nous avons effectué des pratiques exemplaires indique que de nombreux spécialistes fonctionnels auront un rôle à jouer dans la gestion des risques. Ces spécialistes sont, notamment, les spécialistes en technologie de l'information, ceux des ressources humaines, des communications et des finances.

• La gestion des risques doit être appuyée par des ressources adéquates : La haute direction doit s'engager à soutenir cette initiative en y consacrant les ressources nécessaires. Il faudra investir dans les domaines suivants : la formation, le développement des processus et des techniques, les systèmes de gestion et les groupes de spécialistes.

E. Conclusions

Nous concluons que les pratiques exemplaires sont généralement applicables dans le contexte du gouvernement fédéral. Le tableau 3 présente l'application des critères d'évaluation aux pratiques exemplaires. Les pratiques sont compatibles avec l'orientation actuelle de la gestion des risques au sein du gouvernement. La plupart de ces pratiques contribueront à l'amélioration de la prestation du service. En faisant la gestion des risques, les gestionnaires ont plus de chances d'atteindre leurs objectifs. Par conséquent, ils auraient de meilleures possibilités d'atteindre les objectifs et les cibles de prestation de services. Des pratiques telles que la philosophie organisationnelle, les canaux de communication ouverts, les équipes et les comités, l'encadrement et la formation contribuent à un environnement de travail opportun. Ces pratiques favorisent aussi l'innovation.

Ces pratiques facilitent effectivement la prise de décisions et la planification de la direction, mais le lien avec une saine allocation des ressources est moins fort. Toutefois, les outils permettant de représenter, de modéliser, d'identifier et d'évaluer les risques aident à concentrer les ressources sur les risques les plus menaçants et, de cette façon, les ressources sont allouées dans les domaines les plus critiques.

Il peut se dresser d'importants obstacles à la mise en oeuvre des pratiques exemplaires qui s'avèrent très différentes du statu quo. La plupart des ministères et organismes fédéraux fonctionnent avec une structure organisationnelle traditionnelle comportant une hiérarchie définie des rapports et de la gestion. Par conséquent, la mise en place d'une philosophie et d'une culture voulant faire de tout le monde un gestionnaire des risques peut être une cible hors d'atteinte. Parallèlement, les milieux actuels ne font pas bon accueil aux mauvaises nouvelles ou aux canaux de communication ouverts. Les ministères et organismes fédéraux auront besoin d'adopter des pratiques qui sont claires pour l'organisation et reliées aux avantages recherchés par cette organisation. Il existe différentes façons d'implanter ces pratiques dans les organisations.

Tableau 3
évaluation des pratiques

---

---

I Cadre de l'étude

Ce chapitre résume le but de l'étude et les objectifs qu'elle visait. Nous fixons le contexte de l'étude et décrivons l'approche suivie. Enfin, nous rendons compte de l'échantillon ayant fait l'objet de l'étude.

A. L'objet de l'étude et les objectifs visés

Cette section décrit l'objet de l'étude et les objectifs qu'elle visait sur la question des pratiques exemplaires en matière de gestion des risques qui ont cours, au niveau international, au sein des organismes du secteur public et du secteur privé.

B. Le contexte et l'approche

Dans cette section, nous décrivons le contexte et l'approche de l'étude. Il est important de comprendre ces deux dimensions parce qu'elles ont eu une influence sur les renseignements que nous avons recueillis au cours de l'étude et que nous discutons ici.

Tableau I-1
Approche

---

Tableau I-2(a)
Distribution des organisations selon le lieu

---

Tableau I-2(b)
Distribution des organisations selon l'industrie

---

---

II Pourquoi implanter la gestion des risques?

Ce chapitre donne un aperçu des avantages découlant de l'implantation de la gestion des risques. Nous discutons aussi, brièvement, de l'état de l'implantation dans les organisations.

A. Les avantages

Il existe certainement des arguments solides en faveur de l'implantation de la gestion des risques. Voici, selon les rapports, une liste d'avantages découlant de cette pratique :

• Elle permet d'atteindre les objectifs de l'organisation.

• Elle aide à concentrer les énergies sur les priorités de l'entreprise. En plus, elle permet aux gestionnaires de concentrer leurs ressources sur les objectifs primaires. Les ressources ne sont pas réorientées pour répondre à des problèmes. Cette pratique a pour résultat d'accroître la confiance des actionnaires et des ministres. Prendre des mesures pour prévenir et diminuer les pertes, plutôt que de ramasser les pots cassés après coup, constitue une stratégie efficace de gestion des risques.

• Elle favorise un changement culturel ouvert à la discussion des risques et de l'information offrant un potentiel de dommages. La nouvelle culture tolère les fautes, mais elle n'accepte pas qu'on cache les erreurs. Elle met également l'accent sur les leçons à tirer de ses fautes.

• Elle contribue à l'amélioration de la gestion financière et opérationnelle en faisant en sorte que les risques soient adéquatement considérés dans le processus de prise de décisions. L'amélioration de la gestion opérationnelle aura pour résultat une prestation de services plus efficace et plus efficiente. En prévoyant les problèmes, les gestionnaires peuvent avoir de meilleures chances de réagir et de prendre les mesures nécessaires. L'organisation sera capable de livrer la marchandise en fonction des services qu'elle promet.

• Elle renforce le processus de planification et la façon d'aider la direction à déceler les perspectives profitables.
• Elle accroît la responsabilisation de la gestion, à court terme. à plus long terme, elle accroît les capacités de gestion d'ensemble.

• Elle fait accroître la valeur (commentaire du secteur privé).

B. état de la mise en oeuvre de la gestion des risques

Cette section traite brièvement de l'état de la mise en oeuvre de la gestion des risques, y compris sa portée et sa définition.

---

III Les pratiques exemplaires

Ce chapitre rend compte des pratiques exemplaires que nous avons relevées dans notre recherche documentaire et nos entrevues. Nous les présentons en deux catégories : l'intégration de la gestion des risques aux pratiques de gestion, et les approches, outils et techniques de la gestion des risques.

Le tableau III-1 présente une vue d'ensemble des pratiques exemplaires. Le ' moyeux ', d'où découlent toutes les autres pratiques, c'est la philosophie organisationnelle. Prises comme un tout, toutes les pratiques produisent un mouvement vers l'intégration de la gestion des risques au sein de l'organisation. Les outils et les techniques constituent le point de contact avec la ' route ', c'est-à-dire l'orientation et les objectifs de l'organisation.

Tableau III-1
Aperçu général des pratiques exemplaires

---

A. L'intégration de la gestion des risques aux autres pratiques de gestion

Cette section rend compte des pratiques exemplaires d'intégration de la gestion des risques aux pratiques de gestion.

B. Approches, outils et techniques de mise en oeuvre de la gestion des risques

---

IV Observations et conclusions

Ce chapitre fait le résumé de nos observations et conclusions, suite à l'examen que nous avons fait des pratiques exemplaires.

A. Observations

Nous offrons les observations qui suivent concernant la gestion des risques, observations tirées de notre analyse des pratiques exemplaires.

B. Conclusions

Cette section présente nos conclusions concernant l'applicabilité des pratiques exemplaires au gouvernement fédéral canadien. Le Tableau IV-1 présente l'application des critères d'évaluation aux pratiques exemplaires.

