Guide de gestion intégrée du risque

Approche recommandée pour la préparation d'un profil de risque organisationnel

Table des matières

Introduction

1.1 À propos du guide

Objectif

Le Guide vise à renforcer les pratiques de gestion intégrée du risque du secteur public fédéral canadien en fournissant aux organisations des orientations pour la conception, la mise en œuvre, l'exécution et l'amélioration continue de la gestion intégrée du risque afin d'établir une approche de gestion éclairée par l'analyse des risques à l'échelle des organisations permettant au final un rendement accru.

Le Guide se veut un document d'accompagnement du Cadre stratégique de gestion du risque fondé sur des principes établis préparé par le Secrétariat du Conseil du Trésor (2010). Il se fonde sur les principes du Cadre et offre des conseils et des considérations pratiques en vue d'appliquer ces principes aux stratégies organisationnelles de gestion intégrée du risque. Il offre de plus de l'information sur les liens à établir avec des ressources génériques de gestion du risque, c'est-à-dire des processus, des pratiques, des outils et des modèles pouvant être adaptés aux circonstances particulières des organisations fédérales en fonction de leur taille, de leur mandat, de leur structure et de leur secteur d'activités.

Comment utiliser ce guide

La première partie du Guide (section 1) présente l'objet de l'instrument ainsi que les avancées des dernières années dans le domaine de la gestion du risque de même que les catalyseurs du renouvellement et du renforcement de la gestion du risque au sein du gouvernement fédéral. La section 2 présente un aperçu du Cadre stratégique de gestion du risque du Secrétariat du Conseil du Trésor (SCT), dont les grands concepts qui sous-tendent le Cadre et le Guide ainsi que les principes, les rôles et les responsabilités décrits dans le Cadre. La section 3 fournit de l'information générale sur l'établissement de pratiques de gestion du risque au sein d'une organisation, et les sections 4 à 7 présentent des orientations pratiques pour la conception, la mise en œuvre, l'exécution et l'amélioration continue de la gestion intégrée du risque afin d'établir une approche de gestion du risque et le processus correspondants au sein d'une organisation.

Selon son stade d'avancement de la mise en œuvre de la gestion intégrée du risque (premières tentatives ou pleine intégration aux processus de gestion), chaque organisation s'intéressera aux sections du Guide portant sur les aspects lui permettant de mettre en place une démarche de plus en cohérente et uniforme de prise de décisions axée sur l'analyse des risques, et ainsi parvenir à un rendement accru.

Portée

Le Guide a été développé au moyen d'une démarche interministérielle marquée par la collaboration et le développement de la collectivité et dirigée par le Centre d'excellence en gestion du risque du SCT. Il vise à offrir à l'ensemble des fonctionnaires fédéraux une source d'information sur la gestion du risque dans les ministères et les organismes fédéraux. À ceux et celles qui travaillent dans le domaine de la gestion du risque (les spécialistes de la gestion du risque, la collectivité de la vérification, la collectivité de la planification et de la surveillance, etc.), le Guide offre des directives pratiques pour exercer leurs responsabilités. Le Guide met à jour certains éléments du Cadre de gestion intégrée du risque (2001) et du Guide de mise en œuvre de la gestion intégrée du risque (2004), qui ont été remplacés par le Cadre stratégique de gestion du risque (2010) et le présent Guide, respectivement. Le Guide est aussi basé sur les avancées nationales et internationales dans le domaine de la gestion du risque ainsi que sur les progrès de l'approche en place au gouvernement du Canada.

De manière générale, le Guide vise à aider les organisations à améliorer globalement leurs pratiques de gestion du risque. Alors que le Guide fournit aux organisations de l'information détaillée relativement aux différents éléments dont il faut tenir compte dans la conception, la mise en œuvre, l'exécution et l'amélioration de la gestion intégrée du risque, il ne fournit cependant pas d'exigences précises en ce qui concerne les pratiques de la gestion du risque puisque l'approche et le processus qui seront établis seront adaptés aux exigences particulières de chacune des organisations en fonction notamment de son mandat, de ses priorités, de son exposition au risque, de sa culture de risque, de sa capacité de gestion du risque et des intérêts de leurs partenaires et des parties intéressées.

Il faut aussi préciser qu'étant donné que le Guide offre des orientations générales relativement à la conception et à la mise en œuvre d'une approche de gestion intégrée du risque, il ne vise pas à fournir des détails précis des éléments visés par l'évaluation du rendement en matière de gestion intégrée du risque des ministères et organismes réalisée au titre du Cadre de responsabilisation de gestion (CRG).

1.2 Contexte

Avancées de la gestion du risque

La gestion du risque est un élément fondamental d'une saine gestion publique. Dans un environnement particulièrement dynamique et complexe, les organisations doivent être en mesure de reconnaître et de comprendre les nouveaux défis et de nouvelles possibilités, de s'y adapter et d'en tirer profit. La gestion efficace du risque contribue à améliorer la prise de décision et l'affectation des ressources, en plus d'offrir en bout de chaîne des résultats optimaux à la population canadienne.

On a établi depuis plus d'une décennie que la gestion du risque est un élément clé de la gestion moderne au sein de l'administration fédérale canadienne. Afin de donner suite à la vision et aux engagements énoncés dans le Rapport du Groupe de travail indépendant chargé de la modernisation de la fonction de contrôleur dans l'administration fédérale du Canada (1997) et du rapport Des résultats pour les Canadiens et les Canadiennes: Un cadre de gestion pour le gouvernement du Canada (2000), le SCT a établi un Cadre de gestion intégrée du risque (2001) et son Guide de mise en œuvre de la gestion intégrée du risque (2004)). Le Cadre de 2001 et le Guide de 2004 avaient été conçus en vue d'aider les organisations fédérales canadiennes à mettre en place des pratiques élémentaires de gestion du risque.

Après la publication de ces documents, beaucoup d'organisations fédérales ont mis en place des fonctions de gestion intégrée du risque. De plus, la plupart des organisations ont mis en œuvre des outils et des mécanismes destinés à relever et à consigner systématiquement de l'information sur les principaux risques de leur organisation ainsi que les stratégies de réaction correspondantes au moyen d'un profil organisationnel de risques ou d'un instrument équivalent.

La gestion du risque au sein de l'administration fédérale a aussi évolué du point de vue de la surveillance et de la fonction des organismes centraux. En 2003, le SCT a mis en place le CRG, un outil lui permettant d'évaluer le rendement de certaines organisations de l'administration fédérale. L'efficacité de la gestion intégrée du risque reste l'un des principaux domaines évalués par le CRG.

De plus, l'initiative sur le labyrinthe de règles de gouvernement fédéral intègre les principes de la gestion du risque de manière à simplifier les instruments de surveillance afin de mettre l'accent sur les règles pertinentes, la production de rapports et les processus administratifs et d'accroître la capacité du gouvernement de rehausser la valeur, d'une part, et de relever les grands défis, de maintenir la responsabilisation, d'encourager la prise de décisions fondée sur l'analyse des risques et de faciliter un rendement accru, d'autre part.

La capacité et le soutien en matière de gestion du risque ont aussi été rehaussés dans l'ensemble du gouvernement par la formation des comités de vérification des ministères et organismes (CVMO), aux termes de la Politique sur la vérification interne (2009), par l'établissement du Centre d'expertise sur les subventions et contributions et d'un Centre de compétences en réglementation (CCR) au SCT en 2007, et du rétablissement en août 2008 d'un Centre d'excellence en gestion du risque du SCT, le carrefour du soutien des efforts en matière de gestion du risque pour les organisations de l'administration fédérale.

En dehors du secteur public canadien, les normes en matière de gestion du risque ont évolué au niveau national (Association canadienne de normalisation (ACN)) et au niveau international (Organisation internationale de normalisation (ISO)).

De manière générale, la gestion des risques a évolué considérablement au cours des dernières années et a parmi de faire beaucoup progresser les pratiques, les processus et la culture s'y rapportant dans tout le gouvernement fédéral.

Renouvellement de la gestion du risque au sein du gouvernement du Canada

Dans le contexte des avancées décrites précédemment, deux rapports publiés au début de 2009 ont recommandé le renouvellement et le renforcement de l'approche de la gestion du risque au sein du gouvernement fédéral. Le Troisième rapport du Comité consultatif du Premier ministre sur la fonction publique (2009) nommé par le premier ministre mettait en lumière la nécessité de renouveler le mode de gestion du risque du gouvernement fédéral et de renforcer sa capacité de gestion du risque par l'adoption d'une approche pangouvernementale fondée sur des principes. Par ailleurs, le Seizième rapport annuel au Premier ministre sur la fonction publique du Canada du greffier du Conseil privé (2009) énonçait que l'administration publique devrait adopter une approche pangouvernementale fondée sur des principes pour la gestion du risque en appliquant les règles et les procédures pertinentes. Le Quatrième rapport du Comité consultatif sur la fonction publique nommé par le Premier ministre (2010) prenait acte des progrès réalisés jusque-là en vue de l'établissement d'une approche de la gestion du risque fondée sur des principes et relevait que la mise en place d'une culture de l'innovation fondée sur une gestion bien réfléchie des risques est essentielle afin de garantir l'émergence d'une fonction publique de haut calibre, à la fois responsable, capable de s'adapter et axée sur les résultats.

La recommandation visant l'adoption d'une approche de gestion du risque axée sur des principes a été mise en œuvre en 2010 par l'entremise du Cadre stratégique de gestion du risque du SCT. Le Cadre faisait partie de l'exercice de Renouvellement des politiques du SCT, un processus visant à faire en sorte que l'instrument destiné à encadre un domaine de la gestion est adapté au niveau de risque qui s'y rattache. Ainsi, beaucoup de politiques du SCT ont été renouvelés en fonction d'une approche fondée sur des principes.

Par ailleurs, le gouvernement fédéral a déployé une approche de gestion du risque axée sur des principes pour la mise en œuvre du Budget en ce qui a trait au Plan d'action économique en 2009 et 2010 dans le cadre duquel un mécanisme rationalisé de surveillance a été mis en place pour les propositions qui démontraient de faibles risques. De plus, depuis 2009, une démarche fondée sur l'analyse des risques a été mise en œuvre pour tous les domaines de gestion visés par le processus annuel du CRG.

Ces exemples de mécanismes de gestion éclairés par l'analyse des risques au sein de l'administration fédérale ont remis en évidence l'importance pour les ministères et les organismes de continuellement développer leur capacité de gérer efficacement le risque. Le Guide vise à aider les ministères et organismes dans ce domaine.

2 Présentation du Cadre stratégique de gestion du risque

2.1 Concepts clés

Les grands principes de la gestion du risque qui sous-tendent le Cadre stratégique de gestion du risque du SCT et le présent Guide sont présentés ci-après.

Le risque

Le risque est inévitable et il est présent dans presque toutes les situations de la vie. Les organisations des secteurs public et privé y sont confrontées chaque jour. Le mot risque inspire généralement la notion de perte, de blessures ou de danger. Cependant, la définition moderne généralement acceptée du risque est « l'effet de l'incertitude sur les objectifs ». Le Cadre stratégique de gestion du risque du SCT et le présent Guide sont explicitement basés sur cette définition neutre du risque et reconnaissent que les risques impliquent des menaces et des occasions.

D'un point de vue technique, le risque exprime la probabilité et les répercussions d'un événement susceptible de nuire à l'atteinte des objectifs de l'organisation. Les termes « la probabilité et les répercussions d'un événement » laissent entendre qu'il faut faire, à tout le moins, une analyse quantitative et qualitative pour évaluer les risques. Pour chaque risque considéré, il faut évaluer deux choses : la probabilité ou l'éventualité que l'événement survienne et l'ampleur de ses répercussions ou de ses conséquences s'il survient. Il faut rappeler qu'étant donné que le risque se rapporte à l'effet de l'incertitude, et donc à une perspective d'avenir, les risques se distinguent des enjeux, des problèmes ou des conditions existants, pour lesquels la probabilité qu'ils surviennent ne serait pas en cause.

