Cette page a été archivée.
Information archivée dans le Web à  des fins de consultation, de recherche ou de tenue de documents. Cette dernière n’a aucunement été modifiée ni mise à  jour depuis sa date de mise en archive. Les pages archivées dans le Web ne sont pas assujetties aux normes qui s’appliquent aux sites Web du gouvernement du Canada. Conformément à  la Politique de communication du gouvernement du Canada, vous pouvez demander de recevoir cette information dans tout autre format de rechange à  la page « Contactez-nous ».
Présenté par :
Performance Management Network Inc.
L'instauration et le maintien d'un milieu de gestion des risques marqué par la maturité étaient l'un des éléments critiques de l'approche préconisée par le Groupe de travail indépendant chargé de la modernisation de la fonction de contrôleur dans l'Administration fédérale du Canada dans le rapport qu'il a produit en 1997. À cette fin, le Secrétariat du Conseil du Trésor (SCT), de concert avec des ministères du gouvernement fédéral et d'autres parties intéressées, est en train d'élaborer une approche de gestion des risques axée sur les résultats pour aider les employés à mieux comprendre, gérer et communiquer les risques et les choix qui s'y rapportent - en bref : une approche moderne, intégrée.
Dans un premier temps, il a fallu obtenir la documentation portant sur les recherches concernant les meilleures pratiques en matière de gestion des risques auprès du secteur privé canadien et du secteur public provincial ainsi que des secteurs privé et public à l'échelle internationale.
Treize (13) organisations canadiennes ayant une politique établie en matière de gestion des risques ont été interviewées et la documentation canadienne portant sur cette question a été examinée. Neuf (9) organisations provenaient du secteur privé, et quatre (4) du secteur public. Ensemble, ces organisations constituaient un large éventail des activités industrielles et publiques. On leur a demandé d'indiquer les pratiques qui selon elles, se sont avérées particulièrement efficaces et qui ont permis à l'entreprise/organisation d'atteindre ses objectifs en matière de gestion des risques et qui représentent aussi un intérêt pour d'autres organisations.
Un modèle des meilleures pratiques a été utilisé en vue d'orienter les discussions tenues avec les organisations participantes. Ce modèle renfermait une liste de stratégies à appliquer par un grand nombre d'organisations qui pourraient vraisemblablement tirer avantage des meilleures pratiques s'y rapportant.
La présente étude a été menée parallèlement à une autre étude portant sur les meilleures pratiques en matière de gestion des risques à l'échelle internationale un rapport coordonné des conclusions a été établi pour les deux études.
Vingt et une (21) meilleures pratiques ont été signalées, et elles sont toutes utiles et pertinentes pour les fins du gouvernement fédéral. Les stratégies énoncées dans le modèle des meilleures pratiques sont liées de façon logique à l'élaboration d'une nouvelle initiative. Le groupement par élément stratégique a donc été considéré comme étant une méthode efficace de présentation et d'analyse des meilleures pratiques. Les organisations qui sont en train d'embarquer en ce qui concerne la gestion des risques ou qui ont progressé dans ce domaine pourront se reporter facilement aux meilleures pratiques qui ont pour elles une certaine pertinence, compte tenu du stade où elles en sont rendues. Les regroupements effectués sont présentés ci-dessous.
Stratégies du modèle des meilleures pratiques | Meilleures pratiques |
Stratégies structurelles : | |
a) Communication des objectifs et des valeurs |
|
b) Responsabilité partagée quant à la gestion des risques et à l'encouragement à l'adhésion |
|
c) Ensemble de l'organisation | |
d) Diverses stratégies | |
e) Contrôle et communication aux cadres supérieurs, au conseil d'administration et aux parties prenantes |
|
Stratégies de mise en oeuvre : | |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Les meilleures pratiques qui suivent ont été mentionnées par au moins deux des organisations participantes et semblent par conséquent revêtir une plus grande importance :
Aux termes d'une étude commandée simultanément par le SCT quant aux pratiques en matière de gestion des risques au sein des ministères du gouvernement fédéral, on a fréquemment mentionné le changement culturel comme étant le principal défi à relever pour instaurer un milieu de gestion des risques marqué par la maturité. Onze (11) des meilleures pratiques pourraient à cet égard être utiles. Nous avons établi une liste des meilleures pratiques dont l'application au gouvernement fédéral est prioritaire (Tableau 5, page 26), la facilitation du changement culturel figurant au premier rang parmi nos neuf (9) critères d'applicabilité.
L'évolution vers une gestion des risques plus systématique est une démarche très judicieuse
Des facteurs tels que le rythme global du changement, les contraintes en matière de ressources, le besoin croissant d'ouverture, de transparence et de responsabilisation et les importants changements organisationnels qui sont apportés sur une base continue militent en faveur d'une gestion des risques plus efficace.
Les avantages sont réels, même s'ils sont difficilement quantifiables
Même si elles n'étaient pas encore en mesure de quantifier précisément tous les avantages, les organisations se disaient très satisfaites, au plan qualitatif, des avantages que leur avait procurés l'investissement de temps, d'argent et de personnel dans une gestion des risques plus systématique. Aucune de ces organisations n'a mentionné qu'elle regrettait d'avoir adopté cette ligne de conduite.
Le leadership et le soutien de l'organisation doivent être perceptibles
Le leadership et le soutien sont nécessaires pour promouvoir un milieu propice au changement et à la prise de risques plus réfléchie, ce qui implique la reconnaissance du fait qu'il y aura des ' succès ' mais aussi des ' échecs '.
Mettre d'abord l'accent sur la compétence
Bien que le but à long terme soit pour la plupart des organisations l'application d'un processus organisationnel où tous sont responsables de la gestion des risques, il convient de commencer par cibler des domaines où la gestion des risques se fait naturellement et de bâtir sur les réussites dans ces domaines.
Prendre soin de bien définir et d'expliquer ' risque '
La perception plus traditionnelle du risque était qu'elle se rapportait seulement aux possibilités de préjudice. Plus récemment, certains auteurs et gestionnaires du risque ont défini le risque comme un concept renfermant à la fois l'idée de préjudice et celle de récompense, de sorte que leurs définitions sont énoncées en termes plus neutres. Il importe d'être prudent dans le choix de la définition qui sera retenue et d'expliquer que le préjudice et la récompense sont tous deux utilisés relativement aux répercussions favorables et défavorables.
L'investissement sur une base continue est nécessaire
La gestion des risques ne peut être exercée de manière routinière par la direction et le personnel d'une organisation sans que celle-ci n'investisse dès le départ sur une base permanente. Des investissements seront nécessaires relativement à la formation, à la communication, à la promotion et à l'adhésion au processus. L'organisation devrait désigner un centre de responsabilité qui agirait à titre d'' expert ' pour ce qui est de l'adhésion de tous au sein de l'organisation et qui serait chargé du maintien du processus et de la communication continue à la fois des cas de réussite et des leçons qui doivent être tirées.
Le gouvernement poursuit la mise en oeuvre du rapport du Groupe de travail indépendant chargé de la modernisation de la fonction de contrôleur dans l'Administration fédérale du Canada. Le rapport du Groupe de travail faisait état de quatre facteurs-clés d'une fonction de contrôleur moderne :
L'instauration et le maintien d'un milieu de gestion des risques marqué par la maturité étaient l'un des éléments cruciaux de l'approche préconisée par le Groupe de travail. À cette fin, le Secrétariat du Conseil du Trésor (SCT), de concert avec des ministères du gouvernement fédéral et d'autres parties intéressées, est en train d'élaborer une approche de gestion des risques axée sur les résultats pour aider les employés à mieux comprendre, gérer et communiquer les risques et les choix qui s'y rapportent - en bref : une approche moderne, intégrée. La présente étude devrait permettre l'élaboration d'une politique globale établissant le contexte dans lequel aura lieu la gestion des risques au sein du gouvernement fédéral et prévoir l'orientation, les outils, les techniques et la formation aux fins des ministères fédéraux.
Dans un premier temps, il a fallu obtenir la documentation portant sur les recherches concernant les meilleures pratiques en matière de gestion des risques auprès du secteur privé canadien et du secteur public provincial ainsi que des secteurs privé et public à l'échelle internationale.
Ce projet visait à permettre de cerner les meilleures pratiques en matière de gestion des risques au Canada, notamment les stratégies, approches, méthodes, outils et techniques, ainsi que la façon dont l'Administration fédérale canadienne pourrait y avoir recours.
La recherche portait, entre autres, sur le secteur privé et les secteurs publics provinciaux et municipaux. Ainsi, des contacts ont été établis avec :
La présente étude et les études concernant les meilleures pratiques dans les secteurs privé et public à l'échelle internationale ont été menées de concert.
La présente étude faisait partie d'une série de quatre études commandées simultanément par le SCT. Les autres études sont :
Comme ces études ont été commandées simultanément, notre méthodologie comportait dans un premier temps, l'établissement d'un arrangement relatif à la gestion de projet et à la coordination avec les autres études comme l'illustre le tableau 1 qui suit.
Un élément essentiel de la méthodologie résidait dans la nécessité de coordonner nos techniques d'étude avec l'étude des meilleures pratiques au niveau international faite par la KPMG. Nous avons dès le départ entrepris de conjuguer nos efforts pour que les résultats produits puissent être comparables et utiles. Par conséquent, l'élaboration d'une définition des meilleures pratiques, d'un modèle des meilleures pratiques et de critères d'applicabilité constituait le deuxième élément important de notre méthodologie. Ces éléments seront analysés de façon détaillée plus loin. Ils ont été élaborés de concert avec la KPMG puis analysés et commentés par un comité consultatif que le SCT avait créé relativement à ses initiatives en matière de gestion des risques. Les sociétés PMN et KPMG ont ensuite élaboré un guide d'entrevue destiné à orienter les discussions tenues avec les organisations participantes.
Les sociétés PMN et KPMG ont ensuite chacune de leur côté procédé aux quatre étapes suivantes. Il s'agit de la conduite des entrevues, de l'analyse des documents et de l'établissement des conclusions préliminaires et d'un rapport provisoire.
En raison du temps limité dont nous disposions, nous avons décidé de cibler, comme répondants éventuels du secteur privé, 18 organisations qui avaient adopté une politique de gestion des risques. Ne sachant toutefois pas quelles organisations du secteur public provincial et municipal avaient élaboré des initiatives en matière de gestion des risques, nous avons fait parvenir à des vérificateurs généraux/provinciaux (12) et à des chefs de services municipaux/gérants municipaux (6) une demande en vue d'identifier des répondants éventuels du secteur public. La liste des organisations participantes figure à l'annexe A.
Nous avons procédé à un examen de la documentation canadienne et des autres ouvrages de référence simultanément à la tenue des entrevues. Des sommaires des entrevues et des résumés des documents-clés ont été préparés. Les sommaires des entrevues font ressortir le contexte de la gestion des risques au sein de l'organisation, traitant généralement de l'objectif et de l'approche de l'organisation dans le cadre des pratiques de gestion des risques ainsi que des avantages que cette dernière en retire. Les résumés des entrevues (voir annexe B) soulignent ensuite les meilleures pratiques mentionnées par l'organisation et, dans certains cas, certaines ' bonnes ' pratiques également mentionnées. Les résumés des documents-clés (voir annexe C) constituent plutôt un résumé du contenu des documents. La plupart des documents-clés ne traitaient pas directement de la question des meilleures pratiques. S'ils ont été retenus comme documents-clés, c'est parce qu'ils contiennent des renseignements, des opinions ou des suggestions concernant les meilleures pratiques mentionnées lors des entrevues.
L'information contenue dans les sommaires des entrevues et les résumés des documents-clés a ensuite été analysée aux fins de son application à l'Administration fédérale, à l'aide des critères d'applicabilité (voir section 2.5). Les conclusions préliminaires ont été présentées dans un rapport remis au SCT et contenaient des renseignements sur les avantages, des exemples, des observations préliminaires ainsi que des exemples de pratiques exemplaires.
Comme l'indique le tableau 1 figurant à la page précédente, les étapes finales étaient les suivantes : élaboration d'un rapport provisoire, rédaction de conclusions coordonnées (selon le consensus auquel en étaient arrivés la PMN et la KPMG), présentation des résultats au SCT et au comité consultatif et établissement d'un rapport final, lequel tenait compte des résultats des rapports provisoires établis par CVC et l'Institut en gestion publique.
Pour que l'information recueillie sur les meilleures pratiques en matière de gestion des risques puisse être comparable et utile, il s'est avéré nécessaire de définir au préalable ' meilleure pratique ' dans le contexte du présent projet. La définition qui suit a été élaborée de concert avec la société KPMG et figure également dans l'étude de cette dernière au niveau international.
Les pratiques de gestion des risques ne constituent pas toutes des meilleures pratiques, et les bonnes pratiques ne sont pas toutes pertinentes ou facilement adaptables aux fins de la fonction publique fédérale. Il a été conclu qu'une meilleure pratique serait une stratégie, une approche, une méthode, un outil ou une technique qui aiderait de façon particulièrement efficace une organisation à atteindre ses objectifs en matière de gestion des risques. Serait également considérée comme étant une meilleure pratique celle qui devrait s'avérer utile à d'autres organisations. Par exemple, une pratique qui a été particulièrement utile à l'établissement d'orientations serait utile à de nombreuses autres organisations, notamment le Secrétariat du Conseil du Trésor (SCT), étant donné que l'orientation des ministères de l'Administration fédérale constitue l'un de ses principaux objectifs. |
Un modèle des meilleures pratiques énonce les domaines dans lesquels celles-ci devraient s'avérer utiles pour un grand nombre d'organisations. Le présent modèle a été élaboré de concert avec la société KPMG et est également utilisé par cette dernière dans son étude au niveau international. Selon l'hypothèse de base, les organisations investissent des ressources en ce qui a trait à la gestion de leurs risques - aussi bien leurs risques stratégiques que leurs risques d'exploitation - en vue d'en retirer les avantages escomptés. Ces avantages, qui sont souvent assimilés à des objectifs de gestion des risques, pourraient constituer une combinaison de plusieurs ou de l'ensemble des éléments suivants :
Le modèle des meilleures pratiques que nous avons établi est illustré au tableau 2 figurant à la page suivante et expliqué de façon détaillée à l'annexe D.