Voici ce que nous montre ce tableau :

• Toutes les pratiques sont largement applicables au-delà de la protection des biens et des personnes. Elles conviennent à toute gestion des risques opérationnels. Par conséquent, les pratiques sont compatibles avec l'orientation actuelle de la gestion des risques au sein du gouvernement.
• La plupart de ces pratiques contribueront à l'amélioration de la prestation du service. En faisant la gestion des risques, les gestionnaires ont plus de chances d'atteindre leurs objectifs. Par conséquent, ils auraient de meilleures possibilités d'atteindre les objectifs et les cibles de prestation de services.
• Un grand nombre de pratiques contribuent à un environnement de travail stimulant. Ce sont : la philosophie organisationnelle, les canaux de communication ouverts, les équipes et les comités, l'encadrement et la formation.
• L'innovation est soutenue. Toutefois, ce sont, au tout premier chef, les pratiques ' douces ' (philosophie, communications, équipes et Internet) qui contribuent à ce besoin parce qu'elles créent un milieu ouvert à la discussion et au brassage des idées. En plus, elles ont une tolérance aux erreurs.
• Ces pratiques facilitent effectivement la prise de décisions et la planification de la direction. Toutefois, le lien avec une saine allocation des ressources est moins fort. Toutefois, les outils permettant de représenter, de modéliser, d'identifier et d'évaluer les risques se portent vraiment sur les risques les plus menaçants. De cette façon, les ressources sont allouées là où elles sont d'une importance le plus critique.
• Les pratiques s'appuient facilement sur les connaissances et sur les leçons apprises existant dans l'organisation. L'expérience de la gestion et des employés est une composante de l'identification et de l'évaluation des risques. Pareillement, un grand nombre de ces pratiques ont des liens horizontaux dans l'organisation et s'intègrent bien au cadre de gestion.
• Seules deux des pratiques possèdent un cadre de responsabilité et de régie clair et susceptible d'application : le leadership de la haute direction ou du conseil d'administration et la performance en matière de communications.
• Seules quatre des pratiques exemplaires montrent une communication avec les intéressés et une participation de leur part.

Nous concluons que les pratiques exemplaires sont applicables au contexte du gouvernement fédéral, compte tenu des critères selon lesquels elles ont été évaluées. Toutefois, il peut se dresser d'importants obstacles à la mise en oeuvre des pratiques exemplaires qui s'avèrent très différentes du statu quo. La plupart des ministères et organismes fédéraux fonctionnent avec une structure organisationnelle traditionnelle. Il y existe une hiérarchie définie des rapports et de la gestion. Par conséquent, la mise en place d'une philosophie et d'une culture voulant faire de tout le monde un gestionnaire des risques peut être une cible hors d'atteinte. Pareillement, les milieux actuels ne font pas bon accueil aux mauvaises nouvelles ou aux canaux de communication ouverts.

Tableau IV-1
évaluation des pratiques

---

Annexe A

énoncé des travaux

---

Les travaux dont la liste suit s'appliquent aux parties a) et b) de la portée des travaux et tiendront compte des renseignements disponibles auprès du SCT, comme le travail déjà effectué par la Division des normes de gestion financière lors de la préparation des documents sur la Stratégie de gestion des risques financiers et le Guide de gestion des risques opérationnels. Il en est de même pour le Cadre d'évaluation pour la modernisation de la fonction de contrôleur, préparé par le Bureau de la modernisation de la fonction de contrôleur.

1. Recherche documentaire : le contractant identifiera et examinera ce qui s'est publié sur les pratiques de gestion des risques, dans le cadre qui convient à la portée du projet a) ou b).
2. Identification des pratiques exemplaires : le contractant identifiera les compagnies et organisations qui semblent utiliser des approches innovatrices ou des pratiques exemplaires pour faire la gestion des risques.
3. Recherche orientée : Des renseignements supplémentaires seront recueillis sur les stratégies, les approches, les méthodes, les outils et les techniques en usage dans les compagnies et organisations identifiés à l'étape 2 au moyen d'entrevues, d'entrevues en direct, et/ou de demandes de documentation.
4. Rédaction du rapport : Le contractant documentera les pratiques exemplaires identifiées sous la forme d'une ébauche de rapport et d'un rapport final et fera des recommandations quant à l'utilité et à l'applicabilité de celles-ci dans le contexte du gouvernement fédéral canadien.

---

Annexe B

Bibliographie

---

A CFO'S View. Vol. 44, Risk Management, New York, September 1997, pp. 21-27.

A change at the helm. Vol. 44, Risk Management, New York, April 1997, pp. R26-R28.

A Texas-Size. Risk Management, December 1998, pp. 16-17.

A World of Risk. Risk Management, January 1998, pp. 11.

Abbott, Howard. Food for Thought. Vol. 5, No. 9, International Risk Management, October 1998, p. 31.

Abbott, Howard. Taking the Rap. Vol. 5, No. 4, International Risk Management, April 1998, p. 24.

Adopting an Enterprise-Wide Approach to Risk. Risk Management, January 1998, pp. 16-17.

Aftermath of Bank Crisis - Better Supervision is Needed. Financial Times, Reuter Textline, March 14, 1997.

Age-old problem improving. Vol. 44, Risk Management, New York, August 1997, p. 6.

Allen, Anne B. Ghostly tales of opportunities for change: A legislative carol. Vol. 44, Risk Management, New York, December 1997, p. 66.

Allen, Anne B. Toward a better standard. Vol. 44, Risk Management, New York, January 1997, p. 54.

Anonymous. Job and family in balance. Risk Management, New York, November 1996.

Australia: Corporate Treasurers Lack Adequate Systems. Australian Banking and Finance, December 1997.

Bagneschi, Linda. Pollution prevention: The best-kept secret in loss control. Vol. 45, Risk Management, New York, July 1998, pp. 31-38.

Balcer, Georges. A forum for quality. Vol. 44, Risk Management, New York, January 1997, p. 62.

Baldry, David. The evaluation of risk management in public sector capital projects. Vol. 16, No. 1, International Journal of Project Management, 1998, pp. 35-41.

Barbuti, Jim. A new philosophy: Risk financing for the middle market. Risk Management, New York, Apr. 1996.

Barlow, Douglas. The Essence of Risk Management. Risk Management, September 1998, p. 88.

Barrett, Pat. Better Practice Principles for Performance Information. Australian National Audit Office.

Barrett, Pat. Selecting Suppliers-Managing the Risk. Australian National Audit Office, October 1998.

Beer, Stan. Australia: News - Bug-battle Bill Blows Out By Billions. Australian Financial Review, December 2, 1998, p. 1.

Bernens, Robert. Establishing Expected Practices. Risk Management, January 1997, pp. 14-16.

Berry, Andrew and Phillips, Julian. Pulling it together. Vol. 45, Risk Management, New York, September 1998, pp. 53-58.

Bieber, Robert. Bridging the Gap: Using Effective Communications to Improve Corporate Risk Management. Risk Management, February 1997, pp. 39-41.

Borst, JJ. Value at Risk in the Dutch Steel Industry. Tijdschrift Voor Corporate Finance (The Netherlands), Fall 1997.

Bryson, Nancy S. and Donohue, Brian G. Improving risk management decisions: A new road map and some specific destinations of interest. Vol. 6, No. 4, Environmental Quality Management, Summer 1997, pp. 85-89.

CBRA Methodology Guide.

CFOs on financial hiring. Vol. 45, Risk Management, New York, September 1998, p. 8.

Chand, Sooran and James, Sbrolla. A Director's Nightmare. Ivey Business Quarterly, Winter 1998.