Le niveau de risque observé avant de prendre en compte les mécanismes existants et les réactions au risque constitue le niveau de risque « inhérent ». Le risque qui subsiste lorsque sont appliqués les mécanismes de contrôle et les réactions constitue le niveau de risque « résiduel ».

Gestion du risque

La gestion du risque est une démarche systématique visant à établir la meilleure façon de procéder dans des circonstances incertaines par la détermination, l'évaluation, la compréhension, le règlement et la communication des questions liées aux risques. Elle fait partie intégrante des mécanismes d'une saine gestion. Il ne s'agit pas nécessairement d'éviter le risque en cas de menaces éventuelles. La gestion du risque permet plutôt aux organisations de prendre des décisions éclairées, grâce à une compréhension de leurs risques, et en fin de compte, de réagir de manière préventive au changement en atténuant les menaces et en tirant profit des possibilités que l'incertitude présente pour les objectifs d'une organisation.

La saine gestion des risques permet au gouvernement d'être plus efficace, davantage concentré sur les résultats et plus performant. De plus, une capacité manifeste et accrue d'évaluer, de communiquer et de réagir aux risques suscite la confiance à la fois au sein du gouvernement et auprès du public.

Gestion intégrée du risque

La gestion du risque ne peut être efficace si elle est cloisonnée. Ainsi, la gestion intégrée du risque favorise une démarche systématique, continue et proactive visant à comprendre, à gérer et à communiquer les risques du point de vue de l'ensemble de l'organisation d'une manière cohérente et structurée. Elle favorise la prise de décisions stratégiques qui contribuent à l'atteinte des objectifs globaux de l'organisation. La gestion intégrée du risque exige une évaluation continue des risques auxquels une organisation peut faire face à tous les niveaux, le regroupement des résultats à l'échelle de l'organisation et une communication, une surveillance et un examen adéquats. Les résultats regroupés servent alors à donner fond aux décisions et aux pratiques de l'organisation.

Approche éclairée par l'analyse des risquesh

Afin de favoriser une culture organisationnelle éclairée par l'analyse des risques et de réaliser pleinement des améliorations du rendement au sein des organisations fédérales, la gestion préventive du risque doit viser toutes les pratiques opérationnelles. La démarche de prise en compte du risque en matière de gestion intègre la gestion du risque aux structures de gouvernance et aux structures organisationnelles existantes, y compris à la planification des activités, à la prise de décisions et aux processus opérationnels. Elle fait également en sorte que le milieu de travail ait la capacité et les outils nécessaires pour innover tout en protégeant l'intérêt public et en préservant la confiance de la population.

Culture de risque

La culture de risque se rapporte aux attitudes et aux comportements associés à la gestion du risque au sein d'une organisation, notamment si la gestion du risque est considérée au sein de l'organisation comme une partie intégrante du processus de prise de décision, ou s'il s'agit seulement d'une obligation de rendre des comptes, si l'organisation est réfractaire au risque ou si les risques portent aussi des possibilités, si la gestion du risque est intégrée à tous les niveaux de l'organisation ou s'il s'agit uniquement d'un processus descendant.

Tolérance au risque

La tolérance au risque désigne la volonté d'une organisation d'accepter ou de rejeter un niveau donné de risque résiduel. La tolérance au risque peut varier au sein d'une organisation, en fonction de l'environnement opérationnel, des parties intéressées, etc., mais elle doit être bien comprise par les personnes qui prennent des décisions relatives aux risques dans un dossier en particulier. Il faut que la tolérance au risque soit claire à tous les niveaux de l'organisation afin de favoriser une prise de décisions éclairée par l'analyse des risques et le recours à des approches tenant compte du risque.

2.2 Le Cadre stratégique de gestion du risque

Comme on l'a énoncé à la section 1.2, c'est en réponse à d'importants appels au renouvellement de l'approche gouvernementale de gestion du risque que le SCT a élaboré le Cadre stratégique de gestion du risque (2010), qui offre aux administrateurs généraux des principes pour intégrer à la gestion du risque comme élément essentiel des activités de tous les secteurs et de tous les niveaux. Le Cadre est un élément central de l'ensemble des politiques renouvelées du Conseil du Trésor, de pair avec le Cadre principal des politiques du Conseil du Trésor et le Cadre stratégique sur la gestion de la conformité. Le Cadre stratégique de gestion du risque complète le modèle conceptuel du renouvellement des politiques énoncé dans le Cadre principal et s'ajoute aux considérations pour la gestion de la conformité figurant dans le Cadre stratégique sur la gestion de la conformité. Les trois cadres fondamentaux facilitent la gestion efficace des organismes fédéraux en encourageant la responsabilisation et la transparence.

Plus précisément, le Cadre stratégique de gestion du risque établit les grands principes de la gestion du risque et clarifie les rôles et les responsabilités des administrateurs généraux et du SCT en ce qui a trait à la gestion du risque. Les principes, les rôles et les responsabilités énoncés dans le Cadre s'appliquent à tous les instruments de politique du CT et en éclairent l'élaboration; certains de ces instruments renferment des exigences relatives à la gestion du risque propres à la politique visée. En plus de servir de base à l'élaboration des politiques du Conseil du Trésor, le Cadre définit aussi les attentes à l'égard des administrateurs généraux et de leurs ministères et organismes quant à leurs rôles dans la mise en place de pratiques efficaces de gestion du risque au sein des organisations fédérales. Le Guide fournit de l'assistance supplémentaire dans ce domaine afin d'aider les organisations fédérales à intégrer ces attentes à leurs activités.

Le Cadre réitère les grands principes et approches de la gestion du risque en place au gouvernement du Canada depuis 2001 et reflète, lorsque pertinent, les normes nationales et internationales de gestion du risque, dont la norme ISO 31000.

Les principes, les rôles et les responsabilités énoncés dans le Cadre sont détaillés aux sections 2.3 et 2.4.

2.3 Principes de gestion du risque

Les principes du Cadre, énoncés ci-après, guident les organisations vers une gestion efficace du risque. La gestion efficace du risque au gouvernement fédéral devrait:

Appuyer la prise des décisions et le respect des priorités à l'échelle du gouvernement, ainsi que la réalisation des objectifs organisationnels et l'obtention des résultats prévus, tout en maintenant la confiance du public.

Ce principe vise à encourager les organisations à mettre en œuvre la gestion du risque d'une manière appuyant le programme global du gouvernement. De façon générale, les pratiques de gestion du risque devraient permettre de relever dans l'ensemble de l'organisation de l'information sur les risques pouvant servir à appuyer la prise de décisions au sein du gouvernement et être assez souples pour évoluer au même rythme que les priorités gouvernementales.

L'approche de gestion du risque adoptée par une organisation devrait aussi appuyer les décisions internes en permettant aux organisations de relever et de gérer les risques particuliers à leurs propres objectifs et résultats attendus. La réalisation des objectifs organisationnels et gouvernementaux au moyen de mécanismes de décisions éclairées par l'analyse des risques peut contribuer à maintenir la confiance du public dans la gestion du secteur public fédéral. Voir aussi la section 5.1 – Mettre en œuvre l'approche et le processus de gestion du risque.
Être adaptée et réagir aux contextes externes et internes de l'organisation, y compris son mandat, ses priorités, sa culture de risques organisationnels, sa capacité de gestion des risques et les intérêts de ses partenaires et intervenants.

Ce principe incite les organisations à mettre en place des mécanismes de gestion du risque adaptés à leur contexte et à leurs besoins particuliers et adaptables aux changements. Il n'existe aucune approche universelle de la gestion du risque, et les organisations doivent tenir compte de leur contexte propre pour définir l'approche adéquate.

L'approche de gestion du risque devrait aussi tenir compte de l'apport des employés et des gestionnaires, de même que de l'apport des partenaires et intéressés externes. Voir aussi les sections 4.1 – Généralités, et 4.2 – Comprendre l'organisation et son contexte.
Ajouter de la valeur en tant qu'élément clé du processus décisionnel, de la planification opérationnelle, de l'attribution des ressources et de la gestion des opérations.
Ce principe engage les organisations à appliquer leurs mécanismes de gestion du risque et l'information qu'ils permettent de rassembler à l'ensemble de leurs pratiques de gestion et à leur processus de prise de décisions. La gestion du risque ne doit pas être une pratique dissociée; elle devrait plutôt être intégrée aux structures et aux processus organisationnels en place. Voir aussi section 5.1 – Mettre en œuvre l'approche et le processus de gestion du risque.
Assurer un équilibre entre le degré d'intervention en réponse aux risques et les contrôles établis et favoriser la souplesse et l'innovation pour améliorer le rendement et les résultats obtenus.
Ce principe appelle les organisations à adopter des stratégies adéquates de réaction aux menaces qui ne sont toutefois pas trop contraignantes et à rester ouvertes aux possibilités. Grâce à cet équilibre, l'approche de gestion du risque peut d'améliorer efficacement le rendement et les résultats d'ensemble. Voir aussi la section 4.6 – Définir le processus de gestion du risque.
Être transparente, inclusive, intégrée et systématique. Ce principe encourage les organisations à adopter une approche de gestion du risque:
- dont l'exécution est transparente, notamment pour ce qui est des résultats des processus de gestion du risque afin qu'ils permettent d'éclairer les décisions àl'échelle de l'organisation;
- inclusive, c'est-à-dire qu'elle inclut tous les intervenants et les décideurs concernés à tous les niveaux de l'organisation dans l'approche globale de gestion du risque et dans les processus d'évaluation des risques;
- intégrée à tous les processus décisionnels et appliquée à l'échelle de l'organisation;
- systématique, c'est-à-dire dont les processus sont explicitement définis et structurés de manière à permettre la cohérence, l'efficacité et la rapidité.
Voir aussi les sections 4.7 – Établir des mécanismes de communication et de production de rapports – et 5.1 – Mettre en œuvre l'approche et le processus de gestion du risque.
Améliorer de façon continue la culture et la capacité en matière de gestion des risques au sein des organisations fédérales.
Ce principe invite les organisations à continuellement contrôler, examiner et améliorer leur approche et leurs processus de gestion du risque afin d'en assurer l'efficacité, l'efficience et la pertinence à l'appui du rendement organisationnel global. Cette démarche permet à l'approche de gestion du risque de se développer au sein de l'organisation. De manière générale, la gestion du risque devrait évoluer de manière à améliorer avec le temps la culture, la capacité et la maîtrise. Voir aussi les sections 5.2 – Fournir l'environnement et l'infrastructure – et 7 – Améliorer sans cesse la gestion intégrée du risque.

Bien qu'il ne s'applique pas directement à la mise en œuvre de la gestion du risque dans chacun des ministères et organismes, le Cadre fournit aussi au SCT des orientations quant aux politiques et aux activités de surveillance connexes du Conseil du Trésor. En plus de respecter les principes décrits précédemment, les politiques du Conseil du Trésor et les activités de surveillance connexes sont orientées par les autres principes suivants:
Les instruments de politiques du CT devraient cibler les risques associés à la réalisation des objectifs du gouvernement fédéral.
Ce principe incite le SCT, en qualité d'organisme central, à élaborer et à renouveler ses politiques afin qu'elles incluent des mécanismes axés sur le risque. Ainsi, les politiques devraient énoncer des attentes favorisant un rendement réduisant au minimum les menaces susceptibles de peser sur les objectifs du gouvernement fédéral et permettant de tirer le maximum des occasions d'amélioration.
Ces instruments devraient être proportionnels à la probabilité que les risques identifiés se concrétisent et aux répercussions qui y sont associées.

Ce principe convie le SCT, en qualité d'organisme centrai, à renouveler ses politiques de manière à ce que leurs dispositions sur la surveillance et la conformité soient suffisamment souples pour refléter l'importance des risques potentiels. Les politiques permettraient ainsi des mesures de contrôles strictes dans les secteurs susceptibles d'impliquer des conséquences graves, alors que des pouvoirs souples pourraient être attribués dans les secteurs où les risques sont moins graves.
Les activités de surveillance devraient être ajustées en fonction de la capacité d'une organisation de gérer les risques, lorsque les circonstances le permettent.