Le modèle proposé ne constitue qu'une des configurations possibles, et nous l'avons adopté parce qu'il complète les autres travaux effectués par le SCT. La liste des meilleures pratiques n'est en aucune façon exhaustive. Ainsi, les pratiques qui se sont avérées efficaces pour une organisation participante - soit parce qu'elles lui permettaient d'atteindre ses objectifs de gestion des risques soit parce qu'elles lui permettaient d'atteindre globalement ses objectifs - mais qui ne semblaient pas s'inscrire dans la configuration choisie ont tout de même été consignées. Le test définitif quant à la question de savoir si elles constituent des meilleures pratiques consiste à déterminer si elles peuvent permettre à une autre organisation d'atteindre ses objectifs de gestion des risques.
Tableau 2 : Modèle des meilleures pratiques
Notre guide d'entrevue (joint à l'annexe E) a été élaboré de concert avec la société KPMG pour que les conclusions puissent être comparables et utiles. Le guide était fondé sur le modèle, une série de questions exploratoires figurant dans les sections principales des composantes, des stratégies d'intégration et des disciplines et fonctions. Les guides de la PMN et de la KPMG contiennent quelques différences minimes destinées à faciliter la tenue des entrevues dans d'autres pays.
Nous avons conclu au cours de notre analyse que certains des critères pouvaient facilement être rattachés aux meilleures pratiques. Il est apparu évident, lorsque les organisations expliquaient leurs meilleures pratiques, qu'elles appliquaient nombre de nos critères initiaux. Toutefois, certains de ces critères pouvaient difficilement être rattachés à certaines des meilleures pratiques. Ces critères semblent se rattacher à la ' gestion des risques ' mais non à une meilleure pratique aux fins de la gestion des risques. Nos critères initiaux étaient les suivants :
Nous avons également analysé les critères énumérés ci-dessus à la lumière des conclusions préliminaires émanant de l'étude de Conseils et Vérification Canada (CVC). CVC mentionnait que les ministères avaient de nombreux ' besoins ' en matière de gestion des risques. Les critères se rapportaient à certains des besoins, mais non à tous. En conséquence notre étude tient compte de certains critères additionnels. Le fait qu'un critère quelconque pouvait être lié aux besoins ministériels était considéré comme étant une raison valable de l'inclure.
Voici la liste révisée des critères :
La présente étude avait pour objet de rechercher et de documenter les ' meilleures pratiques ' au sein des organisations qui avaient instauré le type de ' milieu de gestion des risques marqué par la maturité ' que recommandait le Groupe de travail indépendant chargé de la modernisation de la fonction de contrôleur dans l'Administration fédérale du Canada. Nous avons cherché à identifier un certain nombre d'organisations canadiennes leaders représentant les secteurs privé et public. Notre objectif était d'examiner à la fois le contexte dans lequel s'inscrivait leur exercice de la gestion des risques et de demander à ces organisations de déterminer les pratiques et les processus qui, selon elles, les avaient particulièrement aidées à atteindre leur niveau actuel de gestion des risques.
Dans le cadre de notre étude, nous avons obtenu des renseignements et de la documentation détaillés sur les meilleures pratiques auprès des principaux représentants de treize (13) organisations canadiennes un peu partout au pays, lesquelles constituaient un large éventail des activités industrielles et publiques. Dans le secteur privé, nous avons interviewé des gestionnaires du secteur des services financiers (2), du secteur des ressources naturelles (2), du secteur industriel (2), ainsi que des gestionnaires de deux services publics importants et d'un hôpital important. Dans le secteur public, nous avons interviewé les hauts fonctionnaires de deux (2) municipalités et de deux (2) provinces.
Nous avons également établi le contact avec diverses autres organisations des secteurs public et privé, qui ont confirmé qu'elles investissaient dans une gestion des risques plus stratégique. Ces organisations ont toutefois exprimé le regret de ne pouvoir participer à notre étude, le plus souvent parce qu'elles n'avaient pas le temps de se préparer et de participer pleinement à l'étude.
Dans l'ensemble, nos observations des meilleures pratiques chez les organisations que nous avons interviewées sont d'une certain intérêt et d'une certaine pertinence pour la fonction publique fédérale. Toutes ces organisations ont reconnu qu'elles ne pouvaient résister aux importantes pressions qui ont donné lieu à leurs investissements stratégiques aux fins d'une gestion des risques plus systématique : le rythme global du changement; les ressources limitées; l'insistance des parties prenantes sur une plus grande ouverture, une transparence et une responsibilisation accrues; et les pressions continues en faveur de changements organisationnels (réduction des effectifs, autorité, solutions de rechange quant à la prestation des services, etc.). Ces même types de pressions - peut-être même des pressions plus importantes - sont exercés sur les ministères et organisations de l'Administration fédérale.
Avant de décrire nos observations sur les avantages, de donner des exemples et d'expliquer les meilleures pratiques, il nous semble important de souligner que l'environnement culturel dans lequel la gestion des risques peut dans un premier temps s'exercer et par la suite devenir efficace constitue un contexte très important pour la fonction publique fédérale. Comme il en est fait mention dans l'étude Risques, innovation et valeurs, la flexibilité, la liberté d'action et l'encouragement sont nécessaires pour que l'innovation et une prise de risques réfléchie puissent s'avérer efficaces dans le cadre de la fonction publique. Comme il en est fait mention dans l'étude sur la Mise en oeuvre de la gestion des risques au sein des ministères de l'Administration fédérale, plusieurs ministères se sont dits préoccupés par le fait que la culture actuelle instaurée par les centres de décision n'était pas encore perçue comme ouvrant la voie à la flexibilité, à l'innovation ou à la prise de risques réfléchie. Même si l'administration centrale se disait désireuse d'encourager l'adoption de nouvelles façons de faire les choses, plusieurs ministères ont répondu que l'administration devait prêcher par l'exemple avant qu'ils ne commencent à prendre des risques nouveaux. En d'autres termes, des changements culturels significatifs constitueront un préalable à une gestion des risques plus efficace.
Facteurs militant en faveur de la gestion des risques
-- réduction des effectifs -- solutions de rechange quant à la prestation des services -- remplacement des gens par des systèmes |
Au-delà des changements essentiels récents au niveau réglementaire et au niveau des politiques, de nombreux facteurs militent en faveur de changements culturels au sein de la fonction publique fédérale, et on a reconnu que la plupart de ces facteurs exerçaient une influence semblable sur les changements culturels dans les organisations que nous avons interviewées, alors que celles-ci adoptaient une approche plus globale en matière de gestion des risques. Ces dernières étaient assurément conscientes du fait qu'au fur et à mesure que les répercussions des compressions d'effectifs et des restructurations se faisaient sentir, le statu quo risquait de faire augmenter le nombre d'erreurs, de fautes ou d'interruptions de service. Elles ont admis que l'ampleur des ces inévitables problèmes compromettrait l'atteinte de leurs objectifs généraux, sauf si elles changeaient leur approche pour ce qui est de la compréhension et de la gestion de leurs risques stratégiques et, ce faisant, si elles imposaient des changements culturels.
Le gouvernement fédéral a effectué la majeure partie de son importante restructuration plusieurs années après que le secteur privé eut procédé à la sienne. Cela est arrivé fortuitement. Il est possible pour la fonction publique fédérale de tirer des leçons et d'éviter des problèmes en favorisant maintenant une compréhension et une gestion des risques plus globales. Toutefois, malgré les pressions exercées aux fins de l'adoption de changements culturels, les intervenants fédéraux pourraient ne pas avoir les mêmes attentes à ce stade-ci, parce que les risques et les conséquences associés à la restructuration et à la réduction des effectifs n'ont pas été pleinement évalués et compris au moment où les décisions ont été prises. En outre, les compromis qui doivent et qui devront être faits n'ont peut-être pas encore été expliqués aux parties prenantes de façon à ce que ces dernières puissent mieux comprendre les risques, les possibilités et les options. Les fonctionnaires se retrouvent dans une situation embarrassante : ils doivent maintenant faire des choix impliquant des compromis touchant les intérêts du public, tout en sachant que les intervenants-clés (le public, les médias, les politiciens) n'ont peut-être pas encore compris ces choix ou ne sont peut-être pas prêts à les accepter, bien qu'il ne soit plus possible de revenir à un environnement caractérisé par une absence de risque.
Une question fréquemment posée par les organisations qui en sont à la phase préliminaire de leur étude de la gestion des risques est la suivante : ' Pouvez-nous nous indiquer les avantages d'une gestion globale des risques et nous donner de bons exemples? ' Avant de décider d'investir des ressources financières ou humaines dans le cadre d'une nouvelle initiative, tout gestionnaire consciencieux doit poser cette question, en partie en raison du besoin d'utiliser de façon judicieuse les ressources que l'organisation a déjà investies. En outre, tout gestionnaire compétent doit s'assurer, avant d'adopter (ou même d'envisager) un plan d'action susceptible d'entraîner des changements importants quant à la façon d'atteindre les objectifs de l'organisation, que sa décision est fondée sur un motif valable et qu'il est en mesure de communiquer ce motifs aux autres.
Dans nos observations, nous trouvons plusieurs réponses relativement simples à cette double question :
Par exemple, plusieurs organisations ont créé des organismes de surveillance au niveau supérieur, qu'elles ont chargés du contrôle du processus et des investissements dans le cadre d'une gestion des risques systématique au sein de leur organisation. Dans la plupart des cas, ils sont également responsables de l'examen et de l'appréciation (ou de l'opposition à l'appréciation de l'organisation) des risques ainsi que des stratégies d'atténuation en cause dans toute nouvelle initiative importante de l'organisation.
Par exemple, une des organisations réunit des groupes et des experts dans le cadre des séances de formation par l'action (par ex. des ingénieurs, des opérateurs, du personnel d'entretien ou du personnel des services juridiques, etc.). Non seulement leur expérience et leur expertise variées sont-elles utiles à l'analyse des risques, mais encore leur participation cadre-t-elle avec l'objectif d'intégration de la prise de décision fondée sur le risque dans les préoccupations et les activités quotidiennes à tous les niveaux de l'organisation. Ils indiquent que la participation des spécialistes et les perspectives générales des divers groupes d'intérêt les aident à mieux comprendre, au moyen de scénarios tirés de la réalité et auxquels ils peuvent s'identifier, si une approche quantitative, semi-quantitative ou empirique doit être adoptée pour ce qui est de la prise de décision. Cette démarche assure une adhésion plus soutenue envers les décisions lorsqu'elles sont prises.
Une autre organisation, ayant adopté une approche consistant à apprécier les risques et à entreprendre une planification préparatoire avec une organisation partenaire, est arrivée à la conclusion que le partenariat qui était envisagé n'était pas véritablement avantageux pour elle. Si elle n'avait pas adopté cette approche, elle aurait pu être liée par un contrat qui la plaçait dans une position intenable, et être tenue de supporter des coûts additionnels importants pour se sortir après coup de cette situation.
Par exemple, l'application d'un processus formel de gestion des risques a entraîné une réduction des incidents reliés à la sécurité du public au sein d'une organisation participante : dans la première année qui a suivi, les incidents ont été ramenés de 21 à 2 (et le nombre d'incidents n'a pas augmenté par la suite). Cela s'est traduit pour l'organisation par une diminution du nombre de réclamations et de litiges ainsi que des frais juridiques que cela impliquait, et par une confiance accrue du personnel de première ligne par le biais d'une plus grande autorité et d'un contrôle plus important sur les décisions. En outre, les intéressés ont entrepris des démarches auprès du centre de gestion des risques pour obtenir plus d'' outils ' et de soutien aux fins des autres aspects présents dans leur milieu de travail, au lieu d'attendre qu'il leur soit demandé de procéder à de telles évaluations.
Une autre organisation a recours à la planification par scénarios en vue d'anticiper ce qui pourrait advenir ailleurs dans le monde relativement à ses sources globales de risques (à l'égard desquelles elle n'a pratiquement aucun contrôle). Le scénario le plus plausible peut alors être utilisé comme contexte aux fins de l'élaboration des plans d'entreprise annuels et des autres plans opérationnels de l'organisation.
Par exemple, le processus officiel d'une organisation a valu à celle-ci la désignation de leader de l'industrie pour ce qui est de la préparation de l'avenir, avec les retombées économiques que cela implique (primes d'assurance moins élevées et confiance accrue des intervenants).
Par exemple, une organisation a établi un plan de communication interne et externe interconnecté aux fins de la communication de ses risques. Selon elle, plus les intervenants-clés et les personnes avec lesquelles elle fait affaire en savent sur la façon dont elle priorise et gère ses risques, plus ils auront confiance pour ce qui est des produits et services qu'elle offre. Si elle publie son plan stratégique quinquennal et son plan d'entreprise annuel, c'est à l'intention de ses actionnaires et de ses clients. Ces plans sont reliés à ses systèmes internes de planification et de communication de façon à ce que chaque secteur et unité sache de quelle manière sa gestion particulière de ses propres risques contribue à l'atteinte globale des objectifs de l'entreprise.
Plusieurs entreprises du secteur privé rendent maintenant compte de façon détaillée de leurs risques-clés et de leurs orientations stratégiques dans leurs rapports annuels aux actionnaires et aux organismes de contrôle. L'une d'elles consacrait plus de 10 p. cent de son rapport annuel (11 pages) à la communication de ses risques particuliers et à la façon dont elle faisait face à chacun de ceux-ci, traitant de questions telles que la structure organisationnelle, la catégorisation des différents risques et le processus de gestion des risques.