Chapman, C. and Ward, S. Project Risk Management: Processes, Techniques and Insights. John Wiley and Sons, Chichester, 1997.

City of Santa Clara Moving Ahead: Silicon Valley Power, Engage Energy From Alliance. BUSINESS WIRE PR Newswire Reuter Textline.

Clack, Peter. Australia: Business Declares War on Fraud. Reuters Business Briefing, Jan. 25, 1999.

Clayton, Michelle. RMA releases risk survey. Vol. 7, No. 12, UMI, Inc. America's Community Bankers, 1998, p. 7.

Coastal Corporation Re: Joint Venture's Alliance. Regulatory News Service, BUSINESS WIRE PR Newswire Reuter Textline, Dec. 17, 1997.

Collier, Rick. A better approach: Wrap-ups deliver construction savings. Vol. 45, Risk Management, New York, March 1998, pp. 26-30.

Company Directors Want Risk Protection. Sydney Morning Herald, Reuter Textline, July 30, 1996.

Comptroller General of the United States. Major Management Challenges and Program Risks: A Government wide Perspective. January 1999.

Cornford, Andrew. Some recent innovations in international finance: Different faces of risk management and control. Vol. 30, No. 2, Journal of Economic Issues, June 1996, pp. 493-508.

Corporate culture a concern for job seekers. Vol. 43, Risk Management, New York, Aug. 1996, p. 9.

Country Briefing. BAe rethinks risk management. EIU Country Alerts Economist Intelligence Unit, Sept. 4, 1998.

Covello, Dr. Vince. Crims '98 New Frontiers: Explore, Chart and Conquer. Risk Communication (Plenary Session), October 4-7, 1998.

Crockett, James, Pare, Carolyn, Montanez, William, Anello, Angelo, and et al. The future of employee benefits. Vol. 44, Risk Management, New York, June 1997, pp. 28-34.

Curbing sexual harassment complaints. Vol. 44, Risk Management, New York, January 1997, p. 52.

Davenport, John A. Loss control technologies. Vol. 44, Risk Management, New York, March 1997, pp. 30-34.

Davies, Anthony. New Zealand: Compliance - Keeping up with the Regulators. Independent Business Weekly (NZ), September 30, 1998.

Deanna Bellandi. The Expanding Reach of Risk Management: Suburban Heights Medical Center: Judges. 1997 Crain Communications Inc.

DePinto, Gary. Managing factory risk to improve customer satisfaction. Semiconductor International, June 1997, pp. 179-186.

Dickson, Thomas R. The evolution of risk financing. Vol. 43, Risk Management, New York, August 1996, p. 15.

Dorn, Mark. Vendors sell peanuts partners sell solutions. Vol. 45, Risk Management, New York, October 1998, pp. 14-16.

Driving change. Vol. 45, Risk Management, New York, December 1998, pp. 56-57.

Duden, David P. From data to decisions: Selecting risk management software. Vol. 43, Risk Management, New York, December 1996, pp. 33-35.

Edlin, Bob. New Zealand: Luxton Lunges at Red Tape While Business Champs at Bit. Independent Business Weekly (NZ), October 10, 1997.

Environmental Risk Management becoming a concern to Hospital Executives. Vol. 13, No. 1, 1998 Information Access Company, a Thomson Corporation Company, IAC (SM) Newsletter Database Business Word, Inc.

Ernst & Young. The Hidden Risks of Risk Management. Ernst & Young 1998.

Ewing, Lance. How to make a difference. Risk Management, New York, November 1998, Vol. 45, p. 12.

Fatal distractions. Vol. 45, Risk Management, New York, October 1998, p. 9.

Fed's Meyer calls for better bank capital Standard. BUSINESS WIRE PR Newswire Reuter Textline, March 2, 1998.

Feldman, Paul. Risk Managers' Global Concerns. Risk Management, June 1998, p. 64.

Feldman, Paul. The case for peer review. Vol. 45, Risk Management, New York, April 1998, p. 104.

Fenelle, Cheryl. "Partnerships-mirage or reality?". Risk Management, New York, May 1996.

First aid for disaster-struck businesses. Vol. 44, Risk Management, New York, May 1997, p. 8.

Fixing broken bucks: Fidelity proposes new captive use. Vol. 44, Risk Management, New York, December 1997, p. 42.

From the ground up. Vol. 45, Risk Management, New York, December 1998, pp. 48-52.

Gal, T. and H.J. Greenberg (eds) Advances in Sensitivity Analysis and Parametric Programming. Kluwer Academic Press, London, 1997.

Gentile, Mary C. Setting the right course: Business ethics. Vol. 45, Risk Management, New York, September 1998, pp. 26-34.

Gerber, Joseph A. and Glazer, Richard C. Seeking responsibility: Recovery for risk managers. Vol. 45, Risk Management, New York, February 1998, pp. 40-44.

Getting people involved. Vol. 43, Risk Management, New York, September 1996, p. 56.

Gluyas, Richard. Australia: Governance Bombshell - Only 1 in 10 Up to Scratch. Australian, April 17, 1997, p. 17.

Grabowski, Martha and Roberts, Karlene. Risk mitigation in large-scale systems: lessons from high reliability organizations. Vol. 39, No. 4, 1997 Information Access Company, a Thomson Corporation Company, 1997 Regents of the University of California, California Management Review, p. 152.

Grapperhaus, Roberta. Management's Perspectives on Risk. Risk Management, September 1997, pp. 11-16.

Grapperhaus, Roberta. Measuring up: How risk managers apply the cost of risk survey results. Vol. 45, Risk Management, New York, January 1998, pp. 27-29.

Group Success. Risk Management, December 1998, pp. 53-54.

Guidelines for Managing Risk in the Australian Public Service. Joint publication of the Management Advisory Board and its Management Improvement Advisory Committee, MAB/MIAC Report No. 22, October 1996.

Hackett, Lloyd. Mastering disasters in Canada. Vol. 45, Risk Management, New York, April 1998, p. 98.

Haines, Joe. Not up to Scratch. Vol. 1, No. 2, Public Sector Risk Management, an Emap Business Publication, Autumn 1996, p. 23.

Hallam, Kristen. Healthcare International: Taking a Global Risk; MMI Cos Sees Gold in Foreign Malpractice Insurance. Modern Healthcare, November 2, 1998, p. 40.

Hanley, Mike. Assured of a Greener Future. Vol. 5, No. 4, International Risk Management, An Emap Business Publication, April 1998, p. 27.

Hanley, Mike. Bespoke Solutions. Vol. 5, No. 8, International Risk Management, An Emap Business Publication, September 1998, p. 27.

Hanley, Mike. Chain Reactions. Vol. 6, No. 1, International Risk Management, An Emap Business Publication, December 1998/January 1999, p. 23.

Hanley, Mike. Containing the Colossus. Vol. 5, No. 4, International Risk Management, An Emap Business Publication, April 1998, p. 18.

Hanley, Mike. Made to Measure. Vol. 5, No. 7, International Risk Management, July/August 1998, An Emap Business Publication, p. 22.

Hansen, Larry. Loss Control Strategies for. Risk Management, October 1998, pp. 38-41.

Hansen, Mark D. and Kysar, David S. Making the right moves: Implementing effective ergonomics management. Vol. 44, Risk Management, New York, February 1997, pp. 50-54.

Harper, Timothy F. Sharing our sandbox: Commonsense advice from an aviation risk manager. Vol. 44, Risk Management, New York, October 1997, pp. 35-40.