Ce principe engage le SCT, en qualité d'organisme central, à adapter les activités de surveillance aux besoins particuliers des organisations de manière à tenir compte de leurs risques propres et de la capacité qu'elles ont démontrée à gérer ces risques. Ainsi, les ressources et les activités de surveillance devraient être dirigées vers les niveaux de risque élevés.

2.4 Rôles et responsabilités des administrateurs généraux et du SCT

Administrateurs généraux

Les administrateurs généraux sont chargés de gérer les risques auxquels leur organisation est exposée et de mettre en œuvre des pratiques efficaces de gestion du risque, qu'elles soient formelles ou informelles. Cette approche comprend l'établissement de l'approche globale de la gestion du risque et des processus nécessaires. Ils doivent, à cette fin, appliquer les principes qui figurent à la section 2.3.

Un des principaux rôles des administrateurs généraux est de s'assurer que les principes et les pratiques de gestion du risque sont compris et intégrés aux diverses activités de leur organisation. En outre, les administrateurs généraux sont chargés de surveiller les pratiques de gestion du risque de leur organisation, de prendre en considération les risques associés à leurs principaux partenaires à l'intérieur et à l'extérieur de la fonction publique fédérale. Ils doivent aussi faire en sorte que les questions qui influent sur les méthodes de gestion de risques entreprises par l'organisation, qu'il s'agisse de risques relevés lors d'évaluations et d'activités de surveillance interne ou externe, sont examinées et réglées.

Les administrateurs généraux jouent également un rôle important dans la mise en place d'un contexte favorisant l'apprentissage qui favorise le perfectionnement des compétences et des capacités dans le domaine de la gestion du risque au sein de leur organisation. Par leur leadership, ils favorisent l'instauration d'une culture organisationnelle qui soutient une prise de décisions éclairée par l'analyse des risques, facilite le dialogue sur la tolérance au risque, met l'accent sur les résultats, permet de tenir compte des possibilités et favorise l'innovation.

Conseil du Trésor et Secrétariat du Conseil du Trésor du Canada

Le Conseil du Trésor et le Secrétariat du Conseil du Trésor ont aussi un rôle à jouer dans le renforcement de la gestion du risque au sein des ministères et organismes fédéraux. Un élément clé du rôle du Conseil du Trésor, et du SCT, consiste à assurer l'excellence en gestion au gouvernement par l'intermédiaire du leadership, de l'orientation, du suivi, de l'examen et de la surveillance en vertu des pouvoirs que leur confère la Loi sur la gestion des finances publiques.

À cette fin, le Conseil du Trésor et le SCT ont la responsabilité de fournir aux ministères et organismes des orientations, des outils et une expertise pour favoriser la prise en compte du risque dans le cadre de la gestion. De plus, ils jouent aussi un rôle de leadership en communiquant de l'information et en faisant la promotion de pratiques exemplaires relatives à la gestion du risque et l'adoption d'approches éclairées par l'analyse des risques.

Le SCT doit aussi surveiller et évaluer aussi le rendement des ministères et organismes en matière de gestion du risque, entre autres, au moyen du CRG et de l'examen des vérifications internes et externes. Ces évaluations peuvent éclairer les discussions sur la gestion du risque entre le secrétaire du Conseil du Trésor et les administrateurs généraux.

S'il est démontré que les pratiques de gestion du risque d'un ministère ou organisme fédéral sont efficaces, il se pourrait que le CT et le SCT adaptent leur surveillance à la capacité de gestion du risque de l'organisation, lorsque les circonstances le permettent. À l'inverse, une gestion du risque inefficace peut mener à des mesures de contrôle et de surveillance supplémentaires. Au besoin, le SCT peut encourager les administrateurs généraux à prendre les mesures correctives nécessaires pour qu'ils puissent bien exercer leurs responsabilités concernant la surveillance de la gestion du risque dans leur organisation.

3 Présentation de la gestion intégrée du risque

La gestion du risque devrait être un fondement essentiel de la saine gestion et de la prise de décisions à tous les niveaux d'une organisation. La gestion du risque ne s'exerce pas en vase clos, mais doit plutôt être intégrée aux structures et aux processus de prise de décisions existants afin de soutenir la planification, l'établissement des priorités, la gestion des programmes, la production de rapports financiers, les vérifications et les évaluations, la préparation des plans d'activités organisationnels, la planification de la continuité des activités, la réalisation des activités et l'évaluation du rendement, de même que toute fonction essentielle au niveau de l'organisation, des directions et des programmes. L'intégration de la gestion du risque aux structures et aux programmes d'une organisation au moyen d'une démarche uniforme de gestion du risque établit un environnement cohérent de gestion intégrée du risque.

Les organisations qui pratiquent la gestion intégrée du risque rassemblent de l'information pertinente pour la prise de décisions et améliorent ainsi l'atteinte de leurs objectifs. Il est donc essentiel d'associer directement la gestion du risque à l'atteinte des objectifs à tous les niveaux de l'organisation. Si la gestion du risque ne semble pas faciliter la prise de décisions, le processus pourrait être perçu comme une exigence administrative qu'il est possible d'ignorer.

Les étapes de la mise en œuvre de la gestion intégrée du risque peuvent être très différentes d'une organisation à l'autre, tout comme l'approche et le processus qui en découleront. Cependant, à grande échelle, divers éléments peuvent être considérés dans les processus de conception, de mise en œuvre, d'exécution et d'amélioration de la démarche de gestion intégrée du risque de toute organisation. Ces éléments sont présentés dans les sections qui suivent et servent à orienter le processus de renforcement des pratiques de gestion intégrée du risque. Ces éléments sont structurés comme suit:

Pour commencer – Planifier et concevoir l'approche et le processus;
Mettre en place – Mettre en œuvre la gestion intégrée du risque;
S'exécuter – Mettre en pratique la gestion intégrée du risque;
S'améliorer – Améliorer sans cesse la gestion intégrée du risque.

L'approche proposée est axée sur deux principaux volets de la stratégie de gestion intégrée du risque: l'approche de gestion du risque^{Voir la note en bas de page 1}, le cadre global de la gestion du risque au sein d'une organisation, et le processus de gestion du risque, les étapes permettant de gérer le risque de manière cohérente.

Démarche intégrée de gestion du risque

Le succès de la gestion intégrée du risque dépend de l'efficacité de l'approche de gestion du risque, qui établit le cadre général de cette approche ainsi que les outils nécessaires pour concevoir, mettre en œuvre, surveiller, examiner et continuellement améliorer la gestion du risque à tous les niveaux d'une organisation d'une manière cohérente et coordonnée. L'approche de gestion du risque n'est pas un système ou une approche donnés et reflète les besoins particuliers de l'organisation. L'approche de gestion du risque adoptée par une organisation fournit le cadre auquel intégrer le processus de gestion du risque et permettant de gérer efficacement les risques à tous les échelons. C'est ainsi qu'est mis en œuvre un mode de gestion éclairée par l'analyse des risques.

L'approche de gestion du risque permet d'établir un portrait de la gestion du risque pour l'ensemble des politiques, des programmes, de la planification et des processus de vérification et d'évaluation de l'organisation. Selon la taille, les besoins et la complexité d'une organisation, les instruments de gestion du risque peuvent comprendre des politiques, des objectifs, des plans, des relations, des obligations redditionnelles, des ressources, des mécanismes et des activités servant à concevoir, mettre en œuvre, exécuter, surveiller, examiner et continuellement améliorer la gestion du risque dans l'ensemble de l'organisation.

L'approche de gestion du risque définit le contexte des mécanismes de gestion du risque en fournissant le cadre et les ressources nécessaires.

Mécanismes de gestion du risque

Au sens large, le processus de gestion du risque se définit comme une série d'étapes interreliées et interdépendantes qui peuvent être réitérées et vérifiées. Ils offrent une structure permettant de systématiquement relever, évaluer, résoudre, communiquer et surveiller les risques importants dans une structure de gouvernance établie. En plus de faciliter les décisions quotidiennes à l'échelle individuelle, ces mécanismes permettent acquérir une vision stratégique et globale des risques importants à l'échelle organisationnelle nécessitant une attention soutenue de la haute direction de toute organisation.

4 Pour commencer – planifier et concevoir l'approche et le processus

4.1 Généralités

La présente section propose aux ministères et organismes fédéraux des directives pour l'élaboration: 1) d'une approche de gestion du risque qui permettra de développer, de structurer et de renforcer la gestion du risque au sein de leurs organisations en intégrant la gestion du risque à leurs structures et à leurs processus organisationnels, et 2) d'un processus de gestion du risque nécessaire pour intégrer aux activités la gestion du risque à l'échelle de l'organisation.

Si les principes de gestion définis par le Cadre stratégique de gestion du risque du SCT (voir la section 2.3) sont les exigences ou les considérations minimales qui devraient sous-tendre toute démarche de ce type, les ministères et organismes devraient utiliser des éléments du présent guide pour concevoir une approche et un processus de gestion du risque adaptés à leurs besoins. Les éléments ne s'appliqueront pas tous à l'ensemble des méthodes et des processus, et chacun des éléments ne nécessitera pas le même niveau de détail. Ainsi, la structure des méthodes et des processus de gestion du risque sera très différente d'une organisation à l'autre.

De manière générale, l'approche et le processus de gestion du risque ainsi établis devraient être documentés de manière à en faciliter la mise en œuvre (décrit à la section suivante) et fournir les moyens de les communiquer à tous les intervenants de manière à assurer une compréhension commune et claire.

Afin de faciliter l'étape de la conception, les personnes concernées devraient bénéficier de la formation et des autres ressources nécessaires pour faire en sorte qu'elles disposent des compétences et de l'expérience adéquates pour mener à bien leurs responsabilités. Les compétences de base dont devraient être dotées les personnes chargées des activités de conception comptent notamment:

la connaissance du cadre général de gestion de l'organisation, dont les rôles, les responsabilités, les obligations redditionnelles, les structures hiérarchiques et les procédures de recours hiérarchiques;
la compréhension de la gestion du risque et de son application à leur champ de responsabilité;
la capacité d'entamer des discussions au sujet du risque.

Les activités suivantes peuvent intervenir dans le processus utilisé pour concevoir l'approche et le processus de gestion du risque:

acquérir une compréhension de l'organisation et de son contexte afin de relever les facteurs susceptibles d'avoir une incidence importante sur la conception de l'approche et du processus;
formuler un énoncé de politique général sur la gestion du risque propre à l'organisation et approuvé par la haute direction;
définir les responsabilités en matière de gestion du risque au sein de l'organisation;
affecter les ressources nécessaires à la mise en œuvre et au soutien de la gestion du risque au sein de l'organisation;
définir un processus uniforme de gestion du risque comprenant une terminologie commune;
définir des mécanismes de communication et de production de rapports.

Ces activités sont décrites aux sections 4.2 à 4.7.

4.2 Comprendre l'organisation et son contexte

Pour concevoir une approche et un processus de gestion du risque, il est important d'analyser les contextes interne et externe de l'organisation. En définissant son contexte, l'organisation articule ses objectifs et définit les paramètres externes et internes dont il faut tenir compte dans la gestion du risque. Ces facteurs internes et externes peuvent être relevés au moyen d'une analyse qui servira à orienter la conception de l'approche et du processus de gestion du risque.

Dans leur analyse des facteurs internes et externes, les organisations peuvent se pencher sur les éléments suivants:

les résultats de vérifications, d'évaluations, d'examens ou d'autres documents fournissant de l'information au sujet de la gestion du risque de l'organisation, du leadership stratégique, des valeurs et de l'éthique, des données intégrées sur le rendement, de la gérance et de la responsabilisation;
les documents de planification stratégique de l'organisation comme le plan d'entreprise, le rapport ministériel sur le rendement (RMR), le rapport sur les plans et les priorités (RPP), les immobilisations et les plans fonctionnels;
l'apport des parties concernées et intéressées comme le Parlement, les clients, les intéressés du secteur public et les autres;
les principaux facteurs d'analyse externes (sociaux, économiques, etc.).