Malheureusement, ces descriptions relativement brèves et essentiellement qualitatives d'avantages qui vont intuitivement de soi ne satisfont pas pleinement certains gestionnaires. Ils continuent à exiger, avec une insistance croissante, un degré de certitude, des données justificatives, des certifications, des garanties ainsi que des preuves susceptibles d'être reproduites établissant que cette approche plus systématique sera couronnée de succès dans chacune de leurs situations particulières, dans tous leurs environnements particuliers. Ce besoin naturel d'obtenir toujours plus de certitude témoigne en partie de la nécessité d'adopter une nouvelle méthode de gestion permettant aux employés de mieux comprendre les risques inhérents et émergents dans leur environnement - et par conséquent de les accepter davantage - avant qu'ils ne puissent commencer à prioriser et à gérer leurs choix avec une plus grande efficacité. Ce besoin atteste également le fait que les attitudes ancrées (le désir de minimiser les risques à tout prix avant d'agir) sont encore bien présentes dans certains domaines et constitue en soi un obstacle à l'adoption d'un nouveau paradigme, plus systématique, en ce qui a trait à la gestion des risques.
Ce qui suit ne convaincra probablement pas les personnes les plus entêtées (qui exigent d'abord des preuves), mais il nous est apparu évident que chacune des organisations participantes, aussi bien celles du secteur public que celles du secteur privé, était convaincue que le fait d'investir du temps, de l'argent et des ressources en personnel aux fins d'une gestion des risques plus systématique l'avait aidé à atteindre ses objectifs. Aucun des répondants n'a dit regretter de s'être engagé dans cette voie; aucun d'eux n'a laissé entendre qu'il soupçonnait que la gestion des risques était simplement une version des ' nouveaux habits de l'empereur nu ' des années 90. Ces organisations perçoivent encore les avantages à moyen et à long termes ainsi que les résultats directement attribuables à la gestion des risques et témoignent ainsi de leur satisfaction, ainsi que de celle de leurs intervenants-clés, quant à la valeur de leurs investissements passés et actuels.
Certaines pressions ont été exercées dans le secteur privé en vue d'une plus grande ouverture et d'une plus grande transparence relativement à la reddition de compte en matière de gestion des risques par suite des directives établies par les marchés boursiers canadiens (voir le Résumé du document-clé no 11). Bien que ces directives aient pu constituer un des éléments de motivation de fond pour les organisations du secteur privé, aucun des répondants n'a indiqué que c'était pour cette raison que leur organisation s'était engagée dans la gestion des risques ou que le fait de se conformer à ces directives avait procuré quelque avantage à cette dernière. Depuis maintenant plusieurs années, le vérificateur général encourage de la même manière les ministères et organisations de l'Administration fédérale à prendre davantage conscience des risques qu'ils prennent et de la façon dont ils sont gérés et à faire preuve de plus de transparence à l'égard de la communication des risques.
Toutes les organisations sauf une ont mentionné une ou plusieurs meilleures pratiques pouvant vraisemblablement être utiles à l'Administration fédérale. Elles ont en tout fait état de vingt-cinq (25) meilleures pratiques. Toutefois, certaines organisations ayant proposé les mêmes pratiques ou des pratiques similaires, dix-neuf (19) meilleures pratiques distinctes ont en fait été retenues.
Notre analyse des documents nous a permis de cerner cinq (5) meilleures pratiques énumérées récemment dans la documentation canadienne et les autres ouvrages de référence. Trois (3) de celles-ci ont par ailleurs été mentionnées par les organisations participantes.
Nous avons par conséquent compté 21 (19 + 2) meilleures pratiques distinctes. Pour permettre au lecteur de mieux prendre connaissance du contexte et de la description de chacune des pratiques, nous avons dressé le tableau 3, qui renvoie chaque meilleure pratique aux rapports sommaires d'entrevues ou aux résumés des documents-clés figurant respectivement aux annexes B et C.
Tableau 3 : Tableau de référence des meilleures pratiques
Meilleures pratiques |
Rapports sommaires d'entrevues | Résumés des documents-clés |
1. Engagement de la haute direction | 1, 3, 5 | 2 |
2. Ateliers face à face pour assurer l'adhésion des cadres supérieurs | 1,4 | |
3. Cibler des domaines se prêtant naturellement à la gestion des risques | 12, 13 | |
4. Séances d'auto-évaluation des risques/du contrôle | 4, 8 | |
5. Formation et soutien axés sur l'apprentissage par l'action | 6, 13 | |
6. Planification/communication des risques | 3 | |
7. Se concentrer d'abord sur une compétence de base | 6 | |
8. Message relatif aux assises et surveillance | 10 | |
9. Cadre stratégique de gestion des risques | 10 | 2 |
10. Initiative dirigée par des cadres compétents et engagés | 1 | |
11. Perception des risques et communication des risques | 3, 4, 6, 8, 10 | |
12. Modèle de risques | 2 | |
13. Attention soutenue à l'égard du processus de gestion des risques | 5 | |
14. Comité de gestion des risques | 2 | |
15. Utilisation des meilleurs éléments de la structure en place | 11 | |
16. Bureau indépendant | 3 | |
17. Guide complet de gestion des risques | 2 | |
18. Programme de formation sur mesure | 2 | |
19. Définir clairement le risque | 5 | 2, 3, 9 |
20. Planification par scénarios | 9 | |
21. Participation des partenaires à la planification | 9 |
Il nous est apparu qu'une liste de vingt et une (21) meilleures pratiques pouvait sembler décourageante aux intéressés, tant au point de vue du nombre que de la diversité. Nous n'avons exclu aucune des meilleures pratiques proposées, étant donné qu'elles pouvaient pratiquement toutes être reliées à l'un quelconque des critères d'applicabilité initialement relevés et examinés par le groupe consultatif. Il est toutefois évident qu'il est nécessaire d'effectuer un groupement des meilleures pratiques et de cerner les groupes de pratiques auxquels il convient d'accorder la plus haute priorité avant que les ministères ou les organisations ne puissent commencer à évaluer leur applicabilité à leur situation particulière.
Le modèle des meilleures pratiques constitue un bon point de départ aux fins du groupement de celles-ci. Le modèle renferme deux groupes : les composantes (structurelles) et les stratégies de mise en oeuvre de la gestion des risques. Le modèle renferme également un troisième groupe, disciplines et fonctions, à l'égard desquelles la gestion du risque est souvent appliquée au niveau opérationnel avant qu'elle ne soit adoptée comme stratégie applicable à l'organisation dans son ensemble.
Dans l'ensemble, les organisations participantes estimaient qu'elles en étaient aux premiers stades quant à l'élaboration de pratiques de gestion des risques plus efficaces. Ainsi, le genre de questions qu'elles abordent tournent autour de l'établissement de composantes (structurelles) et de stratégies de mise en oeuvre de la gestion de risques qui soient appropriées.
Plusieurs des organisations participantes ont estimé que l'inclusion des éléments figurant dans le modèle des meilleures pratiques était bien inspirée, mais elles ne se reportaient habituellement pas au modèle en vue de déterminer leurs meilleures pratiques. Elles n'ont pas non plus indiqué quel élément du modèle des meilleures pratiques se rapportait à la meilleure pratique qu'elles désignaient.
Néanmoins, étant donné que les stratégies structurelles et les stratégies de mise en oeuvre sont logiquement associées à l'élaboration d'une nouvelle initiative, nous avons énuméré au tableau 4, ci-dessous, les meilleures pratiques qui se rapportaient aux éléments du modèle d'après les meilleures estimations auxquelles en est arrivé le groupe de travail (voir la description détaillée de chacun des éléments à l'annexe D). Les ministères qui en sont au premier stade pour ce qui est de l'élaboration de l'initiative qu'ils appliqueront en matière de gestion des risques pourront, en se reportant aux éléments pertinents du modèle, facilement repérer les meilleures pratiques qui sont le plus susceptibles d'être appliquées selon le stade où ils sont rendus.
Tableau 4
Stratégies du modèle des meilleures pratiques | Meilleures pratiques |
Stratégies structurelles : | |
a) Communication des objectifs et des valeurs |
|
b) Responsabilité partagée quant à la gestion des risques et à l'encouragement à l'adhésion |
|
c) Ensemble de l'organisation | |
d) Diverses stratégies | |
e) Contrôle et communication aux cadres supérieurs, au conseil d'administration et aux parties prenantes |
|
Stratégies de mise en oeuvre : | |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Disciplines et fonctions : | Les mesures initiales d'intégration de la gestion des risques ont, d'après les organisations participantes, le plus souvent été prises dans le domaine de la planification |
Chaque meilleure pratique désignée par les répondants était de toute évidence considérée comme étant une priorité pour l'organisation. Toutefois, dans le cas de la fonction publique fédérale dans son ensemble ou d'un organisme en particulier, les meilleures pratiques désignées n'ont pas toutes nécessairement la même valeur ou le même impact. Les priorités dépendent de plusieurs facteurs, notamment le mandat de l'organisation, sa compétence actuelle en matière de gestion des risques, la façon dont l'impact du rythme du changement se fait sentir sur l'organisation, les relations avec les principaux intervenants et les attentes de ceux-ci, etc.
Comme nous l'avons déjà mentionné, la valeur des ' critères d'applicabilité ' initialement retenus était limitée lorsqu'il s'agissait de classer et de grouper les 21 meilleures pratiques mentionnées. Les critères étaient tout simplement trop vastes et insuffisamment gradués pour qu'il soit possible de classer ou de grouper les pratiques désignées ou même d'en exclure certaines. Pourtant, manifestement, pour que le Secrétariat du Conseil du Trésor et les autres ministères de l'Administration fédérale puissent être en mesure de faire le tri des conclusions et de les utiliser, il doit y avoir certains autres critères selon lesquels les 21 meilleures pratiques peuvent être jaugées.
Pour ce qui est du secteur public fédéral, et de la plupart des ministères et organismes, nous croyons que le changement de culture - soit le passage de l'évitement et du contrôle des risques à une gestion des risques plus étendue - représente le plus important défi à relever au regard de l'instauration et du maintien d'un ' milieu de gestion des risques mature '. Par conséquent, nous estimons que la facilitation du changement de culture constitue le plus important critère aux fins de l'évaluation de l'applicabilité des meilleures pratiques désignées. Onze (11) des meilleures pratiques ont été considérées comme utiles aux fins de ce critère. Plusieurs des ministères dont les résultats sommaires ont été présentés dans l'étude de Conseils et Vérification Canada en ont également souligné l'importance.
Le groupe de travail a également établi huit autres critères, partiellement à partir de la liste initiale, partiellement d'après la rétroaction dont faisait état l'étude de CVC au sujet des besoins des ministères et des obstacles auxquels ces derniers faisaient face, partiellement à partir de la documentation, et, enfin, d'après la connaissance que le groupe de travail avait des autres ministères fédéraux relativement à cette question et d'après l'interaction du groupe de travail avec ceux-ci. Au tableau 5, nous proposons un ordre quant aux autres critères. Ceux-ci pourront à l'avenir s'avérer utiles pour fins de mise au point et d'orientation relativement à toute meilleure pratique additionnelle, quoique cela nécessiterait vraisemblablement une consultation interministérielle.
Tableau 5 : Matrice des meilleures pratiques/critères d'applicabilité
Critères d'applicabilité
Meilleures pratiques |
1. Facilitation des changements de culture | 2. Promouvoir un climat de solidarité - ' joindre le geste à la parole ' | 3. Favoriser la responsabilisation | 4. Questions à aborder : avantages et ressources | 5. Favoriser la communication avec les intervenants-clés | 6. Bâtir sur les connaissances et les pratiques actuelles | 7. Questions à aborder : outils, formation et expertise | 8. Recours à un langage commun | 9. Faciliter la compréhension des risques |
1. Engagement de la haute direction (3) 1 (1) 2 | U | U | U | U | |||||
2. Ateliers face à face pour assurer l'adhésion des cadres supérieurs (2) 1 | U | U | U | U | U | U | |||
3. Cibler des domaines ' se prêtant naturellement ' à la gestion des risques (2)1 | U | U | U | U | U | ||||
4. Séances d'auto-évaluation des risques/du contrôle (2) 1 | U | U | U | U | |||||
5. Formation et soutien axés sur l'apprentissage par l'action (2) 1 | U | U | U | U | U | U | |||
6. Planification/communication des risques | U | U | U | U | U | U | |||
7. Se concentrer d'abord sur une compétence de base | U | U | U | U | U | U | U | ||
8. Messages relatifs aux fondements et surveillance | U | U | U | U | U | U | |||
9. Cadre stratégique de gestion des risques (1) 1(1) 2 | U | U | U | U | U | ||||
10. Initiative dirigée par des cadres compétents et engagés | U | U | U | U | U | U | |||
11. Perception et communication des risques (5) 2 | U | U | U | U | |||||
12. Modèle de risques (déterminer les sources) | U | U | U | ||||||
13. Attention soutenue à l'égard du processus de gestion des risques | U | U | |||||||
14. Comité de gestion des risques | U | ||||||||
15. Utilisation des meilleurs éléments de la structure en place | U | U | U | ||||||
16. Bureau indépendant | U | ||||||||
17. Guide complet de gestion des risques | U | U | U | U | |||||
18. Programme de formation sur mesure | U | U | |||||||
19. Définir clairement ' risque ' (1) 1 (3) 2 | U | U | |||||||
20. Planification par scénarios | U | ||||||||
21. Participation des partenaires à la planification | U | U |
1 Indique le nombre de mentions à titre de meilleure pratique au
cours des entrevues
2 indique le nombre de mentions à titre de meilleure pratique
figurant dans les documents-clés
La présente section présente certaines des conclusions-clés que le groupe de travail estimait utile de souligner, tirées de la grande quantité de données obtenues et de documents consultés dans le cadre de la présente étude.
1. Le modèle des meilleures pratiques devrait être redéfini dans un cadre de gestion des risques pour orienter les ministères sur la façon d'aborder les répercussions organisationnelles/ stratégiques ainsi que les répercussions sur le processus de gestion des risques découlant de toute initiative qu'ils pourraient entreprendre.
2. Le Secrétariat du Conseil du Trésor devrait faire passer le message suivant en ce qui concerne la gestion des risques :
3. Aux fins de l'approche qu'il préconise en matière de gestion des risques, le Secrétariat du Conseil du Trésor devrait encourager les ministères à fonder leur gestion des risques sur une combinaison des mesures touchant l'organisation dans son ensemble (p. ex. les liens qui existent entre la planification et la reddition de comptes, l'appréciation des risques élevés) et des mesures particulières (p. ex. la gestion permanente des projets importants).