Harpole, Tom. Weathering the storm. Vol. 46, Risk Management, New York, January 1999, pp. 47-49.

Have Financial Institutions put the Development of Better Risk Management Systems on the Back Burner? American Banker, Reuter Textline, March 4, 1996.

Hawkins, Kyleen W. and Bill Huckaby. Using CSA to Implement COSO; Control Self-Assessment. Vol. 55, No.3, Institute of Internal Auditors, p. 50.

Head, George L. Risk management education goes global. Risk Management, New York, June 1996.

Hedging profits weather or not. Vol. 45, Risk Management, New York, February 1998, p. 9.

Hein, Eric P. and O'Malley, Michael J. Two birds with one stone. Risk Management, New York, April 1996.

Hendriks, Martien. Project Risk-mapping. No. 19, Projectie (The Netherlands), September 1997.

HK Banks Remain Strong Despite Loan Losses - Study. Reuter News Service-Far East, Reuter Textline, May 8, 1997.

HM Treasury - Better Value for Money in Public Sector Construction Contracts. Hermes - UK Government Press Releases Reuter Textline, September 26, 1997.

Hodges, Alan. Towards a National Disaster-Mitigation Strategy. Australasian Fire Authorities Council 1997 Annual Conference, October 12, 1997.

Hohmann, Samuel F. Healthcare Cost of Risk Initiative: Preliminary findings. Vol. 50, No. 6, 1999 UMI., Healthcare Financial Management, June 1996, pp. 60-67.

Hopkins, Deborah C. Case Study-Introducing Business Risk Management, Global Council on Risk Management. General Motors Corporation, June 5, 1997.

How the damage is done. Vol. 45, Risk Management, New York, May 1998, p. 32.

Hunt, Ben, and Peto, Hugh. Forward Thinking. Vol. 5, No. 7, International Risk Management, An Emap Business Publication, July/August 1998, p. 32.

Hunt, Ben. Balancing Risk and Reward. Vol. 5, No. 9, International Risk Management, October 1998, An Emap Business Publication, p. 22.

Hunt, Ben. Colin Witheat. Vol. 6, No. 2, International Risk Management, An Emap Business Publication, February 1999, p. 30.

Hunt, Ben. On the Crest of a Global Wave. Vol. 4, No. 13, International Risk Management, March 1998, An Emap Business Publication, p. 21.

Hunt, Ben. Profile: Ray Matholie. Vol. 5, No. 9, International Risk Management, October 1998, An Emap Business Publication, p. 28.

Hunt, Ben. Staying out of Court. Vol. 6, No. 2, International Risk Management, An Emap Business Publication, February 1999, p. 20.

Improving ethical standards. Vol. 45, Risk Management, New York, June 1998, p. 9.

Increasing the odds. Vol. 45, Risk Management, New York, December 1998, pp. 32-34.

Institute of Interal Auditors-Australia, Australian Control Criteria: Effective Internal Control to Achieve Business Objectives within an Acceptable Degree of Risk. Exposure draft, March 1998.

Integrating. Risk Management, December 1997, pp. 48-49.

Investing in employee's futures. Vol. 44, Risk Management, New York, April 1997, p. 14.

Irvine, Julia. Taking a calculated risk. Vol. 122, No. 1263, 1998 UMI, Inc., Institute of Chartered Accountants in England & Wales 1998, Accountancy, pp. 42-43.

Jegher, Simon. Flexible Structure: Managing Financial Risk. Risk Management, January 1999, pp. 29-33

Jorgensen, Lori. Connection to risk? Managing the exposures of cyberspace. Vol. 45, Risk Management, New York, February 1998, pp. 14-19.

Kelly, William J. The role of management consultant. Vol. 45, Risk Management, New York, January 1998, p. 50.

Kelly, William. Policies for the Real World. Vol. 4, No. 13, International Risk Management, March 1998, An Emap Business Publication, p. 25.

Kirby, Anne. Controlling Comp Costs? Risk Management, March 1997, pp. 37-44.

Kirkwood, Don. Australia: Smaller Companies Risk Financial Loss. Business Queensland, 1998 Business Newspapers Australia Pty Ltd., April 20, 1998.

Knight, Curtis. Statement on best practices. Vol. 80, No.6, Journal of Lending & Credit Risk Management, Feb. 1998, p. 79.

Knight, Rory F. and Pretty, Deborah J. Value at risk: The effects of catastrophes on share price. Vol. 45, Risk Management, New York, May 1998, p. 39-41.

Knowledge Management: Leveraging Information. Gartner Group, Conference Presentation, 1998.

Kroll, Karen M. Integrated Risk - Corporate Insurance. Vol. 247, No.2, Industry Week, p. 77.

Lam, James C. and Kawamoto, Brian M. Emergence of the Chief Risk Officer. Risk Management, September 1997, pp. 30-35.

Lange, Scott. Disaster planning: The challenge within. Vol. 45, Risk Management, New York, May 1998, pp. 34-37.

Larner, Digby. Benchmark or Impediment? Vol. 5, No. 7, International Risk Management, An Emap Business Publication, July/August 1998, p. 35.

Levin, Michael R. and Rubenstein, Michael L. A Unique Balance: The Essence of Risk Management. Risk Management, September 1997, pp. 37-40.

Liethhead, Barry S. Managing "people" risks. Vol. 55, No. 6, 1998 UMI, Inc., Institute of Internal Auditors Inc. 1998, Internal Auditor, pp. 66-67.

Limperis, John. EDI Bringing workers' comp up to speed. Vol. 45, Risk Management, New York, October 1998, pp. 29-30.

Logue, Dennis. Australia: Supplement - Managing Currency Risk in a Volatile World. Australian Financial review, November 25, 1998, p. 6.

Mair, David L. Quality through diversity. Vol. 44, Risk Management, New York, November 1997, p. 68.

Managing risk, FNB, p. 67.

Managing Risks - Top-down Coordination is Crucial. Business Times (Singapore) Reuter Textline, October 22, 1997.

Matheson, David and Matheson, Jim. Get Smart About Big Risks. Risk Management, September 1998, pp. 73-76.

McGahern, Rachael. Super Highway Bandits. Vol. 5, No. 9, International Risk Management, An Emap Business Publication, October 1998, p. 25.

McGuaig, Bruce. Auditing, Assurance, & CSA; Control Self-Assessment. Includes Related Articles on CSA Approaches, Assurance Strategies and Definition of Controls, Vol. 55, No. 3, Institute of Internal Auditors, p. 43.

McNamee, David. Risk Management Today and Tomorrow, Management Control Concepts.

McNamee, David. Risk-based auditing. Includes related article on risk-based audits at Royal Bank of Canada, 1997 Information Access Company, a Thomson Corporation Company, 1997 Institute of Internal Auditors.

Meet the risk manager. Vol. 43, Risk Management, New York, August 1996, p. 41.

Meltzer, Susan. Limits on a company's ability to manage risk.Vol. 44, Risk Management, New York, January 1997, pp. 18-20.

Mendzela, Elisa. Managing Customer Risk. Chartered Accountants Journal, April 1998, p. 27-29.

Miccolis, Jerry A. and Quinn, Timothy P. What's your appetite for risk? Determining the optimal retention. Risk Management, New York, April 1996.

Millonzi, Kay and Passannante, William G. Beware of the pirates: How to protect intellectual property. Vol. 43, Risk Management, New York, August 1996, p. 39.