En plus de tenir compte de l'information recueillie au cours de l'analyse, il est important de bien définir la volonté de l'organisation d'accepter la possibilité que surviennent des événements négatifs et son ouverture aux possibilités dans la poursuite d'un objectif ou d'un résultat commun. La tolérance au risque d'une organisation varie en fonction de sa culture et des conditions changeantes de son environnement interne et externe. Le degré de tolérance à l'égard du risque peut être établi après consultation des parties touchées ou par une évaluation de la réponse ou de la réaction des intervenants à des degrés d'exposition divers au risque. Il peut aussi être opportun de prendre en compte les éléments suivants pour parvenir à comprendre le seuil de tolérance au risque d'une organisation:

la culture du risque de l'organisation;
l'influence possible de la tolérance au risque sur la conception des outils en place (p. ex.: cartes des points chauds, échelles d'évaluation du risque, processus de recours hiérarchiques, etc.);
la réaction de l'organisation à des événements et des situations de risque survenus antérieurement, notamment le type et l'ampleur de la réaction, et la compréhension des employés des risques pris par eux-mêmes, leur équipe ou leur groupe ou l'organisation;
la réaction des parties intéressées à des événements et des situations de risque survenus antérieurement et la compréhension des employés de la tolérance au risque des principaux groupes intéressés ou des consultations avec les intéressés relativement à la tolérance au risque;
le cadre stratégique en place (lois, règlements, politiques, directives et lignes directrices du ministère et du SCT et les niveaux de délégation de pouvoir), étant donné que les instruments de gouvernance énoncent généralement les pratiques et attentes acceptables dans des circonstances données;
d'autres informations sur l'organisation comme le rendement attendu et le rendement réel.

Sous la gouverne de la haute direction, une organisation peut décider d'énoncer sa tolérance au risque du point de vue de l'ensemble de l'organisation ou pour différents types de risques pour ensuite l'appliquer aux risques individuels au cours du processus de gestion du risque et déterminer le type et l'ampleur de la réaction à un risque donné (voir la section 4.6 au sujet de la tolérance au risque dans le processus de gestion du risque). Il est important de noter au départ que la tolérance au risque peut varier d'une organisation à l'autre et au sein même d'une seule organisation et qu'elle peut être influencée par le mandat, les points de vue des intéressés et la culture organisationnelle.

Note: Voir la section 5.2 sur la façon de faire progresser la tolérance au risque au sein d'une organisation.

4.3 Définir et articuler une orientation en matière de gestion intégrée des risques

L'établissement et l'articulation de l'orientation générale d'une organisation en matière de gestion intégrée des risques, dont sa vision, ses objectifs et ses principes opérationnels, sont des éléments essentiels à la dissémination d'une orientation globale et au succès de l'intégration de la fonction de gestion du risque aux mécanismes de gestion de l'organisation. L'articulation claire de la vision, des objectifs et des principes opérationnels favoriseront aussi la création et la promotion d'une culture de gestion du risque habilitante. L'organisation devrait envisager de formuler un énoncé articulant clairement ses objectifs relativement à ses activités de gestion intégrée du risque et démontrer son engagement à mettre en œuvre la gestion intégrée du risque à l'échelle de l'organisme. L'énoncé pourrait prendre la forme d'une politique sur la gestion du risque ou d'un document semblable, mais, pour mettre en valeur l'importance de faire de la gestion du risque une partie intégrante des structures et des processus, il serait plus opportun de l'intégrer aux politiques organisationnelles existantes sur les objectifs et les engagements de l'organisation. En énonçant et en articulant son orientation en matière de gestion intégrée du risque, l'organisation se dote du cadre de premier ordre nécessaire aux activités de conception subséquentes.

Au moment d'énoncer et d'articuler son orientation générale en matière de gestion intégrée du risque, une organisation devrait prendre en considération les éléments suivants:

la raison d'être de la gestion du risque, tant dans le contexte interne que dans le contexte externe;
les liens entre le mandat et les objectifs de l'organisation et les objectifs en matière de gestion du risque;
les obligations redditionnelles et les responsabilités nécessaires à la gestion du risque;
la manière de gérer les intérêts contradictoires;
l'engagement à assurer les ressources adéquates pour les activités de gestion du risque;
l'intégration de la gestion du risque à l'organisation;
les mécanismes de recours hiérarchiques et de production de rapports relativement aux risques;
le mode d'évaluation du rendement de la gestion du risque et les moyens de produire des rapports à ce sujet;
l'engagement à examiner et à mettre à jour au besoin l'approche de gestion du risque, que ce soit en réaction à un événement ou selon un cycle.

La cohérence de la vision et des objectifs en matière de gestion du risque et des objectifs organisationnels et de l'orientation stratégique donne un sens à la gestion du risque pour l'ensemble des employés.

4.4 Responsabilisation

Comme on l'a énoncé à la section 2.4, les administrateurs généraux sont les responsables finaux de la mise en œuvre de la gestion du risque au sein de leur organisation. Cependant, d'autres obligations de rendre des comptes découlant de la structure de gouvernance peuvent permettre d'assurer que les principaux risques ont été adéquatement gérés (relevés, évalués, résolus, communiqués, suivis, atténués et analysés), y compris les mécanismes d'assurance de la qualité. Pour concevoir une approche et des processus de gestion du risque, les rôles, les responsabilités et les réseaux doivent être déterminés aux niveaux opportuns de l'organisation en fonction de sa taille et de sa complexité. Pour déterminer et consigner les obligations redditionnelles adéquates, les organisations devraient tenir compte des aspects suivants:

désigner adéquatement les responsables des risques à qui incombe la responsabilité et l'autorité de gérer les risques;
faire en sorte que les structures de gouvernance de l'organisation permettent les niveaux de responsabilisation et d'autorité nécessaires pour les responsables des risques;
désigner l'entité appropriée pour l'élaboration, la mise en œuvre et le maintien de l'approche de gestion du risque et les processus correspondants;
faire savoir à l'ensemble du personnel que chacun a un rôle à jouer dans l'identification et la gestion des risques;
mettre en place les mécanismes de mesure du rendement ainsi que les processus de rapports et de recours hiérarchiques internes et externes;
mettre en place les niveaux opportuns de reconnaissance, de récompenses, d'approbation et de sanction

4.5 Ressources

Il faut affecter les ressources adéquates (personnes, outils, etc.) à la conception, à la mise en œuvre et au maintien de l'approche et du processus de gestion du risque de même qu'à la réalisation continue des activités de gestion du risque. Il est possible que des investissements initiaux soient nécessaires pour les étapes de la conception et de la mise en œuvre. Les ministères déjà très avancés dans la mise en œuvre de la gestion du risque ont confirmé qu'il faut affecter des ressources à cette fin. Il est possible que des coûts de démarrage (temps, attention, formation, systèmes et communications) soient engagés jusqu'à ce que la pratique devienne une partie intégrante des structures et des processus organisationnels. Il faudra probablement du temps et des efforts pour donner une impulsion à l'initiative, pour former les gestionnaires et les spécialistes et pour mettre en place les bons outils et les bons processus. Les investissements initiaux pourront être réaffectés selon les besoins une fois la mise en œuvre complétée.

L'ampleur des activités de gestion intégrée du risque et la somme des ressources nécessaires ne font l'objet d'aucune norme. Les ministères et organismes doivent définir leurs propres besoins en fonction de leur situation et procéder aux ajustements qui s'imposent. Pour évaluer les ressources nécessaires pour mettre en place et maintenir une approche et un processus de gestion du risque, il est important de déterminer la nature, la pertinence et l'utilité des outils, des techniques, des compétences et du savoir-faire en matière de gestion du risque afin de définir les besoins supplémentaires. Les considérations liées aux ressources pourraient comprendre, sans s'y limiter:

les personnes, les compétences, l'expérience et le savoir-faire nécessaires pour concevoir et mettre en œuvre une approche et un processus de gestion du risque à l'échelle de l'organisation, notamment pour déterminer la meilleure approche, collaborer avec le personnel pour intégrer la gestion du risque aux structures et aux processus, pour former le personnel, pour mettre en place les outils, etc.;
les personnes, les compétences, l'expérience et le savoir-faire nécessaires pour réaliser continuellement des activités de gestion du risque;
les personnes, les compétences, l'expérience et le savoir-faire nécessaires pour maintenir l'approche et le processus ainsi que les procédures correspondantes;
les processus, les méthodes et les outils organisationnels existants (y compris les systèmes et les technologies) pouvant servir à la gestion du risque;
les besoins supplémentaires pour les processus, les méthodes et les outils nécessaires à la gestion du risque;
les programmes de formation nécessaires à l'intention du personnel de l'organisation pour assurer une compréhension et une approche communes de la gestion du risque (langage et terminologie communs);
toute contrainte ayant trait aux ressources susceptibles d'exiger des compromis au cours de l'élaboration et de l'exécution des processus de gestion du risque.

Au fil de la gestion continue des risques, il faut accorder une attention particulière à l'affectation des ressources aux activités de réaction aux risques. Si l'identification et l'analyse des risques sont relativement faciles à intégrer aux activités quotidiennes de prise de décision, il pourrait falloir affecter des ressources aux mesures de réaction aux risques relevés. Les ressources ainsi affectées doivent correspondre à la gravité du risque et tenir compte des compromis associés aux contraintes existantes. Il faut noter que l'affectation des ressources doit être adaptée au niveau de risque à gérer et aux ressources destinées aux risques principaux, pas nécessairement aux risques individuels.

Voir aussi la section 5.2 (Fournir l'environnement et l'infrastructure) sur la détermination des ressources nécessaires.

4.6 Définir le processus de gestion du risque

Il faut un processus de gestion du risque pour mettre en application la gestion intégrée du risque de manière cohérence à l'échelle de l'organisation. Grâce à l'élaboration d'un ensemble de mécanismes coordonnés et intégrés permettant de relever les risques, de les évaluer, d'y réagir, de les communiquer et de les surveiller prenant la forme d'un « processus de gestion du risque » éclairé par une approche de gestion du risque, les organismes fédéraux peuvent mieux comprendre la nature des risques affectant leur mandat et gérer ces risques de manière plus systématique.

Une fois défini, le processus de gestion du risque pourra servir à réaliser des évaluations concrètes des risques (par exemple par la préparation d'un profit de risque organisationnel) et s'intégrer aux structures et processus en place (selon la démarche décrite à la section suivante) afin de favoriser une prise de décisions éclairée par l'analyse des risques.

Le processus de gestion du risque permet de repérer les événements ou les conditions posant des risques puis de les gérer à tous les échelons de l'organisation en fonction des seuils de tolérance établis ou renouvelés (voir la section 4.2 au sujet de la tolérance au risque) et d'acquérir de l'assurance quant à l'atteinte des objectifs et des résultats attendus.

Comme c'est le cas pour l'approche de gestion du risque, le processus de gestion du risque devrait refléter la culture et les procédés organisationnels ainsi que les intérêts de l'ensemble des intervenants d'un ministère ou d'un organisme. Le fait de tenir compte de ces facteurs dans la conception de l'approche globale facilitera l'élaboration et la mise en œuvre du processus de gestion. Cette façon de faire permet de donner le ton aux niveaux supérieurs et d'accroître la mobilisation et le consensus aux niveaux stratégiques et opérationnels.

Le processus de gestion du risque est fondé sur une terminologie commune et permet aux organisations d'adapter leurs activités au niveau des unités fonctionnelles. Le processus doit être suffisamment adaptable pour être mis en œuvre à différents échelons d'un ministère ou d'un organisme et aux programmes, aux sous-activités et aux projets. Le processus devrait aussi permettre d'intégrer la notion « d'occasions », lorsque possible. Bien que le processus permette une certaine adaptation pour des utilisations différentes, un cadre uniforme de gestion du risque à l'échelle d'une organisation permet de regrouper l'information pour traiter des questions liées au risque dans l'ensemble de l'organisation.