4. Le Secrétariat du Conseil du Trésor devrait adopter une définition de ' risque ' et expliquer comment cette définition traite de la façon d'aborder les retombées aussi bien favorables que défavorables.
Annexe A |
Canada Trust Toronto (Ontario) |
CCL Industries Inc. Willowdale (Ontario) |
Hospital for Sick Children Toronto (Ontario) |
Hydro-Québec Montréal (Québec) |
Banque de Montréal Toronto (Ontario) |
NAV CANADA Ottawa (Ontario) |
Noranda Inc. Toronto (Ontario) |
NOVA Chemicals Inc. Calgary (Alberta) |
Gouvernement de l'Ontario
|
Ville d'Ottawa Ottawa (Ontario) |
Petro-Canada Calgary (Alberta) |
Gouvernement du Québec Bureau du vérificateur général du Québec Québec (Québec) |
Ville de Winnipeg Winnipeg (Manitoba) |
Annexe B |
Sommaire d'entrevue, rapport no 1 : organisation du secteur privé
Cette organisation a pris plusieurs initiatives pour améliorer sa gestion des risques. Ces efforts ne sont pas guidés par un seul et même objectif stratégique organisationnel servant de repère pour discerner les meilleures pratiques. La gestion des risques demeure néanmoins très importante pour cette entreprise, qui considère certaines de ses méthodes comme des pratiques exemplaires en raison de leur transférabilité de leur très importante contribution à la bonne marche du processus d'amélioration de la gestion des risques au sein de l'organisation.
Meilleures pratiques
L'engagement de la haute direction est la première des meilleures pratiques de cette organisation. Cet engagement, exprimé dans une lettre du directeur général (DG) au personnel et énoncé avec plus de détails dans le document de planification stratégique de l'organisation, s'est manifesté de plusieurs façons dont l'une des plus notables était de préciser que l'initiative exigeait un décloisonnement des traditionnels ' silos fonctionnels ' et s'échelonnerait sur trois ans.
Le recours à des ateliers face à face pour assurer l'adhésion des cadres supérieurs est aussi au nombre des meilleures pratiques mentionnées par cette organisation. La communication face à face s'est révélée très efficace pour aider les dirigeants de l'organisation à comprendre l'initiative pour pouvoir ensuite s'engager à créer un environnement stimulant fondé sur cette compréhension.
Enfin, l'organisation considère aussi comme une pratique exemplaire le fait quel'initiative est dirigée par un cadre supérieur compétent et engagé. Le fait même d'amorcer une initiative de gestion des risques crée un contexte de prise de risques allant du sommet vers la base. Dans un sens, aux yeux du personnel de l'organisation, le directeur général prêche par l'exemple en parrainant l'initiative. La nomination d'un gestionnaire supérieur compétent à la tête de l'initiative est la méthode choisie par le directeur général pour gérer ce risque. On a d'ailleurs observé un niveau de confiance accru au sein de l'entreprise.
On a également discuté des bonnes pratiques appliquées dans le cadre de cette initiative. La première consiste à modifier la marche à suivre des projets pour exiger que l'on effectue une évaluation des risques avant de mettre des changements ou des décisions en oeuvre, compte tenu de certaines restrictions financières. La deuxième consiste en l'adoption du processus Q850 de l'Association canadienne de normalisation (ACNOR). Ce processus permet de gagner du temps en évitant à l'organisation de concevoir sa propre méthode, et met l'accent sur la communication des risques, activité importante pour l'organisation.
Sommaire d'entrevue, rapport no 2 : organisation du secteur public
Cette organisation du secteur public a décidé, en 1992, de délaisser la gestion des risques basée sur les assurances pour adopter une orientation plus proactive. La philosophie de l'organisation a évolué en plusieurs étapes, à commencer par l'établissement d'une politique sur la sécurité personnelle pour aboutir à une politique sur la gestion des risques. L'objectif de l'organisation en matière de gestion des risques consiste essentiellement à réduire les obligations et les réclamations. L'organisation a vendu à d'autres organisations gouvernementales canadiennes et américaines la trousse de formation qu'elle a conçue et adaptée aux besoins particuliers de ses différents services.
Meilleures pratiques
L'élaboration d'un guide complet de la gestion des risques, conformément à l'énoncé de politique sur la gestion des risques approuvée par l'organisation, est considérée comme une pratique exemplaire parce qu'elle contribue à l'atteinte de l'objectif fixé en matière de gestion des risques. Ce guide, révisé annuellement et constitué en grande partie d'exemples de vérifications que le personnel doit faire et de listes de contrôle qu'il doit utiliser (et qu'il conserve comme documents de référence), englobe presque tous les aspects des activités de l'organisation. Il a été distribué dans tous les services et peut être consulté sur le réseau Intranet.
Un programme de formation sur mesure, obligatoire pour le personnel de première ligne et les gestionnaires, est également considéré comme une pratique exemplaire. Ce programme comporte plusieurs éléments intéressants, dont des études de cas, une vidéo réalisée à l'interne, une formation en milieu de travail et la participation de gestionnaires supérieurs aux exposés présentés au personnel (preuve de l'engagement de la haute direction). La formation est interactive, et ce, pour favoriser la participation directe du personnel, et la majeure partie de la matière est dispensée par des spécialistes de l'organisation. On a conçu, dans le cadre de cette formation, un jeu sur la gestion des risques qui peut aussi servir de récapitulation générale pour les ' diplômés '.
Le processus de gestion des risques est entièrement supervisé par un comité de gestion des risques composé de membres représentatifs de l'ensemble des cadres supérieurs, dont certains siègent au comité sur une base d'alternance. Le comité se réunit deux fois l'an pour examiner les tendances observées et les résumés d'incidents, déterminer les nouvelles mesures et vérifications nécessaires et faire une analyse rétrospective des incidents graves afin d'en tirer les leçons qui s'imposent.
Le comité de la haute direction a approuvé un énoncé de politique sur la gestion interne des risques au début de la mise en oeuvre. La personne responsable de la majeure partie de la conception et de l'application du processus organisationnel possède une vaste expérience de la gestion des risques et est très motivée. Cette personne, qui a d'abord acquis son expérience de la gestion des risques dans les domaines des assurances et de la sécurité, au sein de l'organisation, exerce actuellement des fonctions juridiques et bénéficie d'un solide appui de la direction.
Sommaire d'entrevue, rapport no 3 : organisation du secteur privé
Cette entreprise privée a pris l'initiative d'investir de façon plus directe dans la gestion de ses principaux risques en formant, en décembre 1997, un nouveau groupe organisationnel pour diriger cette tentative. Ils estiment en être aux premiers stades de la mise en oeuvre transorganisationnelle, mais ils ont un plan bien défini et ont investi dans de solides processus internes de base. L'organisation élabore des stratégies précises visant à élargir la mise en oeuvre, à commencer par la participation, dès le départ, de tout le personnel de gestion de l'entreprise pour, finalement, faire participer l'ensemble du personnel.
Meilleures pratiques
L'organisation considère la communication intégrée des risques à plusieurs niveaux comme l'une de ses meilleures pratiques. Cette communication débute au niveau le plus élevé par un plan stratégique échelonné sur cinq ans. On a défini les ' risques et possibilités ' et on a classé les risques à gérer par ordre de priorité. Chaque unité et chaque gestionnaire produisent un rapport interne qui énonce les risques et les possibilités propres à leurs activités ainsi que les mesures prévues pour atténuer ces risques et les méthodes à utiliser pour mesurer l'incidence des interventions. Au moins un rapport officiel de gestion des risques est présenté chaque année au conseil d'administration. En outre, on prépare pour le sous-comité des finances et de la vérification trois ou quatre rapports par année sur la gestion des risques stratégiques prioritaires.
L'engagement de la haute direction est également considéré comme une pratique exemplaire. Les premières réalisations de l'entreprise dans ce domaine ont été dirigées de main de maître par deux cadres dirigeants (chef de la direction et le président), ' champions du risque au conseil d'administration '. Ce degré d'engagement est nécessaire lorsqu'une initiative laisse entrevoir des changements stratégiques dans les méthodes de gestion de l'entreprise ainsi que des changements dans la culture organisationnelle.
La dernière des meilleures pratiques mentionnées par cette organisation est son bureau indépendant de gestion des risques. Créé en 1997, ce bureau n'est pas affilié au service de la vérification ni au Bureau du contrôleur et relève du vice-président des finances. Les responsables du bureau, à titre de ' partenaires consultants ', aident les gestionnaires de l'entreprise à régler les questions relatives à la gestion des risques et à mettre en oeuvre les processus d'identification et d'évaluation. Le bureau a formé un groupe de travail consultatif interne représentant tous les secteurs de l'entreprise et a récemment établi un programme de communication et d'information destiné à l'ensemble du personnel. On élabore également un site Intranet ainsi que des trousses de formation pour faciliter le déroulement de l'initiative à mesure qu'elle apparaît au bilan de l'entreprise, et ce, afin de s'assurer que toutes les personnes concernées comprennent le nouveau concept et ses applications dans leurs domaines de compétence respectifs.
Sommaire d'entrevue, rapport no 4 : organisation du secteur public
On est conscient depuis quelques années de la nécessité d'une gestion stratégique des risques. L'organisation a amorcé des initiatives visant à remanier les activités de planification et à y intégrer des fonctions de repérage et d'évaluation des risques. Dans l'ensemble, on considère que l'organisation en est aux premières étapes du processus et qu'il reste encore beaucoup à faire.
Un secteur de cette organisation a entrepris, localement, de mieux intégrer la gestion des risques au processus de planification. La conclusion tirée de ces initiatives locales est que la gestion des risques doit se faire de façon continue et non pas seulement dans le cadre des activités de planification opérationnelle, et qu'elle doit faire partie des compétences obligatoires pour tout le personnel. On a aussi observé que le temps consacré à la formation du personnel sur les risques et le contrôle représente un investissement rentable car, pour être efficace, la gestion des risques doit d'abord être bien comprise.
Meilleures pratiques
Cette organisation considère sa démarche ' pratique ' de sensibilisation de la haute direction comme une pratique exemplaire. L'appui des dirigeants est essentiel à la bonne marche de toute nouvelle initiative. On a réuni de petits groupes de gestionnaires supérieurs pour leur expliquer l'initiative et s'assurer de leur compréhension et de leur soutien.
On a aussi mentionné, au chapitre des meilleures pratiques, les séances de contrôle et d'évaluation des risques, qui aident les unités de travail à intégrer la gestion des risques à leur planification opérationnelle. Les séances de contrôle et d'évaluation des risques constituent en soi un cadre structuré qui permet au personnel d'une unité de travail, avec l'aide d'un animateur, de repérer les risques et de déterminer les moyens de contrôle appropriés. Cette démarche structurée a aidé le personnel à définir les principaux points à examiner et, selon le répondant, a conféré plus de crédibilité aux résultats.
Sommaire d'entrevue, rapport no 5 : organisation du secteur privé
Cette organisation canadienne pratique la gestion des risques financiers depuis longtemps. On souligne toutefois que l'organisation a toujours suivi une méthode très spécialisée, principalement axée sur la quantification des risques et leur lien avec le capital de base de l'entreprise. On a récemment entrepris de définir, avec la haute direction, les autres risques importants courus par l'organisation. Le rapport annuel de 1998 comporte un énoncé selon lequel le risque peut et doit être pris en compte dans toutes les décisions opérationnelles plutôt que d'être géré séparément. L'organisation a indiqué certaines de ses meilleures et de ses bonnes pratiques.
Meilleures pratiques
On considère l'engagement et l'attention soutenue de la haute direction à l'égard du processus de gestion des risques comme l'une des meilleures pratiques de l'organisation en ce qu'elle contribue à mieux répartir la gestion des risques. On a formé un comité de cadres supérieurs pour la gestion des risques auquel siègent le directeur général et le directeur des finances et qui dirige et surveille le processus de gestion des risques dans l'ensemble de l'entreprise. On évalue aussi les nouveaux projets d'envergure proposés afin d'assurer la gestion des répercussions trans-organisationnelles qu'entraîne le développement de nouvelles possibilités sans compromettre les objectifs financiers généraux de l'entreprise.
Une autre des meilleures pratiques de cette organisation consiste à définir clairement les risques liés à l'atteinte de ses objectifs généraux avant d'affecter des ressources à la mesure et à la gestion de ces risques. Après avoir suivi cette démarche, l'entreprise a amélioré sa structure organisationnelle afin de pouvoir surveiller et mesurer ses risques actuels et progressifs et prendre les mesures requises.
L'organisation juge nécessaire de mesurer les risques préalablement définis pour être en mesure de les gérer. Pour les principaux facteurs de risque stratégique, on utilise des indices de mesure perfectionnés et complets tant pour informer la direction des questions à régler que pour faire le suivi des résultats des mesures d'atténuation des risques. Le résultat général du processus est communiqué aux parties intéressées dans le rapport annuel de l'organisation.
Le rapport annuel de 1998 contient un compte rendu étoffé sur la gestion des risques. Les actionnaires peuvent y trouver onze (11) pages de détails concernant notamment la structure, les catégories et le processus de gestion des risques ainsi qu'un exposé détaillé sur chacun des principaux domaines de risque et la méthode générale de gestion utilisée dans chaque cas. On estime que cette information contribue à augmenter la confiance des actionnaires et des clients dans l'aptitude de l'organisation à accroître la valeur des actions et à protéger l'avoir des clients.
L'organisation dit avoir investi dans sa stratégie de gestion des risques en affectant à chaque unité de travail des spécialistes du risque chargés exclusivement d'évaluer les écarts de rendement et de soutenir les activités de l'entreprise.
Sommaire d'entrevue, rapport no 6 : organisation du secteur privé
Cette société canadienne a reconnu les avantages d'une gestion intégrée de tous les risques liés aux activités d'une entreprise. De façon générale, l'objectif fixé pour améliorer la gestion des risques consiste à établir, dans l'ensemble de l'organisation, un processus global permettant de déterminer les risques externes et internes et d'en assurer la gestion par une analyse structurée et systématique des risques, des conséquences et des possibilités. On a fait un exposé à la haute direction pour obtenir l'autorisation d'amorcer l'initiative. D'après sa propre auto-évaluation, l'organisation en est encore à l'élaboration initiale du processus.