Mills, Evan, Deering, Ann and Vine, Edward. Energy Efficiency: Proactive Strategies for Risk Managers. Risk Management, March 1998, pp. 12-16.

Nichols, David. A changing landscape: Construction risk management. Vol. 43, Risk Management, New York, November 1996, pp. 17-20.

Norton, Phillip N. D&O: Past, present and future. Vol. 45, Risk Management, New York, February 1998, pp. 21-27.

Parry, John. Profile: Endesa's Vincente Martin. Vol. 5, No. 6, International Risk Management, An Emap Business Publication, June 1998, p. 23.

Paul-Choudury, Sumit and Alison. Firm-wide risk management: summing it all up - EIU/SPECIAL REPORT, Corporate Research. Report, September 1998

Pearson, Judith. Preventing sexual harassment: Risk management tools.Vol. 44, Risk Management, New York, January 1997, pp. 25-28.

Pelland, Dave. Emerging markets, emerging risks. Vol. 44, Risk Management, New York, February 1997, p. 60.

Pelland, Dave. Extortion risk awareness increasing: Exporting products, importing risk. Risk Management, New York, October 1997, Vol. 44, p. 10.

Pelland, Dave. Globalization Changing Roles, Shrinking Industries. Risk Management, April 1998, p. 96.

Pelland, Dave. Greater emphasis on financial skills: Changing face of risk management. Vol. 44, Risk Management, New York, April 1997, p. 108.

Pelland, Dave. Planning to survive. Vol. 43, Risk Management, New York, September 1996, p. 10.

Pelland, Dave. Resources for international risk managers: Global guidance. Vol. 44, Risk Management, New York, August 1997, p. 12.

Pelland, Dave. Risk manager applies quality: Litigation management. Vol. 44, Risk Management, New York, December 1997, p. 68.

Pelland, Dave. Several Trends Influencing Risk Management: Future Success Stories? Risk Management, December 1997, p. 72.

Pelland, Dave. Standing guard against fraud. Vol. 45, Risk Management, New York, February 1998, p. 6.

Perkins, Pia. An Integrated Solution. Vol. 4, No. 13, International Risk Management, An Emap Business Publication, March 1998, p. 28

Perkins, Pia. Break for the Border. Vol. 6, No. 1, International Risk Management, An Emap Business Publication, December 1998/January 1999, p. 26.

Perkins, Pia. Leading Lights. Vol. 5, No. 5, International Risk Management, An Emap Business Publication, May 1998, p. 18.

Perkins, Pia. What Do You Think Chief? Vol. 5, No. 7, International Risk Management, An Emap Business Publication, July/August 1998, p. 22.

Perkins, Pia. You keep me hanging on. Vol. 5, No. 4, International Risk Management, An Emap Business Publication, April 1998, p. 30.

Perkins, Pia. Profile: Judith Hanratty. International Risk Management, July/August 1998.

Peto, Hugh. Customised Solutions. Vol. 6, No. 2, International Risk Management, An Emap Business Publication, February 1999, p. 25

Pittsburgh gives it their best. Vol. 44, Risk Management, New York, December 1997, p. 50.

Promoting healthy living. Vol. 44, Risk Management, New York, October 1997, p. 8.

Pryor, Shepard. Balancing the Extremes of the Credit Process with a 'Best Practices' Orientation. Vol. 85, No. 4, Credit World, pp. 24-28.

Public Cost of Risk Rising. Risk Management, November 1998.

Putting words to work. Vol. 45, Risk Management, New York, November 1998, p. 18.

Rahardjo, Kay and Dowling, Mary Ann. A Broader Vision: Strategic Risk Management. Risk Management, September 1998, pp. 44-50.

Recognizing excellence. Vol. 44, Risk Management, New York, June 1997, pp. 24-25.

Risk management activities found lacking. Vol. 55, No. 3, 1998 UMI, Inc., Copyright Institute of Internal Auditors Inc. 1998 Internal Auditor, p. 14.

Risk Management Communications. Risk Management, February 1997, p. 40.

Risk Management in the Australian Customs Service, Australian Customs Service.

Risk Management, Australian/New Zealand Standard, AS/NZS 4360:1995.

Risk Management: The role of the internal audit. Vol. 75, No. 8, 1997 UMI, Inc. and Chartered Institute of Management Accountants 1997, pp. 42-43.

Risk Monitoring: Is the Process of Ensuring That Risks are Competently Managed within Approved Structures, Policies, Parameters and Authorities. NedBank - Annual Report, 1997.

Risk Report. Risk Management, December 1998, p. 8.

Rolin, Gary. Nuclear Fusion. Vol. 1, No. 2, Public Sector Risk Management, an Emap Business Publication, Autumn 1996, p. 12.

Rosser, Bill. Knowledge Management: Applying and Leveraging Information. Gartner Group, October 1998.

Sanderson, Scott. Taking stock of your risks, includes related article. Vol. 13; No. 4, 1997 Information Access Company, a Thomson Corporation Company, 1997 Financial Executives Institute Financial Executive, p. 42.

Sanderson, Scott. Taking stock of your risks; includes related article. Vol. 13; No. 4, 1997 Information Access Company, a Thomson Corporation Company; 1997 Financial Executives Institute Financial Executive, p. 42.

Sandri, Praveen, Guin, Jayanta and Richardson, Beth. Catastrophe Modeling: A New Tool for Risk Managers. Risk Management, May 1998, pp. 29-31.

Sandwell risk manager makes full use of internet; Government information services. Vol. 1, No. 2, Public Sector Risk Management an Emap Business Publication, Autumn 1996, p. 6.

Saul, Jonathan. Tools or Toys. Vol. 5, No. 6, International Risk Management, June 1998, An Emap Business Publication, p. 29.

Saul, Jonathan. Trade Doubt for Certainty. Vol. 5, No. 8, International Risk Management, An Emap Business Publication, September 1998, p. 33.

Sawyer, Lawrence B. When the problem is management. Vol. 55, No. 4, 1998 UMI, Inc., Institute of Internal Auditors Inc. 1998, Internal Auditor, pp. 33-38.

Saylor, Richard. Meet the risk manager. Risk Management, New York, October 1996.

Scherzer, Martin H. and Mackay, Robert. Risky business. Vol. 14, No. 5, 1998 UMI, Inc., Financial Executives Institute 1998, Financial Executive, pp. 30-32.

Schneier, Robert and Jerry Miccolis. Enterprise Risk Management. Vol. 26, No. 2, Strategy & Leadership, p. 10.

Schroeder, Stephanie. Alternative dispute resolution resources. Vol. 45, Risk Management, New York, June 1998, p. 10.

Schroeder, Stephanie. Risk management key notes. Vol. 46, Risk Management, New York, January 1999, p. 56.

Schroeder, Stephanie. The human factor. Vol. 46, Risk Management, New York, January 1999, p. 1.

Scott Lange. Going Full Bandwidth at Microsoft, Microsoft Corporation, Presented to the Global Council on Risk Management, The Conference Board, November 21, 1996.

Serb, Chris. Uncalculated risks. Vol. 71, No. 13, 1997 UMI, Inc. American Hospital Publishing Inc. 1997 Hospitals & Health Networks, pp. 28-30.

Sharman, Richard. Revealing Risk Patterns. Vol. 5, No. 10, International Risk Management, An Emap Business Publication, November 1998, p. 29.