Les sections qui suivent décrivent un processus général de gestion du risque et présentent les éléments dont les organisations devraient tenir compte lorsqu'elles définissent ce processus. Les organisations devraient choisir ou développer le processus, y compris et la terminologie, le mieux adapté à son contexte.

Identifier le risque

À l'étape de l'identification, les risques sont relevés puis clairement définis. Cette démarche vise tout risque susceptible d'avoir une incidence marquée sur l'atteinte des objectifs à divers niveaux de l'organisation (organisation, programme, projet, etc.) selon les paramètres du processus d'identification des risques.

Les organisations devraient fournir à leur personnel des orientations claires quant aux attentes relatives à l'identification des risques ainsi que les outils nécessaires à cette démarche. Il existe de nombreux outils et techniques d'identification des risques (ateliers, listes de vérification, etc.) et il est souhaitable d'en offrir une panoplie afin que l'approche la mieux adaptée soit choisie dans un contexte donné. Dans certains cas, les risques peuvent être relevés au moyen d'une approche structurée dans le cadre d'un exercice formel, alors que dans d'autres cas, ils peuvent être repérés de manière continue à l'occasion de réunions régulières. Les taxonomies des risques, ou tout outil semblable (voir le Guide sur les taxonomies des risques du SCT), peuvent contribuer à faire en sorte que les intervenants dans l'identification des risques en ont pris en compte tout un éventail.

Il est opportun que les organisations fournissent des orientations sur les éléments suivants lorsqu'elles définissent les activités d'identification des risques:

qui devrait participer à l'identification des risques;
quel niveau de rigueur faut-il appliquer dans le cadre d'exercices d'identification donnés;
quel type d'information doit-on consigner et quel doit en être le niveau de détail;
de quelle manière les risques relevés doivent-ils être consignés aux fins de l'évaluation..

Évaluer le risque

Les risques sont analysés et ordonnés par priorité lors du processus d'évaluation. L'analyse des risques requiert normalement au minimum l'évaluation de la probabilité que le risque se produise et des répercussions sur les objectifs le cas échéant. La probabilité et l'incidence sont quantifiées selon les critères établis^{Voir la note en bas de page 2}. L'évaluation des risques porte habituellement sur le risque résiduel (c'est-à-dire le niveau de risque subsistant après l'application des contrôles et des réactions déjà en place), mais elle peut aussi porter sur le risque inhérent (c'est-à-dire le niveau de risque préalable à l'application des contrôles et des réactions déjà en place).

L'analyse des risques facilite l'établissement des priorités, exercice visant normalement à ordonner les risques nécessitant une réaction de manière à cibler adéquatement les efforts et les ressources. L'établissement de l'ordre de priorité des risques devrait tenir compte de la tolérance au risque de l'organisation puisque, dans chacun des cas, le seuil de tolérance relèvera l'écart éventuel entre le niveau de risque évalué et le niveau de risque jugé acceptable, de même que l'ampleur de cet écart.

De manière générale, il existe de nombreux outils et techniques d'analyse des risques (ateliers, enquêtes) et de priorisation des risques (cartes des risques). Les organisations devraient concevoir un processus adapté à leur propre contexte opérationnel.

Pour définir les activités d'évaluation de leur processus de gestion du risque, les organisations devraient fournir des directives relativement aux points suivants:

qui devrait y participer à l'évaluation des risques;
quel niveau de rigueur faut-il appliquer dans le cadre d'exercices d'évaluation donnés;
quel type d'information doit-on consigner et quel doit en être le niveau de détail;
comment les risques évalués doivent-ils être documentés aux fins de la préparation de la réaction.

Réactions aux risques

La réaction aux risques est le processus consistant à sélectionner et à mettre en œuvre des mesures de réaction à un risque. De manière générale, on opte pour une stratégie de réaction générale (accepter le risque, surveiller le risque, transférer le risque, éviter la menace, réduire la probabilité ou l'incidence de la menace, augmenter la probabilité ou l'incidence d'une occasion, etc.). Le seuil de tolérance au risque devrait déterminer le type et l'envergure de la réaction.

S'il est déterminé que des mesures s'imposent (c'est-à-dire que le risque n'est pas accepté), un plan définissant les actions précises, les responsabilités et les échéanciers est déployé. La stratégie devrait comprendre toutes les activités complétant la réaction, dont les activités de communication et de rayonnement.

Pour déterminer les activités de réaction déployées dans le cadre du processus de gestion du risque, les organisations devraient fournir des orientations relativement aux points suivant:

la prise en compte du contexte élargi du risque, dont les objectifs fixés et les résultats attendus;
le seuil de tolérance au risque des parties intéressées internes et externes;
les priorités de l'organisation relativement à l'affectation des ressources.

Les limites des ressources constituent souvent un facteur important dans l'élaboration de tout processus, de gestion du risque ou autre. On convient que les contraintes liées aux ressources peuvent limiter la réaction au risque et qu'il est possible de devoir faire des compromis entre les mesures de réaction au risque et les seuils de tolérance au risque.

Communication des risques

La communication des risques fait partie intégrante du processus de prise de décisions et se rapporte à au signalement des risques et à la production de rapports sur les risques^{Voir la note en bas de page 3} aux échelons adéquats et au moment opportun afin de soutenir le processus de décision. La communication s'effectue tout au long du processus de gestion du risque. Il est important que les responsables de la gestion du risque et les personnes susceptibles de subir l'incidence du risque ou associées aux réactions au risque saisissent les critères à l'origine des décisions prises et les justifications motivant les mesures prises. Pour ce faire, il faut communiquer l'information sur le risque à l'intérieur de l'organisation d'une manière utile et efficace au personnel de tous les secteurs d'activités de même qu'à l'extérieur de l'organisation aux clients et aux parties intéressées susceptibles d'intervenir dans les décisions et les actions de l'organisation ou d'en subir les répercussions. Pour parvenir à une communication efficace des risques, il est important, dans la mesure du possible, de fournir à chacun toute l'information nécessaire pour contribuer de manière éclairée au processus de prise de décision.

La communication des risques permet aussi de réutiliser l'information sur le risque dans d'autres processus afin d'éviter d'avoir à réaliser de multiples évaluations des risques dans un même domaine pour diverses activités (pour la planification, la vérification, l'affectation des ressources, etc.).

Comme c'est le cas pour l'identification et l'évaluation du risque, il existe divers outils et techniques pour communiquer l'information sur le risque, c'est pourquoi il serait opportun d'établir un mode unique de communication du risque au sein d'une organisation. Par exemple, les répertoires, les tableaux de bord et les profils de l'organisation, des secteurs ou des divisions peuvent donner la possibilité de communiquer efficacement les risques importants à l'échelle de l'organisation d'une manière régulière, permettant ainsi d'établir des liens entre les risques touchant les secteurs, les programmes, les projets, les processus, les régions et les intervenants.

Afin d'encadrer la définition des activités de communication du risque, les organisations devraient fournir des orientations relativement aux points suivant:

le type d'information à communiquer aux différentes étapes du processus (le type d'information et dont les parties intéressées ou concernées ont besoin ou qu'elles veulent obtenir);
le destinataire des différents types d'information (personnel interne, direction, intervenants externes dont le grand public et le Parlement, etc.);
les moyens utilisés pour communiquer l'information à son destinataire.

Il est à noter qu'au sein du secteur public fédéral, il est prévu que des activités de communication, y compris celles touchant la gestion du risque, sont réalisées en conformité avec la Politique sur les communications et l'image de marque.

Suivi des risques

Le suivi continu des risques est un aspect essentiel du maintien de la pertinence de l'information sur les risques. Le processus nécessite l'examen régulier de l'information en vue de vérifier si est prise en compte l'incidence des circonstances en constante évolution sur les réactions aux risques en place. Le suivi comprend aussi l'examen des mesures de réaction au risque afin de veiller à ce qu'elles soient mises en œuvre efficacement et qu'elles produisent les résultats escomptés.

La surveillance des risques permet aussi de relever d'éventuelles possibilités d'amélioration du processus de gestion du risque (voir la section 7).

Pour contribuer à définir les activités de surveillance du risque dans le cadre du processus de gestion du risque, les organisations devraient fournir des orientations relativement aux points suivants:

qui devrait intervenir dans le suivi des risques;
comment devraient être pris en compte les changements à la nature et au niveau des risques entraînés par l'évolution des circonstances et comment la pertinence continue des réactions aux risques devrait être contrôlée;
de quelle manière les progrès de la mise en œuvre des mesures de réaction aux risques devraient-ils être contrôlés;
comment contrôler l'efficacité des mesures de réaction aux risques en ce qui a trait à la progression vers des niveaux de risque tolérables;
quels sont les indicateurs de suivi et comment peuvent-ils être intégrés à d'autres indicateurs de rendement;
à quelle fréquence l'information sur les risques devrait être revue;
qui est responsable d'apporter des changements ou de prendre des mesures correctrices au besoin.

4.7 Établir des mécanismes de communication et de production de rapports

La communication du risque, telle que décrite à la section 4.6, est un aspect des communications, des consultations et de la production de rapports impliquant les intervenants externes et internes. D'autres mécanismes de communication, de consultation et de production de rapports sont nécessaires pour parvenir à mettre en œuvre et à exécuter la gestion intégrée des risques d'une manière globale. La mise en place des mécanismes nécessaires permet de conserver en permanence des moyens de maintenir informées les parties intéressées des processus, des pratiques et des mesures de réaction du processus de gestion du risque. De plus, cette démarche soutient l'élan nécessaire pour maintenir l'intérêt à l'égard du risque. Pour ce faire, il faut recueillir de l'information pertinente et la mettre en commun avec les personnes concernées, prévoir les inquiétudes et les attentes de la population et y réagir adéquatement, parvenir à comprendre les risques et, finalement, engager des actions (volontaires ou non) et, la réciproque, obtenir des réactions. Dans l'intérêt de l'ouverture et de la transparence, un organisme devrait toujours être en mesure de donner un aperçu de ses principaux risques et des mesures prises pour les gérer aux parties intéressées.

Ainsi, les activités liées à la communication, à la consultation et à la production de rapports se déroulent alors que l'organisation définit son approche et ses processus de manière continue pendant toutes les étapes de sa démarche de gestion du risque lorsqu'elle exerce la gestion intégrée du risque. Le présent guide rassemble des considérations particulières se rapportant à ces activités touchant les différents aspects de la gestion intégrée du risque (p. ex., la communication de l'approche et du processus de gestion du risque aux employés est abordée sous le thème de la mise en œuvre de la gestion intégrée du risque, la communication des risques aux parties intéressées est abordée en lien avec le processus de gestion du risque, etc.). Cependant, afin de faire en sorte que les mécanismes nécessaires sont en place à l'appui de ces activités, il faut préparer des plans de communication, de consultation et de production de rapports dès les premières étapes de la démarche.

Les éléments suivants devraient être pris en considération pour définir ou concevoir l'infrastructure organisationnelle nécessaire pour assurer une communication claire des enjeux, des pratiques et des procédures liés au risque dans l'ensemble de l'organisation:

consultation des parties intéressées internes et externes pour concevoir l'approche et le processus de gestion du risque (section 4.2);
communication de l'engagement et de la vision de la haute direction en matière de gestion du risque dans l'ensemble de l'organisation (section 4.3);
communication des principaux éléments de l'approche de gestion du risque (section 5.1) et communication rapide des modifications (section 7);
communication du processus de gestion du risque (section 4.6) et communication rapide des modifications (section 7);
consultation des parties intéressées internes et externes pendant le processus de gestion du risque (pour identifier les risques, évaluer les risques, définir les stratégies de réaction, etc.) (section 4.6);
production de rapports sur le risque et communication de l'information (risques relevés, stratégies de réaction) découlant de l'exécution des processus de gestion du risque aux échelons adéquats et au moment opportun afin de soutenir le processus de décision (section 4.6);
production de rapports sur l'efficacité et les résultats de l'approche de gestion du risque (section 7);
communication des bonnes pratiques et des leçons tirées et mise au point concertée de ressources sur le risque pour l'amélioration continue des processus (section 7);
utilisation des instruments ministériels (p. ex., RPP et RMR) pour produire des rapports sur les risques;
établissement de liens, autant que possible, avec le Code de valeurs et d'éthique de la fonction publique, la Politique sur les communications et l'image de marque, la politique sur les langues officielles ainsi que les autres principes fondamentaux.