Meilleures pratiques
Cette organisation a choisi de se concentrer d'abord sur une compétence de base et considère cette stratégie comme une de ses meilleures pratiques. Il faut assurer le bon déroulement du processus avant de lui donner de l'ampleur. On travaille au début avec une quantité limitée d'information et de ressources, jusqu'à ce que le processus et les concepts deviennent familiers, puis on peut envisager de les élargir. Cette perspective permet de ' garder l'oeil sur la balle ' et de ne pas se retrouver dépassé par une charge de travail trop ambitieuse. Le développement d'une compétence de base implique notamment de ne pas chercher à cerner tous les risques en même temps. L'organisation recommande de résister à la tendance voulant que l'on formule un profil des risques organisationnels dès le départ.
La formation et le soutien axés sur l'apprentissage par l'action constituent une autre méthode que cette organisation juge particulièrement efficace. On ne doit pas trop se soucier des concepts et des méthodes au tout début. Les premières séances de formation ont produit de bons résultats parce qu'elles portaient sur des activités ciblées qui se prêtent naturellement à la gestion des risques. La formation initiale consiste essentiellement en un soutien pratique prodigué par le groupe cadre au groupe cible, qui assimile le processus en l'appliquant à son champ d'activité particulier. Une fois que le processus est bien compris, on offre des cours de gestion des risques où l'on peut intégrer des concepts et des outils. Il est plus facile d'amener les gens à changer leur vision des choses en changeant d'abord leurs méthodes de travail.
L'organisation a également mentionné, au chapitre des bonnes pratiques, le fait de choisir les personnes les mieux qualifiées pour amorcer l'initiative ainsi que l'élaboration d'un plan de gestion des risques. L'apport de personnes compétentes connaissant bien la gestion des risques est essentiel dans les premiers stades. Dans le cas présent, les personnes choisies travaillaient pour la plupart dans les domaines des finances, des services juridiques et des assurances. La formulation d'un plan de gestion des risques permet aux intervenants de s'entendre sur les plans et objectifs à établir, puis de les élaborer en consultation avec la haute direction.
Sommaire d'entrevue, rapport no 7 : organisation du secteur privé
Cette organisation suit des pratiques bien établies de gestion des risques dans un de ses principaux domaines d'activité. La gestion des risques n'est pas pratiquée de façon globale dans l'ensemble de l'organisation, mais on a discuté de la nécessité d'élargir le processus. Le bien-fondé d'une démarche plus holistique est bien compris par le conseil d'administration. Parmi les avantages prévus de la globalisation du processus, l'organisation mentionne l'assurance d'avoir des garanties adéquates, de prendre des mesures appropriées en cas d'atteinte à sa réputation et de tenir compte de tous les risques clés.
L'organisation s'apprête à entreprendre l'élaboration de sa vision globale et reconnaît qu'il sera difficile de faire accepter cette initiative. Pour en faciliter l'adoption, le groupe qui parraine le projet s'emploie à créer un climat de collaboration avec le groupe opérationnel qui a acquis une solide expérience de la gestion des risques dans l'exercice de ses fonctions.
L'organisation n'avait pas de meilleures pratiques à recommander, ayant à peine entamé l'élaboration de son processus global, mais a néanmoins suggéré, à titre de bonnes pratiques, certaines des méthodes qu'elle envisage d'adopter.
L'organisation compte effectuer une analyse de risques. Pour ce faire, on examinera les pratiques actuelles de gestion des risques stratégiques dans l'ensemble de l'entreprise et on déterminera l'incidence de ces pratiques ainsi que les besoins de chaque secteur. Les résultats de cette analyse serviront à évaluer l'écart entre les besoins constatés et les compétences et pratiques actuelles. L'organisation possède déjà certains paramètres bien définis, des compétences et des outils de mesure des risques ainsi que des mécanismes généraux de communication des risques. On compte mettre en valeur les systèmes qui sont déjà en place plutôt que d'y ajouter des éléments supplémentaires.
Rapport sommaire d'entrevue no 8 : organisation du secteur public
Le personnel du bureau de la vérification interne de cette organisation du secteur public a élaboré et appliqué une méthode systématique d'évaluation et de gestion des risques, et offre des services de consultation pour en faciliter la mise en oeuvre. En plus d'assurer une meilleure analyse des risques et des possibilités, cette méthode permet d'améliorer les relations avec la clientèle et d'obtenir plus facilement les renseignements nécessaires pour planifier les vérifications ultérieures, lesquelles viennent confirmer l'efficacité des mesures d'atténuation des risques et des investissements choisis par le client.
Meilleures pratiques
L'organisation considère l'auto-évaluation des risques par des groupes de travail avec l'aide d'un animateur externe comme une de ses meilleures pratiques. On a élaboré des outils et des modèles pour assurer l'efficacité et l'efficience de l'analyse systématique. L'utilisation d'outils et de modèles uniformes permet également de produire un rapport détaillé des résultats obtenus par les groupes de travail. Cette méthode structurée comprend un mécanisme de quantification des risques qu'on adapte au cadre opérationnel du client. Cet outil facilite la prise des décisions concernant le degré de priorité des risques ainsi que des décisions ultérieures sur les investissements à faire, lorsque les ressources sont limitées, pour gérer les risques résiduels prioritaires.
Sommaire d'entrevue, rapport no 9 : organisation du secteur privé
Cette entreprise canadienne pratique couramment la gestion des risques dans le cadre de ses grands projets stratégiques. Elle cherche actuellement à se tailler une place plus importante sur le marché mondial. On n'a pas encore entrepris d'initiative trans-organisationnelle de gestion des risques, ayant plutôt choisi de se concentrer sur des projets importants pour lesquels on a établi des objectifs généraux de réexamen des pratiques de gestion des risques. On a constaté que les risques traditionnels comme les risques commerciaux et financiers sont bien gérés, mais qu'on aurait avantage à gérer l'ensemble des risques de façon plus systématique, y compris les risques sociopolitiques et technologiques. Les efforts faits par l'organisation pour examiner les risques secondaires de façon plus systématique ont mené à l'élaboration et à l'application de nouveaux outils d'analyse, et on prend davantage soin de s'assurer que les nouveaux risques sont gérés dans une juste mesure durant l'actuelle période de transition.
Meilleures pratiques
L'organisation considère laplanification par scénarios comme une de ses pratiques exemplaires. Selon la description donnée, cette méthode établit un cadre de planification, mais les scénarios diffèrent des outils de planification traditionnels comme le plan annuel. Ces scénarios consistent en des situations futures possibles et plausibles; on examine diverses incertitudes (risques), et on détermine les risques que l'organisation est le mieux préparée à gérer et ceux qui posent le plus de problèmes. Cette technique permet de dégager des points de vue essentiels sur la tournure possible des événements (risques) et de prendre des décisions plus éclairées en matière d'investissements.
L'organisation compte aussi la participation des partenaires à la planification au nombre de ses meilleures pratiques. La concertation avec les partenaires donne une perspective plus large et permet de mieux identifier les risques; on profite aussi de l'expérience des divers intervenants, qui utilisent des techniques différentes pour gérer le même risque. Outre la formulation de stratégies efficaces d'identification et d'atténuation des risques, la participation des partenaires à l'analyse des risques procure des avantages certains. Elle contribue à améliorer les communications et à instaurer un climat de confiance entre l'organisation et ses partenaires, ou à révéler les signes d'une relation vouée à l'échec.
Bonnes pratiques
L'organisation a mentionné qu'elle a conçu un certain nombre de gabarits pour améliorer son processus systématique et structuré d'analyse des risques. L'utilisation de ces gabarits constitue une bonne pratique parce qu'elle rend le processus efficace et cohérent.
Sommaire d'entrevue, rapport no 10 : organisation du secteur privé
Comme de nombreuses autres organisations du secteur privé, celle-ci s'est surtout concentrée, par le passé, sur la gestion des risques financiers et a établi des structures et des méthodes organisationnelles au fil des ans pour assurer la bonne marche du processus. L'organisation s'est maintenant fixé comme objectif d'élargir la portée de sa gestion systématique des risques pour y intégrer d'autres activités et opérations comme la sécurité, l'informatique, la gestion des ressources humaines, la réglementation, les services juridiques, etc. On considère ces activités comme des domaines d'avant-garde et on reconnaît que la principale difficulté associée à cette nouvelle orientation réside dans le changement de culture organisationnelle qu'elle suppose. L'évolution de la culture d'entreprise demande du temps. L'organisation estime que l'étape de la mise en oeuvre prendra un an ou deux.
Meilleures pratiques
Une des meilleures pratiques de cette organisation consiste à faire passer un message selon lequel le personnel, les systèmes et les mécanismes de contrôle actuels forment des fondements d'une grande valeur et les nouvelles méthodes de gestion des risques devront faire l'objet d'une mise à l'essai et d'une surveillance rigoureuses. Essentiellement, ce message revient à dire que le personnel, les systèmes et les mécanismes de contrôle actuels sont déjà censés gérer tous les risques de l'organisation et que, par conséquent, la mise en oeuvre d'une nouvelle initiative de gestion des risques ne signifie pas que les ' fondements ' s'acquittent mal de leur travail. Il faut faire comprendre au personnel qu'il est responsable de la gestion des risques organisationnels, mais que le nouveau projet vise à consolider les garanties de l'organisation dans un contexte mondial qui pose de plus en plus de défis. L'organisation a entrepris d'élaborer de nouveaux modèles et de nouveaux outils afin de mieux gérer ses risques, mais n'intégrera pas ces modèles et outils aux ' fondements ' avant d'avoir procédé à des essais et à un suivi minutieux. On compte surveiller le déroulement des nouvelles initiatives de très près afin de pouvoir déterminer rapidement les techniques qui fonctionnent bien et d'en tirer des leçons utiles.
L'établissement d'un cadre stratégique de gestion des risques est une autre des meilleures pratiques de cette organisation. étant donné les changements de culture qu'implique le fait d'étendre la portée de la gestion des risques au-delà du traditionnel domaine financier, il est important de disposer d'un cadre stratégique afin de bien définir les attentes, les rôles et les responsabilités relatifs à cette nouvelle orientation. Ce cadre stratégique s'appuie sur des modèles de contrôle interne et des principes de gestion des risques existants et bien connus qui constituent un fondement conceptuel solide.
Bonnes pratiques
La réalisation de projets pilotes avec l'aide de centres de compétence est considérée comme une bonne pratique. La stratégie de mise en oeuvre adoptée par l'organisation consiste notamment à cibler des groupes qui possèdent déjà de bonnes compétences en gestion des risques pour les projets pilotes initiaux.
L'idée de bâtir sur les fondements en place mérite aussi d'être notée à titre de bonne pratique. Cette organisation possède déjà une structure bien établie de communication des risques financiers; elle compte donc s'appuyer sur ces acquis pour pouvoir signaler d'autres risques à mesure qu'elle étend ses activités de gestion des risques à d'autres domaines.
Sommaire d'entrevue, rapport no 11 : organisation du secteur public
Cette organisation vient d'entreprendre un programme officiel de gestion des risques avec comme objectif général de responsabiliser davantage ses différents services face aux pertes éventuelles et d'assurer une plus grande transparence. L'organisation souhaite habiliter son personnel à agir de façon plus proactive dans des situations défavorables. On prévoit devoir relever certains défis, notamment obtenir l'appui de la haute direction et s'assurer de recueillir suffisamment d'information pour évaluer ou surveiller la tournure relative des événements. La prochaine étape consistera à effectuer une analyse des besoins afin de déterminer les acquis de l'organisation et ce qui lui manque pour pouvoir atteindre ses objectifs de gestion des risques.
Meilleure pratique
Sommaire d'entrevue, rapport no 12 : organisation du secteur privé
Au départ, cette organisation ne s'est pas fixé d'objectif clair et précis pour améliorer sa gestion des risques. Il y a environ deux ans, on a entrepris une initiative visant à instaurer un processus permanent d'examen et d'évaluation des systèmes et des mécanismes de contrôle fondé sur une méthode d'auto-évaluation du contrôle et des risques. L'amélioration de la gestion des risques est devenue l'un des principaux volets de cette initiative. On consacre maintenant plus de temps que prévu à l'analyse des risques pendant les séances d'auto-évaluation du contrôle et des risques.
Cette organisation a une culture d'entreprise axée sur les affaires; toute initiative qui émane du centre et qui est imposée aux divisions opérationnelles jalouses de leur autonomie représente un défi.
Meilleures pratiques
Le fait de cibler les activités où la gestion des risques se fait naturellement et de travailler avec le personnel, un élément à la fois, constitue une des meilleures pratiques de cette organisation, étant donné la résistance coutumière aux initiatives émanant du centre et l'absence d'un objectif précis de gestion des risques. Des séances de remue-méninges interactives et participatives animées par le gestionnaire responsable de l'auto-évaluation du contrôle et des risques ont produit de bons résultats. La réussite de ces séances s'explique notamment par le fait qu'on a veillé à en simplifier le déroulement et le contenu dans la mesure du possible.
Bonnes pratiques
Les séances d'auto-évaluation du contrôle et des risques sont fondées sur le modèle de contrôle interne. On juge inutile d'investir des ressources dans l'élaboration d'un modèle entièrement nouveau alors qu'il existe déjà un modèle facilement adaptable aux besoins particuliers de l'organisation. Pour pouvoir s'appliquer, un modèle doit être adapté au milieu opérationnel particulier auquel il est destiné.