Shelley, Suzanne, David L. Russell and P.E., Global Environmental Operations. Getting a Handle On Risk Management. Vol. 105, No. 13; Engineering Practice; p. 114.

Sime Bank CEO Leaves, Sparking Talk of Friction. Business Times (Singapore), Reuter Textline, January 20, 1998.

Skilled, trained workers in short supply. Vol. 43, Risk Management, New York, October 1996, p. 9.

Small, Sheila L. What you can expect. Vol. 43, Risk Management, New York, October 1996, pp. R11-R13.

Smit, Barbara. Ahead of the Game. Vol. 6, No. 1, International Risk Management, An Emap Business Publication, December 1998/January 1999, p. 30.

Smit, Barbara. Profile: Alain Lemaire. Vol. 5, No. 8, International Risk Management, September 1998, An Emap Business Publication, p. 39.

Smit, Barbara. Profile: Pierre Sonigo. Vol. 5, No. 5, International Risk Management, An Emap Business Publication, May 1998, p. 35.

Sparrow, Adrian. Business Risk Management. Chartered Accountants Journal, April 1998, pp. 11-13.

Spies, John A. Advice from a risk manager. Vol. 44, Risk Management, New York, March 1997, pp. C3-C4.

Spinner, Karen. Institutions put value on risk practices; software for risk management and valuation methods; Industry Trend or Event. Vol. 15, No. 6, 1997 Information Access Company, Thomson Corporation Company, 1997 Miller Freeman Inc. Wall Street & Technology, p. 56.

Strickland, Katrina. Australia: CBA Criticism of Wallis Report "Almost Absurd", Australian, April 28, 1997, p. 19.

Study backs supports. Vol. 44, Risk Management, New York, April 1997, p. 14.

Study: Work pressures prompt unethical acts. Vol. 44, Risk Management, New York, September 1997, p. 6.

Terry Paradine. All Systems Go. Vol. 5, No. 10, International Risk Management, An Emap Business Publication, November 1998, p. 32.

The Auditor General. Comment by the Auditor General. Australian National Audit Office.

The Boston Consulting Group. Scenario Planning, Noranda Inc.

The business meeting is alive and well for now. Vol. 44, Risk Management, New York, September 1997, p. 6.

The Changing Face of Risk Management. Vol. 55, No.5, Internal Audit, pp. 11-12.

Thomas, Tony. Australia: A Treasury of Cost-Efficiency. Business Review Weekly, December 7, 1998, p. 46.

Toxopolis, S. Risk Management in New Product Development: The Case of DAF Trucks. Vol. 6, Sigma (The Netherlands), December 1998, pp. 20-24.

Vaughan, Patricia C. Risk managers: Creating public policy and influencing legislation. Risk Management, New York, June 1996.

Vitale, Lou. The invisible threat. Vol. 45, Risk Management, New York, July 1998, pp. 42-45.

Wansink, Drs DE and Thijssen, VJ Integral Risk Management: Beyond V.A.R.No. 3, Controllers Magazine (The Netherlands), June/July 1997.

Waring, Dr. Alan. Iran: Facts and Fables. Vol. 4, No. 13, International Risk Management, An Emap Business Publication, March 1998, p. 35.

Warning Signs Diagnostic Exercise, 1996 Arthur Andersen LLP

Weinstein, Edward A. and Dennis C. Carey. 10 Best Practices. Vol. 22, No. 4, 1999 UMI., Directors & Boards, Summer 1998, p. 40.

West, Kathryn Z. Can they afford not to? Risk Management, New York, April 1996.

West, Kathryn Z. Part-time risk managers full-time risks. Risk Management, New York, June 1996.

West, Kathryn Z. Unlock the Power of Global Risk Management. Risk Management, October 1996, p. 4.

When in doubt, simulate. Vol. 45, Risk Management, New York, November 1998, pp. 44-49.

When Things Go Bad, Fast. Risk Management, December 1998, pp. 22-24.

White, Earl. New Zealand: Letter - Diary Board Defends its Forex Management. Independent business Weekly (NZ), September 9, 1998.

Williams, Todd L. An integrated approach to risk management. Vol. 43, Risk Management, New York, July 1997, p. 22.

World's Seventh Largest Electric Utility Selects Infinity's Panorama for Trading and Risk Management. BUSINESS WIRE PR Newswire Reuter Textline, July 2, 1998.

Zomer, Heather. The education of a rookie risk manager. Risk Management, New York, June 1996.

---

Annexe C

Guide d'entrevues

Les pratiques exemplaires en matière de gestion des risques

---

Nous vous remercions sincèrement d'avoir bien voulu participer à cette importante étude. Le présent document décrit l'étude et les domaines que nous aimerions discuter avec vous.

A. Toile de fond de l'étude

Le gouvernement fédéral du Canada a récemment lancé un projet visant à offrir aux ministères fédéraux des conseils sur les outils, les techniques et les pratiques de gestion des risques. En fin de compte, cette démarche aidera les employés du gouvernement à mieux comprendre, gérer et communiquer les risques (et les choix qui s'y rattachent) auxquels ils font face dans le domaine de la prestation de services aux Canadiens.

Le Secrétariat du Conseil du Trésor a retenu les services de la firme KPMG Canada pour relever les pratiques exemplaires de la gestion des risques qui ont cours dans les organisations du secteur privé et du secteur public d'autres pays. L'étude porte principalement sur les pratiques de gestion des risques qui ont été intégrées aux processus de gestion, de planification et de prise de décisions d'une organisation. Elle s'intéresse également aux stratégies servant à la planification, au développement, à la mise en oeuvre et au suivi de la gestion des risques.

Les pratiques de gestion des risques ne sont pas toutes des ' pratiques exemplaires '. Une ' pratique exemplaire ' de la gestion des risques est une stratégie, une approche, une méthode, un outil ou une technique qui s'est avéré particulièrement efficace pour aider une organisation à atteindre ses objectifs de gestion des risques. Une pratique exemplaire en est également une qu'on prévoit avoir de la valeur pour d'autres organisations. Par exemple, une pratique qui a été particulièrement utile pour établir un encadrement aurait de la valeur pour toute autre organisation qui a pour responsabilité d'offrir un encadrement.

Nous recueillons présentement des renseignements sur les pratiques exemplaires dans trois domaines :

• l'intégration de la gestion des risques aux autres pratiques de gestion,
• les outils qui permettent l'intégration de la gestion des risques,
• les principales disciplines et fonctions qui utilisent la gestion des risques.

Nous ne nous attendons pas à ce que votre organisation ait des pratiques exemplaires dans tous les domaines décrits ci-dessus et développés dans la section B. Il peut exister de nombreuses autres ' bonnes pratiques '. Mais nous aimerions nous concentrer sur les ' pratiques exemplaires ' de votre organisation. Nous sommes également à la recherche des ' leçons apprises ' de pratiques qui se sont avérées plus difficiles que d'abord prévues au départ. Nous vous poserons quelques questions touchant la façon générale d'aborder la gestion des risques dans votre organisation, pour pouvoir être en mesure de comprendre le contexte qui entoure ces pratiques exemplaires.

Les renseignements que vous nous fournirez concernant vos opérations resteront confidentiels. Notre rapport porte d'abord sur les pratiques, et non pas sur les organisations. Nous aimerions obtenir votre permission de mentionner le nom de votre organisation comme participant à cette étude. Même si vous préférez garder l'anonymat, nous apprécions votre participation à cette étude.