Les organisations devraient d'élaborer une stratégie ou un plan de communication pour compléter leur approche et leur processus de gestion du risque. Pour mettre sur pied leurs mécanismes de communication et de rapports sur les risques, les ministères et organismes devraient avoir recours à des spécialistes internes en matière de communication ainsi qu'à des spécialistes de leur portefeuille et d'autres centres d'expertise afin de faire en sorte que le message communiqué est cohérent et facilement compréhensible. Les pratiques de communication devraient miser sur la clarté du message afin de permettre une compréhension générale de l'information transmise.

5 Mettre en place – Mettre en œuvre la gestion intégrée du risque

5.1 Mettre en œuvre l'approche et le processus de gestion du risque

Une fois l'approche et le processus de gestion du risque conçus, il faut les mettre en œuvre

Mise en œuvre de l'approche de gestion du risque

La mise en œuvre de l'approche de gestion du risque exige que la stratégie globale de gestion du risque (l'approche et le processus) soit appliquée dans l'ensemble de l'organisation conformément à l'approche établie. Lorsqu'une approche de gestion du risque est déployée au sein d'une organisation, il faut envisager exécuter les activités suivantes:

définir une stratégie et un plan de mise en œuvre qui correspondent aux exigences en matière de conformité (politiques, programmes et législation), qui tient compte des priorités de l'organisation relativement à ses capacités et qui est proportionnelle aux risques de l'organisation;
assurer le suivi et la production de rapports relativement aux progrès réalisés en vue de la mise en œuvre de l'approche de gestion du risque;
mettre en place une stratégie de mesure du rendement visant à évaluer le succès de la stratégie et des pratiques de gestion intégrée du risque de l'organisation et comprenant des indicateurs permettant de déterminer si les réactions aux risques ont été concluantes;
démontrer que les principes et les pratiques de gestion du risque éclairent la planification, la prise de décisions et la gestion du rendement de manière tangible, cohérente et structurée;
fournir aux membres du personnel la formation et les moyens pour apprendre à connaître et mieux comprendre à l'approche organisationnelle de gestion du risque ainsi que leurs rôles et responsabilités
communiquer avec les parties intéressées internes et externes et les consulter rapidement et adéquatement.

Intégrer le processus de gestion du risque

Afin d'adopter une démarche de prise en compte du risque pour la gestion, les activités de gestion du risque devraient être intégrées aux structures et aux processus organisationnels existants aux niveaux opérationnel et stratégique. L'intégration de la fonction de gestion du risque aux processus existants de gestion stratégique et d'exploitation assurera que la gestion du risque fait partie intégrante de la prise de décisions, de la planification des activités, de l'affectation des ressources et de la gestion des activités. De plus, elle devrait permettre aux organisations de tirer profit des capacités existantes (par exemple, communications, structures des comités, rôles et responsabilités existants).

La prise de décisions éclairée par l'analyse des risques peut s'appliquer à l'échelle de l'organisation, des programmes ou de toute activité sous-jacente. Chaque fois qu'une décision relative à l'affectation des ressources est prise, un plan énonçant les objectifs de rendement et les stratégies de gestion du risque devrait être intégré aux activités de planification. Le processus de prise de décisions éclairée par l'analyse des risques s'opère lorsque les risques sont relevés et que des réactions sont définies et ordonnées par priorité. Les priorités établies sont intégrées au plan d'activités puis mises en œuvre, contrôlées et évaluées dans le cadre du cycle de planification des activités.

L'organisation devrait déterminer les points d'ancrage de la gestion du risque à sa structure organisationnelle et à sa structure de gouvernance, à ses processus de décisions, à ses pratiques opérationnelles et à ses mécanismes de rapports, y compris pour l'exécution des principaux processus de l'administration fédérale. Une fois intégrée à l'exécution de ces processus, la gestion du risque s'insère dans les principaux cycles de planification, de production de rapports et de contrôle de l'organisation. Plus précisément, l'intégration de la gestion du risque aux processus opérationnels internes d'un ministère ou d'un organisme permettrait de soutenir les divers processus gouvernementaux.

Les mécanismes auxquels la gestion du risque pourrait s'insérer comptent entre autres:

les structures de gouvernance, p. ex., les comités de la haute direction, les comités et les groupes de travail interfonctionnels, les comités de vérification des ministères et organismes (CVMO), etc.;
les processus de planification et de production de rapports, p. ex., la planification intégrée des activités, le cycle de planification parlementaire, la planification des investissements, la planification des activités et des budgets (à l'échelle de l'organisation, des programmes et des projets), l'élaboration des plans d'activités, la préparation du Rapport sur les plans et les priorités (RPP) et du Rapport ministériel sur le rendement (RMR), etc.;
les processus de surveillance, p. ex., les activités de vérification, d'évaluation et d'examen;
les processus d'élaboration stratégique des politiques, p. ex., les mémoires au Cabinet (MC), les présentations au Conseil du Trésor, les documents d'information à l'intention du ministre et du sous-ministre, etc.;
les processus de conception et de gestion des programmes, p. ex., les subventions et les contributions, la passation de marchés, les priorités en matière réglementaire, etc.;
les plans de travail des employés et les ententes de responsabilité des membres de la haute direction.

Pendant leur examen des mécanismes auxquels la gestion du risque pourrait s'intégrer en vue de favoriser la prise de décisions éclairée par l'analyse des risques, les organisations devraient se pencher sur les éléments suivant:

les manifestations des pratiques de gestion du risque dans le contexte de l'évolution des tendances et des attentes sous le régime du Cadre de responsabilisation de gestion (CRG);
la coordination des activités de gestion du risque avec les modèles de l'administration fédérale, dont la Structure de gestion, des ressources et des résultats (SGRR), qui comprend l'Architecture des activités de programmes (AAP);
la coordination des activités de gestion du risque avec la stratégie organisationnelle de gestion du rendement;
l'assurance de la conformité aux lois, règlements et politiques applicables (p. ex., la Politique sur les paiements de transfert, etc.).

Si d'une part le processus de gestion du risque défini au sein de l'organisation doit être intégré aux différents processus et structures afin d'assurer une approche commune, les activités devraient d'autre part être adaptées aux besoins particuliers du processus ou de la structure. La structure ou le processus devront faire l'objet d'un examen afin de relever les éventuelles activités de gestion du risque déjà en place et les éventuelles adaptations à apporter. Si des adaptations s'avèrent nécessaires, il suffira peut-être d'ajouter les activités de gestion du risque à la structure ou au processus ou il faudra peut-être apporter d'autres modifications à la structure ou au processus afin de les adapter aux activités de gestion du risque.

À l'aide des orientations fournies par le processus de gestion du risque établi, les organisations pourront se poser les questions suivantes pendant le processus d'intégration:

Comment seront relevés les risques, les menaces et les occasions?
Comment seront évalués les risques, les menaces et les occasions, à l'aide des critères définis?
Comment sera déterminée la tolérance au risque?
Comment seront définies et gérées les réactions aux risques?
Comment l'information sera-t-elle communiquée?
Comment sera assuré le suivi des risques?

La mise en œuvre sera jugée réussie lorsque les individus prendront quotidiennement des décisions éclairées par l'analyse des risques sans qu'ils considèrent que cette démarche s'ajoute à leurs activités habituelles.

5.2 Fournir l'environnement et l'infrastructure

L'organisation pourra vouloir définir l'environnement et l'infrastructure nécessaires à l'appui d'une mise en œuvre réussie de l'approche et du processus de gestion du risque de même qu'à l'appui de leur exécution et de leur amélioration continue (telles que définies dans les deux sections qui suivent).

Afin de mettre en place l'environnement et l'infrastructure adéquats, l'organisation pourra se pencher sur sa culture et sa capacité.

Développer sa culture

Il est possible que pour certaines organisations l'intégration de la gestion du risque au processus de décision exige un changement de culture. L'état de préparation de l'organisation et sa capacité d'adaptation pourraient se répercuter sur le rythme et l'ampleur de la progression de la mise en œuvre de la gestion intégrée du risque. L'évaluation de l'état de préparation est essentielle pour faire en sorte d'harmoniser la gestion intégrée du risque aux initiatives de gestion en cours et de tirer parti des systèmes et des processus en place. Cette démarche permet aussi de mieux gérer les désagréments inhérents au changement et incitera le personnel à dépasser la simple conformité et à pleinement adhérer aux principes sous-jacents.

Les organisations procédant à la mise en œuvre d'une approche et d'un processus de gestion du risque seront amenées à analyser leur culture organisationnelle dans ce domaine et à déterminer comment cette culture pourrait devoir être changée. Pour ce faire, les organisations pourraient tenir compte des facteurs suivants:

Comment les employés réagiront-ils aux changements apportés (état de préparation)? Ce facteur dépendra entre autres des éléments suivants:
- le niveau d'intégration préalable de la gestion du risque à la planification stratégique et opérationnelle ainsi qu'aux activités;
- la connaissance et la capacité du personnel relativement à la gestion des risques;
- l'existence de systèmes et de protocoles de réaction aux éventuelles menaces et occasions.
Comment l'organisation aidera-t-elle les employés à effectuer une gestion intégrée du risque malgré les désagréments du changement? Cette démarche pourrait comprendre les actions suivantes:
- appliquer les leçons et les pratiques de la gestion du changement afin de favoriser la volonté et la capacité de changement;
- maintenir une interaction régulière entre les responsables de la supervision de la mise en œuvre et du maintien continu de l'approche et du processus de gestion du risque et les responsables de la surveillance des processus organisationnels (p. ex. planification, etc.).

Par ailleurs, le leadership dynamique de l'administrateur général et de la haute direction de l'organisation est un facteur déterminant d'une culture habilitante. La direction devrait encourager de manière manifeste la pratique de la gestion du risque et la communication de l'information dans tous les secteurs d'activités et toutes les unités fonctionnelles. En effet, la manière dont les hauts dirigeants agissent comme modèle en ce qui a trait aux principes de la gestion intégrée du risque donne le ton à l'établissement d'une culture durable dans l'ensemble de l'organisation. Pour appuyer sa haute direction à cet effet, les organisations pourraient envisager les moyens suivants:

faire en sorte que les risques et les réactions aux risques correspondent aux priorités;
fournir l'assurance que les risques opérationnels sont gérés adéquatement afin de permettre à la direction de se concentrer sur les principaux risques de l'organisation;
démontrer les liens entre les risques opérationnels et les risques principaux de l'organisation pour faciliter la prise des décisions de gestion;
veiller à ce que la gestion du risque fasse partie des discussions courantes des réunions et des comités de gestion;
faire appel aux instances d'approbation et aux comités de l'organisation pour mobiliser la direction à l'égard des risques;
démontrer que les risques partagés avec des ministères, organismes et parties intéressées sont pris en compte dans le processus de gestion du risque de l'organisation;
intégrer la gestion du risque aux ententes de rendement de la haute direction;
maintenir la haute direction au fait des résultats de l'évaluation du rendement en ce qui a trait à l'approche de gestion du risque, notamment les bénéfices de l'approche pour l'organisation (voir la section 7 à ce sujet).

Comme il en est question à la section 4.2, la tolérance au risque d'une organisation est un aspect important de sa culture. Il faut encourager la discussion à ce sujet. La démarche de promotion de la tolérance au risque dans les ministères devrait:

être axée sur la haute direction de manière à ce que celle-ci donne le ton et assure le leadership et le soutien en la matière;
faire en sorte que l'approche de la gestion du risque comprenne une stratégie visant à établir la tolérance au risque;
favoriser la connaissance de la tolérance au risque en l'intégrant à la formation sur la gestion du risque;
comprendre des discussions sur la tolérance au risque dans le cadre du processus de gestion du risque pour la prise de décisions.