Sommaire d'entrevue, rapport no 13 : organisation du secteur privé
Cette organisation a adopté une vision plus ' globale ' des risques liés à ses activités dans les domaines de la santé, de la sécurité, de l'environnement et de la gestion des risques. On a établi des programmes et des processus pour analyser les risques inhérents à ces activités, mais il s'agit de processus distincts gérés par différentes personnes. La méthode actuelle consiste en une analyse systématique des risques réalisée par un groupe multidisciplinaire qui compare les résultats de l'analyse avec des ' critères de risques acceptables '. On s'est d'abord concentré sur des activités opérationnelles, mais on cherche maintenant à élargir le processus de gestion des risques pour y intégrer d'autres risques commerciaux, plus particulièrement des risques financiers.
L'organisation dit tirer de nombreux avantages de la démarche ' globale ' : notamment, celle-ci permet de prendre des décisions plus éclairées dans des domaines où le risque et l'incertitude occupent une place importante, elle contribue à assurer une diligence raisonnable, elle aide à mieux comprendre les risques et en facilite la communication aux cadres supérieurs et au conseil d'administration de l'organisation, et elle a donné lieu à la création d'un groupe-ressource interfonctionnel qu'on appelle le ' centre d'excellence intégré sur les risques '. Ce centre est maintenant chargé de l'amélioration continue de la gestion des risques.
Meilleures pratiques
Le fait de cibler des processus ou des domaines où la gestion des risques ' se fait naturellement ' est une pratique exemplaire d'une grande importance pour cette organisation. On est conscient de la nécessité de faire connaître les résultats et les avantages rapidement lorsque les ressources initiales à investir sont considérables. Le fait de cibler des domaines qui se prêtent naturellement à la gestion des risques donne accès à des ressources humaines qui possèdent une expérience pertinente. Dans ce cas, un des groupes ciblés avait élaboré une norme sur les risques acceptables, qui a été adoptée comme point de départ.
On a également ciblé des activités opérationnelles qui permettaient de faire une analyse hautement quantitative. Forte de l'expérience acquise à ce jour, l'organisation a maintenant entrepris d'élaborer un outil semi-quantitatif complémentaire qui peut être utilisé par un plus grand nombre de personnes et qui peut servir à évaluer des risques à plus petite échelle.
L'apprentissage par l'action est aussi au nombre des meilleures pratiques de cette organisation. La méthode utilisée consiste à faire participer les groupes ciblés à des séances avec des spécialistes (ingénieurs, opérateurs, personnel d'entretien, conseillers juridiques, etc.). Non seulement les compétences et l'expérience de ces intervenants sont utiles au processus, mais leur participation s'inscrit aussi dans l'objectif voulant que l'on intègre la prise de décisions basée sur les risques aux activités et aux raisonnements quotidiens, à tous les niveaux de l'organisation. En examinant des scénarios qu'ils connaissent ou auxquels ils peuvent s'identifier, ces participants sont en mesure de mieux déterminer s'ils doivent utiliser la méthode quantitative, semi-quantitative ou intuitive.
Annexe C |
Résumé du document-clé no 1
AUTEURS : | William Bradshaw, FCA et Alan Willis, CA |
TITRE : | Mieux connaître le risque : choix, liens et compétences |
PUBLIé PAR : | L'Institut canadien des comptables agréés (ICCA)Conseil sur les critères de contrôle, Toronto |
DATE : | Juin 1998 |
NOMBRE DE PAGES : | 134 |
RéSUMé :
Ce document intitulé ' Mieux connaître le risque ' (MCR) est le plus récent d'une série de documents d'orientation sur la gouvernance d'entreprise conçus par le Conseil sur les critères de contrôle (CCC) de l'Institut canadien des comptables agréés. MCR vise à susciter une réflexion et une discussion qui permettront de mieux comprendre la nature du risque ainsi que les processus de détermination et d'appréciation des risques. Ayant présenté son modèle sur les critères de contrôle interne aux dirigeants et administrateurs d'entreprise en 1995, le CCC a entrepris la rédaction d'un document qui contient des recommandations sur l'évaluation du contrôle interne à l'aide de ce modèle. Alors que ces recommandations sont au stade de l'élaboration, MCR a été publié pour susciter, parmi les dirigeants et administrateurs d'entreprise, une réflexion et une discussion sur le risque; cette réflexion et cette discussion permettront au CCC d'intégrer la question du risque dans ses recommandations sur l'évaluation du contrôle interne, lesquelles seront publiées prochainement.
MCR est une importante contribution à l'ensemble des connaissances sur les risques qui concernent la gouvernance d'entreprise. Il suscite l'intérêt et la discussion en introduisant sept (7) modèles qui peuvent être utilisés pour aborder la question des risques. De plus, il présente onze (11) propositions et adresse une série de questions aux administrateurs, aux gestionnaires et aux fournisseurs de service.
La première proposition suscite assurément l'intérêt et la discussion en définissant le risque dans les termes suivants : ' la possibilité qu'une ou plusieurs personnes ou organisations subissent les conséquences défavorables d'un événement ou d'une circonstance '. Les auteurs de MCR reconnaissent que, en mettant l'accent sur le préjudice seul et non sur le préjudice et la récompense, cette définition va à l'encontre des idées courantes. Ils consacrent à peu près cinq (5) pages à expliquer leur définition et ses avantages. Ils soutiennent que la définition plus large force le sens courant du mot ' risque ' avec pour conséquence que la gestion des risques englobe pratiquement tous les aspects de la gestion, et ce, à un point tel que les mots commencent à perdre leur sens. Les auteurs affirment que la question de la perspective favorable devrait être envisagée séparément de celle du risque, car l'évaluation des risques et celle des perspectives favorables font appel à deux démarches différentes de la pensée. (Des personnes qui ont commenté le document publié ont blâmé les auteurs pour leur définition absolument négative; ces commentaires prouvent clairement que l'objectif consistant à susciter la réflexion et la discussion a été réalisé).
La clarté avec laquelle les auteurs illustrent le besoin d'avoir recours à des approches tant intuitives que systématiques est une autre importante contribution. ' Les gestionnaires s'appuient de plus en plus sur des modèles qui les aident dans le processus de prise de décisions, et ce, pour trois raisons :
Les sept (7) modèles décrits en détails et accompagnés d'exemples couvrent à peu près toutes les situations et les décisions de gestion courantes qui comportent une évaluation des risques. Ces sept modèles sont les suivants :
Résumé du document-clé no 2
AUTEURE : | Lucy Nottingham |
TITRE : | A Conceptual Framework for Integrated Risk Management |
PUBLIé PAR : | Le Conference Board du Canada |
DATE : | Septembre 1997 |
NOMBRE DE PAGES : | 20 |
RéSUMé :
Ce rapport est considéré de loin comme le document offrant les discussions les plus concises et complètes sur l'intégration de la gestion des risques à l'ensemble de l'entreprise. Il est le fruit de recherches menées auprès d'un large éventail d'organisations internationales et d'échanges sur la question au sein des conseils exécutifs du Conference Board. Tout en fournissant des exemples, il traite de la pensée actuelle, des approches utilisées et de la mise en oeuvre de la gestion des risques dans les organisations canadiennes et internationales de pointe.
Si on considère le risque dans son sens large, la gestion intégrée des risques doit s'appliquer à tous les aspects de l'entreprise et de ses activités, depuis la stratégie jusqu'aux opérations, de même qu'à tous les types de risque -- opérationnel, juridique, d'atteinte à la réputation et financier. La gestion intégrée des risques est définie comme ' un modèle réunissant diverses disciplines de l'organisation et couvrant les deux natures du risque - la réduction au minimum de l'incertitude et l'augmentation au maximum des possibilités '. La différence fondamentale entre la gestion classique et la gestion intégrée des risques réside dans le fait que celle-ci vise autant à saisir de nouvelles possibilités qu'à réduire les pertes au minimum (soit l'objectif traditionnel de la gestion des risques).
Certains des facteurs qui conduisent à une gestion intégrée des risques au sein des organisations sont les suivants : le rythme de plus en plus rapide auxquels les changements se produisent en raison de l'innovation technologique; les nouvelles structures organisationnelles et les nouveaux processus de gestion; les incidents spectaculaires qui dominent l'actualité; les réductions des effectifs, les fusions et les acquisitions; la mondialisation; les attentes des actionnaires et des parties intéressées, qui évoluent et se multiplient; et les demandes adressées par les organismes de réglementation en vue de connaître les modèles de contrôle et les risques courus.
Ce rapport souligne qu'il n'existe pas d'approche simple et exhaustive de gestion intégrée des risques. L'approche de gestion des risques ainsi que les processus et structures choisis sont conçus pour répondre à la vision et aux objectifs de l'organisation, de même qu'à la tolérance aux risques des actionnaires, des gestionnaires et des autres parties intéressées. Toutefois, un certain nombre de meilleures pratiques et de principes de base qui voient le jour ont en commun les quatre éléments qui suivent :
Un modèle de gestion des risques devrait être élaboré par une équipe multi-disciplinaire afin :
La politique de gestion des risques témoigne de l'engagement de l'organisation dans le processus et requiert l'appui des dirigeants. L'objectif fondamental de toute politique de gestion des risques devrait consister à rendre tous les membres de l'organisation responsables de la gestion des risques. Cette politique devrait comprendre les éléments qui suivent :
Le ' champion ' des risques peut être une personne désignée ou un groupe ou un comité qui procède à l'évaluation des principales décisions en regard des critères de gestion des risques.
Les processus doivent être structurés de façon à ce que tous les employés de chaque domaine de l'organisation assument les risques associés à leur fonction et en rendent compte. La politique doit également faire part de la tolérance et des limites de l'organisation à l'égard des risques courus relativement à chacun de ses domaines, ainsi que de ses processus d'évaluation des risques. Les organisations utilisent un certain nombre de mesures et de méthodes qualitatives, quantitatives et semi-quantitatives pour évaluer les risques et leur niveau d'acceptation de ceux-ci. Une fois que l'organisation a évalué ses risques et établi ses priorités à leur égard, elle peut déterminer la réponse requise.
Une formation est essentielle pour créer un processus commun élaboré par l'administration centrale, mais mis en oeuvre localement, et pour donner aux employés les moyens de prendre en charge la gestion des risques dans les limites de leur pouvoir et de leur responsabilité.
Comme les méthodes de gestion des risques se répandent dans tous les ministères, il devient possible de quantifier toutes les formes de risque auxquels fait face une organisation, afin de créer un profil général des risques et de connaître l'ampleur de l'exposition aux risques. Forts de ces chiffres, la haute direction et le conseil d'administration pourraient parfaitement fournir de l'information sur les risques, les avantages et les dangers de la stratégie de leur organisation. En outre, une quantification comparable de tous les risques permettrait à l'organisation de comparer les risques et avantages de divers scénarios et stratégies.
Il a été reconnu que les organisations qui sont pourvues de processus de gestion intégrée des risques ont un avantage concurrentiel en ce qu'elles sont mieux armées pour saisir les possibilités et réduire les risques au minimum, prévoir les changements et y réagir. Des exemples sont donnés par les organisations suivantes : Banque de développement du Canada, Microsoft Corp., Engage Energy U.S., Banque Barclays, Banque Royale du Canada, Standard Chartered Bank, Conference Board du Canada et Syncrude Canada Ltd.
Résumé du document-clé no 3
AUTEUR : | Association canadienne de normalisation (ACNOR), Comité technique sur la gestion des risques |
TITRE : | CAN/CSA-Q850-97 Gestion des risques : Guide à l'intention des décideurs |
PUBLIé PAR : | ACNOR |
DATE : | 1997 |
NOMBRE DE PAGES : | 46 |
RéSUMé :
Ce guide présente des définitions et un processus de gestion des risques. La définition du mot ' risque ' porte seulement sur les effets négatifs (c'est-à-dire le risque de subir un préjudice ou une perte); cependant, le processus en six étapes de gestion des risques intègre l'examen des avantages et des coûts dans le processus décisionnel.
Le processus Q850 comporte six étapes :
Le processus Q850 accorde beaucoup d'importance à l'intégration de la perception et de la divulgation des risques dans le processus décisionnel. La perception et la divulgation des risques sont traitées en détails pour permettre au lecteur de bien comprendre ces concepts fondamentaux. La divulgation des risques est intégrée au processus au cours des étapes qui indiquent que l'acceptabilité des risques pour les parties intéressées est cruciale à la gestion des risques.
Résumé du document-clé no 4
AUTEURS : | Powell, D. et Leiss, W. |
TITRE : | MAD COWS and Mother's Milk : The Perils of Poor Risk Communication |
PUBLIé PAR : | McGill-Queens University Press Magazine |
DATE : | 1997 |
NOMBRE DE PAGES : | 303 |
RéSUMé :
La divulgation de la nature et des conséquences des risques en matière de santé et d'environnement est l'un des domaines les plus problématiques de la politique gouvernementale dans les démocraties occidentales. Comme les consommateurs perçoivent des risques liés aux produits alimentaires, à la présence de produits chimiques dans l'environnement et aux technologies modernes, ils ont besoin de recevoir, en temps opportun, des explications claires et compréhensibles sur la nature de ces risques; toutefois ils les obtiennent rarement. S'inspirant d'une série d'études récentes de cas célèbres qui ont retenu l'attention du public, Douglas Powell et William Leiss font ressortir le rôle crucial de la gestion des risques lorsqu'il s'agit de réagir aux controverses publiques, et ils analysent les pratiques de divulgation des risques (et les négligences) en vue d'offrir une série de ' leçons apprises ' aux responsables de la gestion et de la divulgation des risques.
Ces études révèlent que les institutions omettent régulièrement d'expliquer de manière efficace le fondement scientifique de risques importants. Ces omissions d'informer correctement le public ont comme conséquence que les gouvernements, le secteur industriel et la société ont de la difficulté à gérer judicieusement les controverses sur les risques et que des coûts supplémentaires énormes et souvent inutiles doivent être déboursés. Grâce à ses analyses approfondies de controverses précises et récentes concernant la gestion des risques, Mad Cows and Mother's Milk peut aider les gestionnaires de risques à éviter de répéter les mêmes erreurs à l'avenir.