B. Les pratiques exemplaires possibles

Nous avons dressé ci-dessous une liste de certaines pratiques dans chacun des domaines qui serait d'un intérêt commun. Il peut exister d'autres pratiques que nous n'avons pas relevées et qui pourraient aider votre organisation à faire la gestion des risques ou à atteindre ses objectifs. Même si la pratique ne semble pas s'insérer dans la structure définie ci-dessous, vous nous obligeriez à nous en faire part quand même. En fin de compte, une pratique exemplaire est une pratique qui peut avoir quelque valeur pour une autre organisation dans la gestion des risques.

1. L'intégration de la gestion des risquesaux pratiques de gestion

Il s'agit de pratiques d'intégration de la gestion des risques aux pratiques de gestion de votre organisation. Par exemple, il s'agirait notamment de pratiques visant à s'assurer :

• que les objectifs et les avantages de la gestion des risques soient définis et communiqués à l'ensemble de l'organisation;
• qu'il y ait partage des responsabilités en matière de gestion des risques et stimulation de l'engagement, à chacun des niveaux d'administration de l'organisation et au niveau de son organe de régie;
• que les risques de l'ensemble de l'organisation soient déterminés et évalués pour soutenir les processus de gestion (planification, allocation des ressources et prise de décisions);
• que la gestion des risques soit réalisée au moyen d'une série de stratégies couvrant la gamme suivante :
• dans le cas des risques qui peuvent être directement contrôlés, diminution des risques au moyen d'un système interne de contrôle (et de l'amélioration continue de ce système de contrôle);
• dans le cas des risques auxquels on ne peut s'attaquer que de façon indirecte, en influençant indirectement les risques, par le partage ou le partenariat;
• dans le cas des risques qui échappent au contrôle ou à l'influence, en les assumant et en les tenant sous surveillance.
• que la gestion des risques fasse l'objet d'un suivi et qu'il existe une communication et des rapports adressés à la haute direction, aux organes de régie et aux principaux intéressés.

L'annexe A présente davantage de détails sur ces pratiques.

2. Les outils d'intégration de la gestion des risques à l'organisation

Les outils sont généralement utilisés pour intégrer la gestion des risques à une organisation.

Voici quelques exemples d'outils qui pourraient être d'intérêt commun :

• La conceptualisation et la définition des sources des principaux risques d'affaires de l'organisation. Elle sert d'outil de communication et d'établissement des rapports pour l'organisation. Cet outil mène à une compréhension commune du contexte de risques d'une organisation, ce qui encourage ensuite une analyse et une communication uniformes et cohérentes des risques.
• L'établissement d'une politique de gestion des risques (ou un outil de communication de nature analogue) pour définir l'approche d'ensemble de l'organisation vis-à-vis la gestion des risques, les responsabilités, les structures hiérarchiques et les examens périodiques.
• L'identification d'un ' Champion du risque ' qui peut faire preuve de leadership envers les initiatives de gestion des risques.
• L'utilisation de groupes de travail, de projets pilotes et de conseillers.
• La publication de lignes directrices, la mise sur pied de programmes de formation et perfectionnement de moniteurs pour aider les employés et les équipes de travail locales à faire la gestion de leurs risques.
• La création de votre propre norme ou l'utilisation d'une norme existante, comme celle du Conseil canadien des normes (CSC) Q850/97 Risk Management: Guideline for Decision-Makers.
• L'utilisation d'outils automatisés (logiciel) qui peuvent aider à faire l'analyse des risques.
• La définition des paramètres d'entreprise concernant les concepts de risques, comme la probabilité et la gravité.

3. Les disciplines et les fonctions qui font la gestion des risques

Il existe de nombreuses disciplines et fonctions spécialisées qui font la gestion des risques à un niveau opérationnel. Les pratiques utilisées pour intégrer la gestion des risques à ces disciplines et fonctions spécialisées (et, par là, à l'ensemble de l'organisation) sont d'intérêt commun.

Voici quelques exemples de ces disciplines et fonctions :

• Planification
• Vérification
• Gestion de projets
• Finances
• Sécurité
• Assurance et gestion des actifs
• Protection de l'environnement
• Gestion des déchets dangereux
• Gestion du matériel
• Gestion immobilière
• Technologie de l'information
• Conseiller juridique
• Ressources humaines
• Intangibles (par ex., achalandage)
• Surveillance de la conformité et contrôles d'application
• Prestation de services

L'étude s'intéresse au processus de gestion qui sert à mettre sur pied et à implanter une gestion spécialisée des risques au sein d'une fonction donnée, mais pas aux détails de la pratique spécialisée telle qu'elle se pratique.

C. Guide d'entrevues

Voici les questions que nous aimerions discuter avec vous concernant les pratiques exemplaires de votre organisation en matière de gestion des risques.

1. Aperçu général et contexte de la gestion des risques

1. Quelle définition votre organisation donne-t-elle du risque dans le contexte de son environnement d'affaires?
2. Votre organisation a-t-elle un objectif général de gestion des risques qui guide les activités de gestion des risques de la direction?
3. Les objectifs et les valeurs associés à la gestion des risques représentent-ils une nouvelle façon de faire dans votre organisation?
4. Quels sont les avantages de la gestion des risques pour votre organisation? (Pensez aux éléments suivants : la communication pour obtenir des engagements, l'amélioration de la valeur pour les parties prenantes ou l'atteinte des objectifs, la mesure de l'amélioration de la gestion, le soutien accordé à la responsabilisation et à la régie, le renforcement du processus de planification et de prise de décisions (comme la communication ou la synergie), l'amélioration de la confiance des parties prenantes, les rendements mesurables sur les investissements).

2. L'intégration de la gestion des risques au sein des pratiques de gestion de votre organisation

Y a-t-il certaines pratiques exemplaires ou des leçons tirées (des obstacles renversés) dont vous aimeriez nous faire part, en gardant à l'esprit les éléments que nous avons définis dans la section B1 ci-dessus, et dans les composantes de la gestion des risques (voir p. 67), ou toute autre pratique d'intégration.