Renforcement de la capacité

Les organisations devront mettre au point leurs propres stratégies de renforcement de la capacité en s'inspirant de leur situation particulière et de leur exposition au risque. Tout comme la gestion du risque doit être intégrée aux processus en place, la capacité de l'organisation d'exercer la gestion intégrée du risque devrait s'insérer dans les mécanismes existants. Évaluer et renforcer la capacité existante permet d'adapter l'approche aux besoins particuliers de l'organisation.

Pour acquérir la capacité nécessaire, les organisations peuvent procéder comme suit : relever les éléments existants, déterminer les changements et les améliorations à apporter et procéder aux changements. Pour mettre en place une capacité durable au sein de l'organisation, il est opportun de se pencher sur deux facteurs clés: les ressources humaines et les outils et les processus.

Ressources humaines

Parmi les considérations dont il faut tenir compte pour renforcer la capacité en matière de ressources humaines, on compte:

relever la compréhension existante du risque et de la gestion du risque;
faire connaître les initiatives et la culture de gestion du risque;
approfondir les compétences par la formation en bonne et due forme (avec des directives sur l'application des outils et des techniques) tenant compte du roulement de personnel;
accroître les connaissances en partageant les pratiques exemplaires et les expériences;
renforcer la capacité, les aptitudes et les compétences pour le travail en équipe.

De façon générale, l'organisation devrait envisager les moyens nécessaires pour faire en sorte que l'ensemble de son personnel dispose de la formation adéquate, a accès aux outils éprouvés de gestion du risque et comprend clairement le langage commun de la gestion du risque de manière à faciliter la communication.

Outils et techniques

Il existe divers outils et méthodes permettant de gérer le risque. En voici quelques exemples:

Cartes des points chauds, registres et tableaux de bord, plans d'action: graphiques et diagrammes sommaires permettant aux organisations d'identifier les risques, d'en discuter, de les comprendre et de les gérer en déterminant leur provenance ainsi que les types de risque et les domaines en cause ou nécessaires;
Outils de modélisation: des analyses de scénarios et des modèles de prévision qui donnent une idée de l'éventail des possibilités et qui intègrent des scénarios aux plans d'urgence;
Cadres sur l'approche préventive comprenant de l'information scientifique: un cadre identifiant des principes de base pour orienter l'application de l'approche préventive afin d'en améliorer la prévisibilité, la crédibilité et la cohérence au sein du gouvernement fédéral;
Techniques qualitatives: des ateliers, des questionnaires et des auto-évaluations servant à déterminer et à évaluer les risques;
Internet et réseaux Intranet des organisations: pour promouvoir la prise de conscience et la gestion du risque grâce au partage de renseignements à l'interne et à l'externe.

Parmi les considérations dont il faut tenir compte pour renforcer la capacité relativement aux outils et aux techniques:

recours aux comités, systèmes et processus existants (comités de direction et comités opérationnels, processus de planification et de production de rapports);
usage d'un langage et d'une structure communs de la gestion du risque;
permettre la mise au point et l'utilisation d'autres outils et techniques qui pourraient être mieux adaptés à la gestion du risque dans le cas d'applications spécialisées.

Renforcer la capacité organisationnelle est un défi continu même lorsque la gestion intégrée du risque est vraiment établie comme pratique au sein de l'organisation. Les activités réalisées dans le cadre des processus de contrôle et d'examen, décrites à la section 7, peuvent permettre de continuer de relever des secteurs et des activités à surveiller ainsi que des compétences, des processus et des pratiques à développer ou à renforcer.

6S'exécuter – Mettre en pratique la gestion intégrée du risque

6.1 Gestion intégrée du risque continue

Une fois l'approche et le processus de gestion du risque définis et mis en œuvre, les organisations commenceront à pratiquer la gestion intégrée des risques à l'aide des structures et des processus auxquels le processus de gestion du risque a été intégré. Le processus organisationnel de gestion du risque pourra être appliqué à tous les niveaux et les fonctions de l'organisation par l'entremise de ces structures et de ces processus. L'exécution du processus de gestion du risque permettra de faire en sorte que les risques soient compris, gérés, communiqués et intégrés aux processus de prise de décisions et d'établissement des priorités de manière cohérente et coordonnée (relativement aux politiques, aux activités, à la gestion et à la production de rapports sur le rendement). Le niveau d'acceptation de la gestion intégrée du risque au sein d'une organisation dépendra de combien l'organisation a réussi à obtenir des résultats au moyen de l'approche et du processus de gestion du risque.

Pour exécuter de manière continue la gestion intégrée du risque dans le cadre de leurs structures et de leurs processus, les organisations gagneraient à envisager les pratiques suivantes:

documenter le processus décisionnel et consigner le résultat des principaux points de décision de manière à démontrer la responsabilisation, la transparence et la diligence raisonnable (des efforts raisonnables devraient être déployés sans entraîner un fardeau administratif excessif);
faire en sorte que les efforts investis dans la gestion du risque correspondent à la nature, à la portée et à l'ampleur du risque visé;
faire participer toutes les parties intéressées et concernées (partenaires, population, autres intervenants) pendant tout le processus de manière à permettre que tous les principaux risques soient relevés, y compris les risques en commun avec d'autres ministères, organisations et intéressés;
faire en sorte que l'information sur le risque ne serve pas uniquement aux décisions dans le domaine où ils ont été relevés et évalués, mais qu'elle soit communiquée et utilisée dans d'autres domaines (planification, identification de candidats pour la vérification, etc.);
conserver une liste des principaux risques de l'organisation, produire régulièrement des rapports à ce sujet et indiquer les mesures prises pour les gérer.

En plus de la gestion continue des risques (par l'identification, l'évaluation, la réaction et le suivi) dans le cadre des processus organisationnels de prise de décisions auxquels le processus de gestion du risque a été intégré, la gestion intégrée des risques comprend d'autres activités importantes, dont la préparation d'un portrait organisationnel des risques et l'apprentissage continu de la gestion du risque.

6.2 Établir un portrait organisationnel des risques

Les principales activités de la pratique de la gestion intégrée du risque commencent généralement par la préparation d'un profil de risque organisationnel, ou d'un document équivalent, en vue d'établir un portrait global des risques au sein d'une organisation à un moment donné.

Pour dresser le profil de risque de l'organisation, il faut recueillir et regrouper de l'information tant au niveau de l'organisation que des activités, démarche qui aide les organisations à comprendre les principaux risques auxquels elles sont exposées, à l'interne et à l'externe, et à déterminer leur probabilité et leurs conséquences éventuelles. De plus, l'identification et l'analyse de la capacité actuelle de gestion du risque au sein des organisations constituent une composante essentielle de l'élaboration du portrait de l'organisation.

La préparation d'un portrait organisationnel des risques est une démarche semblable aux autres activités d'évaluation du risque réalisées dans le cadre du processus de gestion du risque défini pour identifier, évaluer et ordonner par priorité puis communiquer les risques ainsi que préparer des stratégies de réaction. Cependant, certains points particuliers à la préparation d'un portrait organisationnel des risques devraient être pris en compte:

Seuls les grands risques susceptibles d'avoir une incidence importante sur les priorités, le rendement et l'atteinte des objectifs de l'ensemble de l'organisation devraient être consignés dans le profil organisationnel. Les risques de niveau opérationnel devraient être regroupés, si possible, puis ordonnés par priorité sous forme d'une liste sommaire des grands risques nécessitant l'attention de la haute direction.
Aux fins du processus de gestion du risque pour la préparation du profil organisationnel, des méthodes claires, transparentes et normalisées devraient exister pour:
- regrouper les risques opérationnels avec les principaux risques organisationnels, démarche susceptible d'être facilitée par l'utilisation d'une taxonomie ou d'un instrument semblable (voir le Guide sur les taxonomies des risques du SCT);
- relever les risques nécessitant l'attention de la haute direction (priorisation des risques) et établir la tolérance aux risques;
- communiquer et signaler les principaux risques organisationnels à toutes les parties concernées afin d'éclairer leurs décisions;
Pour relever leurs principaux risques, les organisations pourraient:
- utiliser une taxonomie des risques ou un instrument semblable afin de faire en sorte qu'un vaste éventail de risques potentiels aient été analysés (voir le Guide sur les taxonomies des risques du SCT);
- recueillir de l'information sur les risques auprès de différentes sources;
- accorder une attention particulière aux considérations temporelles associée aux risques (moment où ils sont susceptibles de survenir, moment où ils nécessitent une action) puisque le portrait organisationnel ne porte pas sur les risques opérationnels à court terme, mais plutôt sur les risques de nature stratégique.
La haute direction doit intervenir dans le suivi et la surveillance des grands risques décrits dans le profil organisationnel et peut avoir des responsabilités précises relativement aux réponses aux risques de l'organisation;
Le profil organisationnel des risques doit être révisé et mis à jour régulièrement (possiblement au rythme du contexte opérationnel de l'organisation comme la planification annuelle des activités et le rapport semestriel sur le rendement) afin qu'elle dispose d'une connaissance claire et à jour de ses grands risques et de leur état et d'ainsi éclairer ses décisions. Pour le cas où des risques exigeant une attention surviennent entre les cycles prévus, l'organisation pourra envisager de mettre en place un mécanisme de recours hiérarchique.

Comme pour tous les risques continuellement relevés, une fois les grands risques documentés, il faudra intégrer l'essence de l'information relative à ces risques aux cycles de planification et de rapports de l'organisation d'une manière simple permettant une communication efficace.

Pour de l'information supplémentaire sur l'établissement d'un portrait organisationnel des risques, voir le Guide d'élaboration d'un profil de risque organisationnel.

6.3 Assurer l'apprentissage continu en matière de gestion du risque

Comme l'établit le Cadre stratégique de la gestion du risque, les administrateurs généraux jouent également un rôle important dans la mise en place d'un contexte propice à l'apprentissage qui favorise le perfectionnement des compétences et des capacités dans le domaine de la gestion du risque au sein de leur organisation.

L'apprentissage continu en matière de gestion du risque est essentiel au soutien de la culture organisationnelle de prise de décisions proactives et éclairées par l'analyse des risques. L'apprentissage continu a pour objet de mettre en place et de maintenir la culture voulue d'un effectif et d'un contexte opérationnel marqués par le souci du risque. Cette démarche consiste à accroître la conscience, la connaissance et la compétence à l'égard de la gestion du risque à l'échelle de l'individu, de l'équipe et de l'organisation. L'approche adoptée, comprenant la préparation de cours au besoin, devrait cibler des besoins organisationnels précis.

Afin de maintenir l'apprentissage continu dans le domaine de la gestion du risque, les organisations devraient s'intéresser à ce qu'elles sont en mesure de faire:

encourager l'apprentissage aux niveaux de l'individu, de l'équipe et de l'organisation, notamment par les moyens suivants: intégrer les plans d'apprentissage à l'approche et aux processus de gestion du risque ainsi qu'aux ententes des employés; préparer des cours internes et externes; adhérer à des associations et à des instituts; participer à des conférences; encourager les affectations professionnelles afin de permettre l'acquisition de compétences et de connaissances; etc.
partager l'expérience et les bonnes pratiques au sein de l'organisation et de l'ensemble du gouvernement afin de relever les situations où la gestion du risque est devenue un mécanisme essentiel et complètement intégré d'une organisation et d'en tirer des apprentissages, notamment par les moyens suivants: observer les processus et les outils utilisés par d'autres ministères; souligner les réussites; documenter et communiquer les leçons tirées, les études de cas et les bonnes pratiques de l'organisation et de la collectivité; utiliser différents mécanismes (Internet, intranet, activités d'apprentissage, séances d'information, bulletins, publications, etc.) pour communiquer les leçons tirées; encourager et récompenser la mise en commun d'information; etc.
favoriser un environnement de discussions responsables au sujet des risques tout en respectant le seuil de tolérance au risque de l'organisation, notamment par les moyens suivants: créer des mesures incitatives pour relever les occasions; reconnaître que l'apprentissage fondé sur l'expérience (même les expériences n'ayant pas donné les résultats escomptés) est important pour le progrès; etc.