Résumé du document-clé no 5
AUTEURS : | Ron S. Dembo et Andrew Freeman |
TITRE : | Seeing Tomorrow : Rewriting the Rules of Risk |
PUBLIé PAR : | John Wiley & Sons Inc. |
DATE : | 1998 |
NOMBRE DE PAGES : | 253 |
RéSUMé :
Le livre intitulé Seeing Tomorrow porte sur l'évaluation des risques financiers dans la vie de tous les jours. Les auteurs suggèrent une approche de gestion des risques ouverte sur l'avenir et donnent des conseils sur des problèmes pratiques très précis, tels que l'achat d'une maison ou la poursuite de quelqu'un en justice, de même que sur une stratégie d'ensemble et les investissements.
Les auteurs définissent le risque financier comme ' [TRADUCTION] une mesure des changements de valeur possibles que connaîtra un portefeuille en raison de différences dans l'environnement entre le moment présent et un moment dans l'avenir '. Leurs principaux éléments de gestion des risques axée sur l'avenir sont les suivants :
|
Au-delà de quelle limite de temps devons-nous considérer une surexposition au risque? |
|
Quels événements futurs pourraient se produire et quelle incidence auraient-ils sur la valeur de nos investissements? |
|
Quelle unité utilisons-nous pour mesurer l'exposition au risque? |
|
Quels sont les points de comparaison en regard desquels nous pouvons mesurer notre rendement? |
Les auteurs introduisent également un concept de risque très intéressant qu'ils appellent le ' regret '. Le regret est associé au sentiment qu'une personne éprouve à la vue de résultats. Le regret varie selon les circonstances. La plupart des gens ne regrettent pas d'avoir perdu un dollar lorsqu'ils n'ont pas gagné à la loterie d'un million de dollars. En revanche, la plupart auraient un plus grand regret d'avoir perdu 10 000 $ en ne gagnant pas à une loterie de 10 milliards de dollars, même si leurs chances étaient meilleures.
Les auteurs énoncent une série de règles sur le risque relatives à la prise de décisions. Il s'agit notamment des règles suivantes : choisir un horizon temporel raisonnable; choisir des scénarios; calculer la valeur risquée (VR); évaluer tant l'aspect positif que l'aspect négatif d'une affaire potentielle; calculer le regret; et dresser une matrice fiable du regret.
Résumé du document-clé no 6
AUTEURS : | N.C. Lind, J.S. Nathwani et E. Siddall |
TITRE : | Managing Risks in the Public Interest |
PUBLIé PAR : | Institute for Risk Research (IRR), University of Waterloo |
DATE : | 1991 |
NOMBRE DE PAGES : | 242 |
RéSUMé :
Cette étude affirme que, par le passé, les ressources publiques ont souvent été mal réparties en ce qui a trait aux questions de sécurité. Cette mauvaise répartition n'est pas étrangère à la diminution de l'efficacité en matière de réduction des risques - il est beaucoup plus coûteux de contrôler les 10 p. 100 restants que la première portion de 90 p. 100. Les auteurs affirment que le processus décisionnel relatif à la sécurité est déficient car il n'y a pas de cadre rationnel en place. Les déficiences de ce processus de gestion de la sécurité ont de graves conséquences comme la perte de vies et de ressources.
L'étude fait valoir qu'il est possible de réaliser des progrès en matière de gestion des risques si on rend ouvertement compte des risques et des avantages. Les auteurs déclarent que le choix, entre des solutions raisonnables, de celle qui offre le plus d'avantages à la société devrait être un principe directeur; ils proposent un modèle pour la mise en oeuvre de ce principe. Deux indicateurs réunis, soit l'expectative de vie et la qualité de vie, sont établis afin de fournir des critères à la prise de décisions dans les affaires de politique gouvernementale sur la sécurité et le sauvetage.
Le rôle joué par les risques perçus est reconnu, mais il n'est pas traité en profondeur comme facteur responsable de la mauvaise répartition des ressources. L'étude adopte simplement la position selon laquelle les objectifs et les approches analytiques en matière d'évaluation des risques devraient être maintenus, car les risques perçus ne peuvent justifier des décisions avisées qui tiennent compte de l'intérêt public.
Résumé du document-clé no 7
AUTEUR : | Gerald J.S.Wilde |
TITRE : | Target Risk |
PUBLIé PAR : | PDE Publications, Toronto, Canada |
DATE : | 1994 |
NOMBRE DE PAGES : | 234 |
RéSUMé :
L'auteur définit le risque cible comme ' [TRADUCTION] le niveau de risque qu'une personne choisit de prendre en vue de maximiser l'avantage général attendu d'une activité '. Il définit aussi l'homéostasie du risque de la façon suivante : ' [TRADUCTION] le comportement à risque et l'ampleur de la perte causée par des accidents et des maladies liées au mode de vie sont maintenus dans le temps, à moins que le niveau-cible du risque ne change '. Le livre expose la théorie de Gerald Wilde sur l'homéostasie du risque, et les arguments et données qui la soutiennent. Cette théorie donne un aperçu du comportement humain face au risque. Le raisonnement de l'auteur porte principalement sur les domaines de la sécurité et de la santé, mais ses concepts peuvent s'appliquer à n'importe quelle discipline. Le livre fournit des exemples concrets sur la façon dont nous nous fixons tous un ' risque cible ' et y adaptons notre comportement. Par exemple, selon la théorie, le fait d'offrir aux gens des voitures qui se manient plus facilement, qui sont dotées de meilleurs freins, etc. les incitera à conduire plus dangereusement. Les gens ajustent leur comportement au même niveau de risques qu'auparavant. Le professeur Wilde va même jusqu'à prétendre que les mesures coercitives, l'ingénierie et l'éducation (en anglais les ' trois E ' - enforcement, engineering and education) n'ont pas pour effet d'augmenter la sécurité routière pour toute une population. Toutefois, son exposé sur la prise de risques par l'être humain et les différences individuelles, notamment la personnalité, l'attitude et le mode de vie, est particulièrement intéressant.
Résumé du document-clé no 8
AUTEURS : | William Leiss et Christina Chociolko |
TITRE : | Risk and Responsibility |
PUBLIé PAR : | McGill-Queen's University Press, Montreal & Kingston |
DATE : | 1994 |
NOMBRE DE PAGES : | 379 |
RéSUMé :
S'il y a une leçon à retenir de ce livre, selon les auteurs, c'est que ' nous avons tous, dans la société moderne, un intérêt direct et vital à ce que la responsabilité relative aux activités qui comportent des risques soit répartie de façon appropriée '. On a ' peur d'être injustement victime d'une perte non dédommagée ', lorsque l'exposition au risque est involontaire. Cette peur peut mener à une aversion excessive pour le risque. Les auteurs soulignent qu'aussi bien un comportement à risque qu'un comportement prudent peuvent exposer les personnes et les sociétés à un risque de perte.
Ce livre examine la question des attitudes qui témoignent d'une aversion pour le risque. De l'avis des auteurs, la surestimation des risques par les citoyens tire sa source principale d'une connaissance vague et intuitive des nombreux antécédents - qui remontent aux origines de la Révolution industrielle - de sous-évaluation des risques par les institutions dominantes (le secteur industriel et les gouvernements), plus particulièrement la négligence volontaire en ce qui concerne l'exposition des travailleurs à des substances et à des processus dangereux. Les auteurs poursuivent en déclarant qu'il n'existe pas de forum pour débattre de la question de l'équilibre entre les risques acceptables et les avantages. De plus, cette absence de forum encourage chacune des parties à se soustraire à ses responsabilités relatives à l'ensemble des conséquences qu'entraîne sa décision concernant l'équilibre entre les risques acceptables et les avantages.
On y discute également des concepts de gestion des risques dans la perspective de l'intérêt public. Des méthodes quantitatives et des questions telles que la perception et la divulgation des risques et la répartition des responsabilités sont abordées en détails; il y est également question de la productivité en regard de la sous-estimation des risques et de la façon dont les experts et les personnes font des compromis entre les risques et les avantages.
Finalement, à l'aide d'une série d'études de cas et de conclusions, les auteurs proposent quelques leçons utiles sur la façon dont différents intervenants (entreprise/gouvernement, main-d'oeuvre/collectivité locale, groupes d'intérêts) pourraient gérer les risques au moyen d'un consensus négocié sur la répartition des responsabilités.
Résumé du document-clé no 9
AUTEUR : | Groupe d'étude sur la LGF, Division de la politique sur la gestion financière, Direction du sous-contrôleur général |
TITRE : | Guide on Business Risk Management |
PUBLIé PAR : | Secrétariat du Conseil du Trésor, Gouvernement du Canada (Document interne) |
DATE : | Le 10 juillet 1998 |
NOMBRE DE PAGES : | 15 (plus les annexes) |
RéSUMé :
La publication de ce guide est venue compléter le Rapport du Groupe de travail indépendant sur la modernisation de la fonction de contrôleur dans l'Administration fédérale du Canada. Ce guide est conçu pour offrir, à l'ensemble du gouvernement fédéral une base commune à la compréhension du concept de gestion des risques opérationnels et, aux ministères et organismes, un modèle d'intégration de la gestion des risques opérationnels dans leurs processus décisionnels.
Le guide présente un processus normalisé pour repérer, évaluer et gérer les risques au sein du gouvernement fédéral. Il est le résultat de l'étude de 15 modèles de gestion pratiquée dans les secteurs public et privé et est conçu pour s'adapter à des circonstances opérationnelles et fonctionnelles particulières.
Bien qu'elles soient relativement récentes, les définitions du mot ' risque ' et des concepts qui s'y rapportent sont surtout axées sur les conséquences défavorables et ne semblent pas reconnaître suffisamment l'équation risque/récompense ni la valeur que représente l'utilisation systématique de la gestion des risques pour déterminer l'à-propos de saisir de bonnes occasions ou d'amorcer des initiatives. Cette omission conceptuelle ne nuit pas au processus général décrit dans le guide; il est cependant nécessaire d'encourager l'extension de ce concept à la recherche d'occasions favorables, d'innovations ou de nouvelles initiatives.
Résumé du document-clé no 10
AUTEURE : | Claire McQuillan |
TITRE : | Colloque sur la gestion des risques : Rapport et recommandations |
PUBLIé PAR : | Institut sur la gouvernance |
DATE : | Le 30 mars 1994 |
NOMBRE DE PAGES : | 11 |
RéSUMé :
Le 23 mars 1994, vingt-trois (23) hauts représentants du monde des affaires, des groupes de consommateurs et d'intérêts spéciaux, des médias, des universités, des milieux politiques et des gouvernements ont participé à un colloque d'une journée pour échanger sur la façon dont les gouvernements gèrent les risques au nom du public et pour suggérer des améliorations. Le colloque était l'idée de la Division des affaires réglementaires du Secrétariat du Conseil du Trésor. Bien que l'événement se déroulait dans le contexte de la réglementation, les discussions ont surtout porté sur la gestion des risques dans l'ensemble du secteur public.
Les participants ont indiqué que comme les ressources financières sont moins abondantes qu'elles ne l'étaient par les années passées, il importe, au moment de prendre des décisions, de tenir compte des coûts très élevés et des avantages limités du contrôle de certains risques. Par ailleurs, ils ont fait remarquer qu'il est nécessaire d'expliquer au public, le plus clairement possible, que coûts et avantages doivent s'équilibrer. Le public s'attend à un risque nul, lorsqu'on ne lui explique pas que la gestion des risques n'est pas un bien gratuit.
Les participants ont conclu que les gouvernements ont de piètres rapports avec le public et les médias canadiens pour ce qui est de l'information et de la consultation en matière de gestion des risques. Selon les participants, les gouvernements ont l'habitude de sous-estimer la capacité des parties intéressées de comprendre ces discussions.
Le rapport du colloque indique que les participants ont déterminé que les attentes élevées auxquelles doivent faire face les politiciens, la rigidité de la bureaucratie, l'absence généralisée d'innovations et l'intolérance face aux erreurs sont des entraves du secteur public qui freinent les améliorations dans le domaine de la gestion des risques. Une série de recommandations ont été formulées pour améliorer la communication avec les parties intéressées et éliminer ces entraves afin d'améliorer la gestion des risques dans le secteur public.
Résumé du document-clé no 11
AUTEUR : | Institut canadien des comptables agréés (ICCA) |
TITRE : | Corporate Governance : A Review of Disclosure Practices in Canada |
PUBLIé PAR : | ICCA |
DATE : | Décembre 1997 |
NOMBRE DE PAGES : | 69 |
RéSUMé :
Depuis 1995, la Bourse de Toronto et la Bourse de Montréal demandent aux compagnies de divulguer leurs pratiques de gouvernance d'entreprise. En 1995, puis en 1996, les rapports annuels d'environ 150 compagnies inscrites à ces bourses ont fait l'objet d'un examen. Cette publication fournit des exemples de bonne communication dans le but d'aider les hautes directions et les conseils d'administration à améliorer leur propre communication.
Ces bourses demandent aux compagnies de décrire leur système de gouvernance d'entreprise en fonction de quatorze lignes directrices. La première ligne directrice porte sur le repérage des principaux risques auxquels est exposée l'entreprise et le fait d'assurer la mise en oeuvre de systèmes appropriés pour les gérer. Le rapport sur la gouvernance d'entreprise a conclu que 39 p. 100 des rapports annuels témoignaient d'un bon/excellent travail en 1996 pour ce qui est de cette ligne directrice, une légère baisse si on compare à 46 p. 100 en 1995.
Le rapport sur la gouvernance d'entreprise énonce ce qui suit :
' Comme l'an passé, l'information fournie sur la gestion des risques variait. Dans certains cas, les risques réels ont été communiqués; dans d'autres cas, on a seulement indiqué que les risques avaient été repérés.
Cette information révèle des différences constantes dans les pratiques quant à savoir qui est responsable du repérage et de la gestion des risques. Dans certains cas, la responsabilité relative à la surveillance des risques est partagée entre divers comités du conseil et le conseil lui-même. Dans d'autres cas, la haute direction assume la responsabilité de la gestion des risques. On a fourni peu de renseignements sur la façon dont le conseil avait donné satisfaction concernant le caractère raisonnable des systèmes en place ou des observations présentées. Selon certains renseignements, la gestion des risques était intégrée au processus de planification stratégique. '
Ce rapport de gouvernance d'entreprise a fourni des exemples de communication pour les entreprises suivantes : BCE Mobile Communications Inc.; Cara Operations Limited; Tech Corporation and Meridian Technologies Inc.