1. Pouvez-vous décrire, à grands traits, la façon dont votre organisation définit les objectifs et les valeurs qui se rattachent à la gestion des risques, et comment elle les communique dans l'organisation?
2. Votre organisation possède-t-elle une politique formelle de gestion des risques?
3. Quels sont les grands traits ou les messages principaux véhiculés par celle-ci? (Pensez aux éléments suivants :
   • les objectifs/principes,
   • les opportunités et la prise de risques,
   • la couverture des risques,
   • la tolérance face au risque et les limites du risque,
   • l'existence d'un milieu de travail favorable (c'est-à-dire, tolérance des erreurs),
   • l'intégration de la gestion des risques aux autres processus de gestion.
4. De quelle façon les tolérances au risque sont-elles établies et gérées (c'est-à-dire, au niveau d'ensemble de l'organisation ou au niveau local)?
5. Pouvez-vous décrire en termes généraux la façon dont votre organisation reflète un partage des responsabilités de gestion des risques et favorise l'implication de la régie et les organes administratifs de votre organisation?
6. Quelles sont les responsabilités des organes de régie de votre organisation (par ex., le conseil d'administration, les comités de la haute direction, les ministres, etc.) et de la haute direction en matière de gestion des risques? Sont-ils tenus responsables? Dans l'affirmative, comment?
7. Comment la responsabilité en matière de gestion des risques se répand-elle à travers l'organisation (par ex., à travers les niveaux de la gestion et de l'administration, à tous les employés)? De quelle façon les personnes sont-elles tenues responsables?
8. Les risques importants sont-ils communiqués aux parties prenantes? Dans ce cas, à quelle cadence, et dans quel contexte? Qui est chargé de ces communications avec les parties prenantes?
9. a) Pouvez-vous décrire, en termes généraux, de quelle façon votre organisation identifie et évalue les risques qui touchent l'ensemble de l'organisation?
   b) Une fois les risques identifiés, comment cette information sert-elle de support au processus de gestion (planification, allocation de ressources et prise de décision)?
10. Quelles techniques et méthodes sont utilisées pour identifier et évaluer les risques? (Pensez aux éléments suivants :
    • les genres de risques,
    • la façon dont ils sont cernés,
    • la façon dont ils sont quantifiés,
    • la façon dont ils sont classés par priorités).
11. Les techniques et les méthodes sont-elles faciles à comprendre et à utiliser par les gestionnaires? (Pensez à : l'utilisation du langage ordinaire et à la convivialité).
12. Les résultats de l'évaluation sont-ils intégrés aux processus de gestion en place (par ex., planification, allocation des ressources et prise de décisions)? De quelle façon?
13. L'évaluation tient-elle compte du point de vue des parties prenantes quant au risque et aux coûts d'opportunité d'un risque qu'on n'a pas pris?
14. Dans quelle mesure la gestion des risques a-t-elle soutenu le changement et les virages culturels survenus dans votre organisation?
15. Pouvez-vous décrire, dans les grandes lignes, de quelle façon votre organisation gère ou réduit les risques au moyen d'un système interne de contrôle et d'autres stratégies?
16. Vos stratégies ou processus de gestion du risque ont-ils changé? De quelle façon?
17. Les parties prenantes, les clients, fournisseurs ou autres organismes externes font-ils partie de votre processus de gestion des risques? Comment?
18. Pouvez-vous décrire, dans les grandes lignes, de quelle façon votre organisation exerce une surveillance sur le processus de gestion des risques et de quelle façon elle communique et fait rapport, à ce sujet, à la haute direction, à l'organisme de régie et aux principales parties prenantes?
19. Le succès obtenu dans l'atteinte des objectifs de gestion des risques fait-il l'objet d'un suivi et est-il mesuré?
20. Votre organisation se sert-elle d'une structure ou d'un support particuliers pour faire ses rapports sur la gestion des risques?
21. Quel est le rôle de la vérification interne dans votre programme de gestion des risques? (Pensez aux éléments suivants : surveillance de la conformité, conformité et offre d'amélioration ou de conseils de pratiques exemplaires, pratiques exemplaires, méthodes, etc.)

3. L'implantation de la gestion des risques dans votre organisation

Y a-t-il certaines pratiques exemplaires ou des leçons tirées (des obstacles renversés) dont vous aimeriez nous faire part, en gardant à l'esprit les pratiques dont nous avons dressé une liste dans la section B2 ci-dessus, et dans les composantes de la gestion des risques (v. p. 67), ou toute autre pratique d'implantation? Avez-vous des exemples d'outils qu'on ne devrait pas utiliser?

1. Pouvez-vous décrire, dans les grandes lignes, de quelle façon votre organisation implante la gestion des risques? (Reportez-vous aux outils décrits à la Section B).
2. Y a-t-il certains outils qui ont été particulièrement efficaces? Pourquoi?

4. Les disciplines et fonctions de la gestion des risques

1. Existe-t-il des disciplines et des fonctions qui, au sein de votre organisation, font la gestion des risques à un niveau opérationnel? Quelles sont-elles?
2. Y a-t-il des pratiques exemplaires et les leçons tirées (les obstacles renversés) associés au processus de gestion qui ont servi à établir et à implanter la gestion des risques dans ces disciplines et fonctions?

Existe-t-il des documents que vous pourriez nous remettre pour nous aider à comprendre vos pratiques de gestion des risques?

Pouvons-nous vous rappeler si nous avons besoin d'éclaircissements ou de détails sur vos réponses?

Y a-t-il des articles ou des publications que vous avez trouvés particulièrement utiles dans vos activités de gestion des risques? (Liste)

Les composantes de la gestion des risques

---

Les composantes de la gestion des risques

La présente apporte des précisions sur les pratiques d'intégration de la gestion des risques aux pratiques de gestion d'une organisation.

Ces pratiques devraient faire en sorte que :

• les objectifs et les avantages de la gestion des risques soient définis et communiqués dans l'ensemble de l'organisation :
•  
  • la tolérance au risque et ses limites
  • l'opportunité et la prise de risques,
  • la couverture du risque,
  • l'intégration aux processus de gestion.

• Qu'il existe un partage des responsabilités de gestion des risques et de stimulation de l'engagement à chaque niveau administratif de l'organisation et au niveau de son organisme de régie :
•  
  • le rôle et les responsabilités,
  • la régie,
  • l'engagement.

• Que les risques qui s'étendent à l'ensemble de l'organisation soient identifiés et évalués de façon à servir de soutien aux processus de gestion (planification, allocation des ressources et prise de décision) :
•  
  • la portée : genres de risques,
  • l'identification des risques,
  • l'évaluation de la probabilité de fréquence et d'impact,
  • la quantification et le classement par priorités.
• Que le système interne de contrôle et son amélioration continue serve à atténuer ou à gérer les risques :
•  
  • le cadre de contrôle (ex., CoCo, COSO, etc.),
  • les stratégies visant à mitiger directement les risques tout en poursuivant les opportunités qui se présentent,
  • les stratégies visant à influencer indirectement ou à partager les risques par des partenariats, de l'assurance, etc.,
  • les décisions d'accepter les risques échappant au contrôle ou à l'influence, et de simplement améliorer la surveillance et la fréquence des rapports, tout en mettant en place des plans d'urgence,
  • la réévaluation continue des risques résiduels, ajoutée à la mise à jour continue des stratégies.

• Que la gestion des risques fasse l'objet d'une surveillance et qu'il y ait communication et rapports destinés à la haute direction, à l'organe de régie et aux principales parties prenantes :
•  
  • la qualité de l'information,
  • la communication,
  • la vérification interne et externe,
  • les rapports : à la haute direction, à l'organe de régie, aux parties prenantes externes.

---

Annexe D

Critères d'évaluation de l'applicabilité des pratiques exemplaires au gouvernement fédéral canadien

---

• Susceptible de s'appliquer largement, au-delà de la protection des biens et des personnes
• Stimule un milieu de travail favorable
• Appuie l'innovation
• Améliore la prestation du service; p. ex., l'efficacité, l'efficience
• Améliore l'accès au gouvernement et à ses services
• Facilite la prise de décisions de la direction
• Fait la promotion d'une saine allocation des ressources
• Facile à comprendre et à utiliser (langage ordinaire, convivial pour l'utilisateur)
• Aide les gestionnaires à comprendre le contexte et les implications des risques
• Montre la communication avec les intéressés et leur participation
• Facilite les virages culturels et la gestion du changement
• S'appuie sur les connaissances existantes et les leçons tirées dans l'organisation
• Tient compte des coûts d'opportunité
• Possède un cadre de responsabilité et de régie clair et facile d'application
• Fait une utilisation efficace des ressources de vérification et d'évaluation
• établit des liens horizontaux dans l'organisation
• S'intègre bien au cadre de gestion, aux processus et aux pratiques déjà en place.