7 S'améliorer - Améliorer sans cesse la gestion intégrée du risque

Comme l'énonce le Cadre stratégique de gestion du risque, les administrateurs généraux ont des responsabilités définies en ce qui à trait à l'amélioration continue de la gestion du risque au sein de leur organisation, notamment de surveiller les pratiques de gestion du risque de leur organisation et de faire en sorte que les questions qui influent sur les démarches de gestion de risques entreprises par l'organisation, qu'il s'agisse de risques relevés lors d'évaluations et d'activités de surveillance interne ou externe, sont examinés et réglés. Les administrateurs généraux des grands ministères et organismes sont appuyés par les membres des CVMO, nommés pour fournir des conseils objectifs et procéder à l'examen des mécanismes de contrôle et de reddition de comptes en matière de dépenses et pour assurer une surveillance de la gestion du risque.

Disposer d'une approche réactive de gestion du risque est un facteur clé de l'établissement et du maintien d'un soutien continu au sein de l'organisation. Comme l'approche et le processus de gestion du risque sont mis à jour afin de tenir compte des améliorations, il sera important de communiquer rapidement ces changements aux intéressés.

Surveiller et examiner l'approche et le processus

La surveillance et l'examen sont des aspects cruciaux de l'amélioration continue. La surveillance continue et l'examen périodique de l'approche et du processus sont essentiels au maintien de leur efficacité et de leur pertinence quant au soutien du rendement global de l'organisation. Ils fournissent des renseignements à la direction et aux autres parties intéressées tant au sein des organismes qu'à l'échelle de l'administration publique. Les commentaires, les observations et les recommandations rassemblés au fil des activités de surveillance et d'examen permettent à l'organisation de déterminer si l'approche et le processus de gestion du risque donnent les résultats escomptés ainsi que de relever les lacunes, manques d'efficacité et occasions d'amélioration éventuels.

Pour déterminer leur stratégie de surveillance continue et d'examens périodiques de leur approche et de leur processus de gestion du risque, les organisations pourraient s'intéresser aux points suivants:

les rôles et les responsabilités de chacun, notamment si la haute direction participe à la surveillance et à l'examen du rendement de l'approche et du processus de gestion du risque;
le recours aux fonctions de surveillance existantes, notamment la vérification interne, l'évaluation et l'assurance de la qualité;
le choix du moment des examens;
les mécanismes de rapports destinés à communiquer les leçons tirées, s'il y a lieu, de la surveillance et de l'examen de l'approche et du processus de gestion du risque de l'organisation aux parties intéressées internes et externes;
la mobilisation des membres des CVMO.

Pour soutenir les activités de surveillance et d'examen, les organisations devraient envisager les mécanismes suivant:

des résultats escomptés de la gestion des risques documentés, c'est-à-dire la minimisation des événements négatifs ou l'exploitation des occasions;
des indicateurs du rendement conformes au cadre général de gestion du rendement de l'organisation et vérifiés périodiquement pour en vérifier l'à-propos.

Pour la surveillance continue et les examens périodiques, on pourra:

produire des rapports sur le progrès de l'approche et du processus de gestion du risque en fonction de la stratégie de mise en œuvre;
produire des rapports sur le rendement de l'approche et du processus de gestion du risque afin de:
- confirmer que la gestion du risque apporte une valeur ajoutée comme partie intégrante de la prise de décisions, de la planification des activités, de l'affectation des ressources et de la gestion des activités compte tenu des contextes interne et externe;
- vérifier si l'approche et le processus de gestion du risque de l'organisation sont adaptés et qu'ils réagissent aux contextes externes et internes de l'organisation, y compris son mandat, ses priorités, sa culture de risques organisationnels, sa capacité de gestion des risques et les intérêts de ses partenaires et intervenants;
- maintenir la pertinence et l'efficacité de l'approche et du processus de gestion du risque (y compris les politiques applicables et les outils d'appui) en fonction du mandat et des principaux résultats et de l'évolution des principes et pratiques^{Voir la note en bas de page 4}.
évaluer la situation de l'organisme par rapport au modèle de la capacité en matière de gestion des risques en fonction des mesures de mise en œuvre et des progrès;
mener des analystes périodiques du contexte afin de relever de nouvelles approches, de nouveaux outils et de nouvelles idées;
évaluer la conformité aux lois, aux règlements et aux politiques applicables.

L'évaluation du rendement est un aspect crucial de la surveillance et de l'examen de l'approche et du processus de gestion du risque^{Voir la note en bas de page 5}. L'organisation doit non seulement envisager la mesure du rendement dans le contexte de l'approche et du processus de gestion du risque, mais aussi, parallèlement, le rendement de ses activités de réponse au risque. Dans les deux cas, il faut prendre en compte entre autres les considérations suivantes:

la fréquence et la nature des décisions de gestion du risque mises en évidence dans les plans de la haute direction, ainsi que le suivi et les rapports relativement aux décisions prises pour ainsi faire la démonstration de la surveillance des activités de gestion du risque par la haute direction, y compris les succès et les échecs des réactions au risque;^{Voir la note en bas de page 6}
des rôles et responsabilités clairement définis et transparents en matière de gestion du risque;
la démonstration de l'incidence des réactions au risque (sur les niveaux de risque, les indicateurs de risque et les indicateurs de rendement des programmes et des activités) (voir aussi la sous-section portant sur le Suivi des risques à la section 4.6);
une analyse détaillée des coûts et avantages comparant les coûts possibles d'un risque relevé, les coûts d'une réaction directe au risque et les avantages ou l'évaluation des coûts évités;
l'intégration explicite des priorités en matière de risque et des réactions au risque aux plans d'activités, à la gestion du rendement et aux rapports d'évaluation;
le retour sur l'investissement, tant qualitatif que quantitatif, des ressources, des outils et des activités destinés à la sensibilisation et à la formation des employés relativement aux questions liées au risque ainsi que d'autres résultats concrets de l'application systématique des pratiques de gestion du risque dans l'ensemble de l'organisation (p. ex. des ateliers dirigés et structurés);
l'historique du rendement découlant de la conformité aux exigences des organismes centraux en matière de gestion du risque (p. ex., l'évaluation du CRG du SCT);
la sensibilisation à l'approche de gestion du risque chez le personnel démontrée par les résultats d'enquêtes ou de sondages et par l'intégration accrue de la prise de décisions éclairée par l'analyse des risques à d'autres processus;
les commentaires des principaux intéressés (le personnel, les gestionnaires, les organismes centraux, le Parlement) sur la pertinence, l'utilité et la rentabilité de la gestion du risque;
l'élaboration de politiques, de directives et de cadres fondés sur l'analyse des risques et l'élimination continue des lourdeurs administratives.

La documentation et la communication des activités de surveillance et d'examen accroissent la capacité de l'organisation à consigner ses résultats et à produire des rapports et améliorent son rendement en matière de gestion du risque dans ses processus de planification, de production de rapports et de gestion du rendement. La préparation de rapports sur les résultats facilite l'apprentissage et améliore la prise de décisions, car les rapports servent à évaluer tant les réussites que les échecs et à diffuser des renseignements sur les pratiques exemplaires et les enseignements tirés.

Autres activités à l'appui de l'amélioration continue

En plus de la surveillance et de l'examen, l'organisation peut envisager d'autres activités qui lui permettraient d'améliorer son approche et son processus de gestion du risque:

renouveler et réviser périodiquement les politiques, les directives, la formation, les outils et les procédures;
prendre en compte les commentaires, les observations et les recommandations des parties intéressées internes et externes, dont les CVMO, les dirigeants principaux des finances (DPF), les dirigeants principaux de la vérification (DPV), les chefs de la gestion des risques, etc;
consulter des ressources externes et mettre en commun les bonnes pratiques, notamment les autres ministères, le secteur privé, les universitaires, les réseaux et les communautés de pratique;
mobiliser et mettre à contribution les réseaux, systèmes, communautés de pratique, organismes centraux internes de l'organisation afin de relever les bonnes pratiques et les enseignements tirés;
remettre au diapason les approches de gestion du risque avec l'évolution des principes et des pratiques;
mettre en œuvre les enseignements tirés de la surveillance des risques menée dans le cadre du processus de gestion du risque.

Pour appuyer l'apprentissage continu, il est recommandé de consulter le Modèle de la capacité en matière de gestion des risques du SCT, un outil d'autoévaluation à l'aide duquel les organisations peuvent évaluer leur capacité en matière de gestion du risque en fonction de la situation à laquelle elles veulent parvenir. Les organisations devraient envisager de documenter les enseignements tirés et les résultats des exercices d'autoévaluation.

8 Coordonnées

Pour obtenir de plus amples renseignements, veuillez contacter Demandes de renseignement du SCT.

Annexe A : Groupe de travail interministériel

Le guide a été préparé par un groupe de travail interministériel sous l'égide du Centre d'excellence en gestion du risque du SCT.

Parmi les personnes ayant contribué au groupe de travail, on compte:

Charlene Budnisky, Travaux publics et Services gouvernementaux Canada
Wes Darou, Agence canadienne de développement international
Alain Goudreau, Recherche et développement pour la défense Canada
Emily Graves, Agence canadienne d'inspection des aliments
Paule Labbé, Santé Canada
Awad Loubani, Travaux publics et Services gouvernementaux Canada
Wendy Matheson, Anciens Combattants Canada
Colin Nicholson, Ressources naturelles Canada
Liane Sauer, Agence du revenu du Canada
Ron Sisk, Pêches et Océans Canada
Mario Vendittoli, Santé Canada

Le SCT remercie de leur contribution les personnes mentionnées. Le SCT souhaite de plus remercier toutes les autres personnes ayant fourni des commentaires relativement à l'ébauche du présent guide au cours des consultations pangouvernementales.

Notes en bas de page

Note en bas de page 1

L'« approche de gestion du risque » correspond, dans une certaine mesure, à la notion de « cadre » de la norme ISO 31000. Voir aussi les notions de « démarche » et d' « approche » dans le contexte du Cadre stratégique de gestion du risque.

Retour à la référence de note en bas de page 1

Note en bas de page 2

La haute direction devrait fournir des directives claires sur les critères d'évaluation des niveaux de risque ainsi que des orientations relativement aux niveaux de risque acceptables.

Retour à la référence de note en bas de page 2

Note en bas de page 3

L'information sur le risque dans le cadre du processus de gestion du risque peut comprendre les éléments suivant: le risque proprement dit, ses causes, ses conséquences (si elles sont connues), les mesures de réponses déployées et les progrès de la mise en œuvre des réponses.

Retour à la référence de note en bas de page 3

Note en bas de page 4

En collaboration avec les ministères et organismes, le SCT évaluera l'efficacité du Cadre stratégique de gestion du risque et apportera les améliorations nécessaires afin de maintenir le progrès continu vers un effectif et un environnement caractérisés par le souci du risque.

Retour à la référence de note en bas de page 4

Note en bas de page 5

L'ouvrage suivant est une bonne référence dans le domaine de la mesure du rendement et de la gestion intégrée du risque: Identifying, Measuring, and Managing Organizational Risk for Improved Performance, Marc J. Epstein et Adriana Rejc, publié par la Society of Management Accountants of Canada et la American Institute of Certified Public Accountants, 2005, ISBN‑0‑87051‑619-1.

Retour à la référence de note en bas de page 5

Note en bas de page 6

Comme on l'énonce dans le Cadre stratégique de gestion du risque et comme l'impose le CRG, le SCT tente de relever des indicateurs probants du leadership de la haute direction, notamment par une surveillance active de la gestion intégrée du risque de la part de cette dernière. Le programme à cet effet offre la possibilité d'examiner les progrès des réactions au risque, de l'intégration à la planification, à la planification des communications et à la préparation des politiques. La haute direction a une obligation claire de rendre des comptes sur la gestion intégrée des risques, et des traces écrites doivent permettre de le vérifier. Les CVMO ont aussi pour rôle de fournir une assurance que la haute direction a relevé tous les risques importants, les a évalués et y a réagi.

Retour à la référence de note en bas de page 6

Détails de la page

Date de modification :: 2017-03-17