Annexe D |
DéFINITIONS
Afin de donner une orientation à la collecte des renseignements et d'en assurer la comparabilité en ce qui concerne les ' meilleures pratiques ' en matière de gestion des risques, voici une définition de ' meilleure pratique ' et de ' cadre relatif à une meilleure pratique '.
MEILLEURE PRATIQUE
Une ' meilleure pratique ' est une stratégie, une approche, une méthode, un outil ou une technique qui s'est avérée particulièrement efficace et qui a permis à l'entreprise/organisation d'atteindre ses objectifs en matière de gestion des risques. On attend également d'une meilleure pratique qu'elle ait de la valeur aux yeux d'autres entreprises ou organisation. Par exemple, une pratique qui a été spécialement utile à l'établissement d'orientations serait utile à de nombreuses autres organisations, notamment le Secrétariat du Conseil du Trésor (SCT), étant donné que l'orientation des ministères de l'administration fédérale est l'un de ses principaux objectifs.
CADRE RELATIF À UNE MEILLEURE PRATIQUE
Un ' cadre relatif à une meilleure pratique ' détermine les domaines où on s'attendrait à ce que les meilleures pratiques soient d'intérêt commun à diverses organisations. Le principe de base est qu'une organisation investit des ressources dans la gestion de ses risques, à la fois en matière de stratégie et d'exploitation, afin d'obtenir les avantages escomptés. Ces avantages, qui sont souvent définis comme objectifs relativement à la gestion des risques, pourraient être n'importe quelle combinaison de :
La grille des meilleures pratiques que nous avons établie est présentée ci-dessous. Elle ne devrait être vue que comme un schéma plausible choisi pour sa capacité de servir de complément à d'autres travaux faits pour le compte du SCT. Il ne s'agit nullement d'une liste exhaustive. Si une pratique s'est avérée profitable à votre entreprise/organisme, soit en vous permettant d'atteindre vos objectifs en matière de gestion de risques, soit dans la réalisation de l'ensemble des objectifs globaux de l'entreprise, mais qu'elle ne semble pas entrer dans cette grille, n'hésitez pas à nous en faire part et à nous la décrire. L'épreuve ultime quant à une meilleure pratique est de savoir si cette dernière peut avoir quelque valeur aux yeux d'une autre entreprise/d'un autre organisme dans le cadre de sa gestion des risques.
1. éléments de la gestion des risques :
Il s'agit de pratiques en vue d'intégrer la gestion des risques dans le cadre administratif d'une entreprise/d'une organisation. Par exemple, il s'agirait de pratiques génériques pour s'assurer :
i) l'atténuation directe par le biais d'un système de contrôle interne (et par l'amélioration continue de ce système de contrôle) relativement aux risques qui peuvent être directement contrôlés;
ii) l'influence indirecte, ou le partage, ou le partenariat, etc. relativement aux risques avec lesquels on ne peut composer directement;
iii) la simple acceptation et le suivi des risques qui sont au-delà du contrôle direct ou de l'influence indirecte;
Vous trouverez en annexe une liste plus détaillée des éléments.
2. Stratégie de mise en oeuvre :
Les pratiques employées pour diffuser et intégrer la gestion des risques dans l'entreprise/organisation sont généralement basées sur une série d'' outils '. En voici certains qui pourraient être d'intérêt commun :
Pouvez-vous indiquer lesquels de ces outils (ou d'autres) peuvent avoir aidé votre entreprise/organisation à mettre en oeuvre avec succès ses objectifs généraux de gestion des risques?
3. Domaines et fonctions :
Voici les principaux domaines et fonctions spécialisés auxquels la gestion de risques s'applique souvent au niveau de l'exploitation. Les pratiques auxquelles on a recours pour intégrer la gestion des risques à ces domaines et fonctions spécialisés (et successivement à l'ensemble de l'entreprise/ organisation) sont d'intérêt commun. Ces domaines et fonctions comprennent :
Cette liste n'est pas exhaustive et si on avait ciblé un autre domaine ou une autre fonction spécialisée pour y appliquer la gestion des risques, une meilleure pratique qui permettrait d'atteindre cet objectif serait également d'intérêt commun. (Prière de prendre note que nous sommes à la recherche du processus de gestion utilisé pour amorcer et mettre en oeuvre une gestion des risques spécialisée à l'intérieur d'une fonction donnée, pas des détails relatifs à la pratique spécialisée elle-même.)
Annexe
éléments de la gestion des risques :
Voici des pratiques en vue d'intégrer la gestion des risques dans le cadre administratif d'une entreprise/organisation. Par exemple, il s'agirait de pratiques génériques pour s'assurer des éléments suivants :
1. Politique et valeurs
Que les objectifs à atteindre et les valeurs auxquelles on fera appel dans la gestion des risques soient définis et qu'on les fasse connaître à l'échelle de l'entreprise/organisation.
2. Structure de la responsabilité
Que les fonctions de gestion et de responsabilité reflètent le partage des responsabilités en ce qui concerne la gestion des risques et l'encouragement à s'engager à chaque niveau administratif de l'entreprise/organisation de même qu'à celui de ses instances de direction.
3. Profil des risques
Que les risques à l'échelle de l'entreprise/organisation soient décelés et évalués afin de renforcer les processus de gestion (planification, affectation des ressources et prise de décisions).
4. Atténuation des risques
Que l'atténuation ou la gestion des risques soit réalisée par le biais du système de contrôle et de l'amélioration continue de ce système.
5. Assurer le suivi et faire rapport
Que la gestion des risques soit suivie de près et que l'on fasse rapport à la haute gestion, aux instances de direction et aux principaux intéressés.
Annexe E |
Guide à l'intention de la personne interrogée
Meilleures pratiques en matière de gestion des risques
L'étude portera principalement sur les ' meilleures pratiques '. Aussi n'est-il pas nécessaire de donner beaucoup de renseignements au sujet des ' bonnes pratiques '. Par ailleurs, quelques questions vous seront posées sur l'approche globale de votre entreprise/ organisations relativement à la gestion des risques, ce qui nous permettra d'avoir des données de base pour faire des comparaisons. Le nom des entreprises/organisation ne paraîtra dans aucun des documents publiés. Aussi, tout renseignement que vous donnerez au sujet de vos activités restera confidentiel. Toutefois, nous vous demanderons la permission d'indiquer le nom de votre entreprise/organisation à titre de participante à cette étude.
ii) Vue d'ensemble et contexte relativement à la gestion des risques
Si vous réfléchissez aux éléments que nous avons définis aux points a) à e) de même que dans l'annexe, ou à toute autre pratique en ce qui concerne l'intégration, y a-t-il des meilleures pratiques/leçons tirées (obstacles surmontés) dont vous aimeriez nous faire part?
a) Définir les objectifs à atteindre et les valeurs auxquelles on fera appel dans la gestion des risques et les faire connaître à l'échelle de l'entreprise/organisation
1. Pouvez-vous décrire, en termes généraux, comment votre entreprise/ organisation traite cette question?
i) Votre entreprise/organisation dispose-t-elle d'une politique officielle en matière de gestion des risques?
ii) Quels sont les principaux éléments/messages véhiculés? (Approfondir en ce qui concerne :
iii) Comment gère-t-on la tolérance à l'égard du risque (c.-à-d. à l'échelle de l'entreprise/organisation et à l'endroit où vous vous trouvez)?
b) Faire que se reflète, dans les fonctions de gestion et de responsabilité, le partage des responsabilités en ce qui concerne la gestion des risques et l'encouragement à s'engager aux niveaux de l'administration et des instances de direction
c) Déceler et évaluer les risques à l'échelle de l'entreprise/ organisation afin de renforcer les processus de gestion (planification, affectation des ressources et prise de décisions)
d) Atténuer ou gérer les risques en ayant recours au système de contrôle et à d'autres stratégies
e) Suivre de près le processus de gestion des risques et faire rapport à la haute gestion, les instances de direction et aux principaux intervenants
Si vous réfléchissez aux points définis dans le cadre de même ou à toute autre pratique en ce qui concerne l'intégration, y a-t-il des meilleures pratiques/leçons tirées (obstacles surmontés) dont vous aimeriez nous faire part?
Pouvez-vous décrire, en termes généraux, comment votre entreprise/organisation traite cette question? (Approfondir en ce qui concerne :
Annexe F |
PUBLICATIONS :
Boisclair, J.P., Report of the Independent Review Panel on Modernization of Comptrollership in the Government of Canada, 1997.
Bradshaw, William, Learning About Risk : Choices, Connections and Competencies, CICA Criteria of Control Board, Toronto, 1998.
Canadian Institute of Chartered Accountants Criteria of Control Board (CoCo), Guidance on Assessing Control - The CoCo Principles, (Exposure Draft), June, 1997.
Canadian Standards Association, CAN/CSA-Q850-97 Risk Management : Guideline for Decision-Makers, October, 1997.
Dembo, Ron S. and Freeman, Andrew, Seeing Tomorrow : Rewriting the Rules of Risk, John Wiley & Sons Inc., New York, 1998.
Leiss, William and Chociolko, Christina, Risk and Responsibility, McGill-Queen's University Press, Montreal, 1994.
Leiss, William and Powell, D., Mad Cows and Mother's Milk : The Perils of Poor Risk Communcation, McGill-Queen's University Press, Montreal, 1997.
Lind, N.C, Nathwani, J.S. and Siddall E., Managing Risks in the Public Interest, Institute for Risk Research (IRR), University of Waterloo, 1991.
Nottingham, Lucy, The Conference Board of Canada, ' A Conceptual Framework for Integrated Risk Management, ' (212-97 Report), September, 1997.
Wilde, Gerald, Target Risk, Queen's University Press, 1996.
ARTICLES :
Beke, C., ' Leadership and Risk Management, ' Risk Management Review Website, September 1998
Dickson, Don, ' Implementation of Modern Comptrollership-First Steps, ' FMI Journal, Vol. 10, No. 1, Fall 1998.
Nottingham, Lucy, ' Integrated Risk Management, Canadian Business Review, Summer, 1996, pp. 26-28.
Potts, J.C., ' Modern Comptrollership : A New Era of PS Reform, ' Optimum, Vol. 28, No. 2, July, 1998.
Robertson, Michael, ' Getting Perspective on Risk, ' CMA Magazine, June 1997
Samson, Pierre, ' Leap of Faith, ' CGA Magazine, Vol. 32, No. 4, April 1998.
Weir, Michael, ' Federal Comptrollership-The Modernization Challenge, ' FMI Journal, Vol. 9, No. 2, Winter, 1998.
Wiltshire, Colin, ' Managing Risk and Risk Acceptance : A Framework for Reconciling Empowerment, ' Optimum, Vol. 27, No. 3, 1997, pp. 14-23.
PRéSENTATIONS :
B.C. Hydro, Integrated Risk Management : B.C. Hydro Perspective, presentation to the Conference Board of Canada Council on Risk Management, October 9, 1997.
Bank of Montreal, International Risk Management, presentation to the Conference Board of Canada Council on Risk Management.
Business Development Bank of Canada, Risk Management at BDC, presentation to the Conference Board of Canada Council on Risk Management, October 3, 1996.
Canada Trust, Risk Measurement Methods, presentation to the Council on Risk Management, Ottawa, October 15, 1998.
Canada's Chartered Accountants, Transforming Control : A New Way of Managing Risk and Improving Organizational Performance, presentation to the Conference Board of Canada Council on Risk Management, May 6, 1997.
Hydro Québec, Crims' 1998 New Frontiers, Adding
Value Beyond the Insurance Box :
Hydro-Québec IRM Project, presentation by André-Richard Marcel and Jocelyne
Lee.
Laidlaw Inc., presentation to the Conference Board of Canada Council on Risk Management, April 16, 1996.
Integrated Justice Corporate Services, Government of Ontario- Audit Services Branch, ' Control Risk Assessment ' presentation to the East Region Management Team, November 1998.
Noranda Inc., Strategic Risk Management, presentation to The Conference Board of Canada 1998 International Conference on Risk Management, March 26, 1998.
Nova Chemicals Ltd., Nova's Integrated Risk Assessment Process, presentation to The Conference Board of Canada, March 26, 1998.
NOVA Corp., Measurement and Identification of Risk, presentation to the Conference Board of Canada Council on Risk Management, October 9, 1997.
Ontario Hydro, Business Risk Assessment Framework, presentation to the Conference Board of Canada Council on Risk Management, October 9, 1997.
Petro-Canada, Integrated Risk Management, presentation to the Conference Board of Canada Council on Risk Management, 1997.
AUTRES DOCUMENTS :
Canada Trust Financial Services, 1996 Annual Report.
Canada Trust Financial Services, 1997 Annual Report.
Canada Trust Financial Services, 1998 Annual Report.
City of Ottawa, ' Handbook on Risk Management. '
City of Ottawa, ' Risk Management ' (video tape recording of risk management training process).
FAA Review Team, Financial Management Policy Division, Deputy Comptroller General Branch, Treasury Board Secretariat, 'Guide on Business Risk Management, July 10, 1998.
Financial Administration Act Review Team, ' Financial Risk Management Strategy, ' Financial Management Policy Division, Deputy Controller Branch, April 9, 1998.
Institute on Governance, Treasury Board Secretariat, ' Colloquium on Risk Management ', Ottawa, Canada, March 30, 1994.
Integrated Justice Corporate Services, Government of Ontario--Audit Services Branch : Courts Services Division, ' Audit Update : Update for Divisional Management Committee, ' August 1998.
Kelly, Terry, ' Safety Management in the New Millennium : NAV CANADA as a Case Study, ' November 4-6, 1997.
Ministry of the Attorney General, Audit and Quality Assurance Branch-Courts Administration Division, ' Self-Assessment Questionnaire ' and ' Guide to Self-Assessment Questionnaire. '
Proceedings of the 1998 Conference Board of Canada International Conference on Integrated Risk Management.
Treasury Board of Canada, ' Guidelines on Risk Communications, ' 1995.