Guide d'élaboration d'un profil de risque organisationnel



Approche recommandée pour la préparation d'un profil de risque organisationnel

Table Des Matières



Gestion Intégréé Du Risque

Comme on l'énonce le Guide de gestion intégrée du risque de 2010 et le Cadre stratégique de gestion du risque, la gestion intégrée du risque est reconnue comme un fondement essentiel de la saine gestion publique. Dans un environnement particulièrement dynamique et complexe, les organisations doivent être en mesure de reconnaître et de comprendre les nouveaux défis et de nouvelles possibilités, de s'y adapter et d'en tirer profit. La gestion efficace du risque contribue à améliorer la prise de décision et l'affectation des ressources, en plus d'offrir en bout de chaîne des résultats optimaux à la population canadienne.

Les principales activités de la pratique de la gestion intégrée du risque commencent généralement par la préparation d'un profil de risque organisationnel, ou d'un document équivalent. Le profil de risque permet à l'organisation d'acquérir une vue d'ensemble de ses principaux risques ainsi qu'une compréhension de son contexte opérationnel et de ces objectifs en lien avec la gestion du risque. Pour entreprendre la préparation d'un profil de risque, l'organisation devrait déjà avoir établi les bases de la gestion intégrée des risques.

On trouvera une présentation de la gestion intégrée du risque ainsi que des conseils sur la planification, la conception et la mise en œuvre d'une approche et d'un processus de gestion du risque aux sections 3 à 6 du Guide de gestion intégrée du risque de 2010.



Le Profil De Risque

Le profil de risque d'une organisation décrit les principaux risques auxquels elle est confrontée, y compris les menaces et les occasions. Au sein de l'administration fédérale canadienne, le risque se définit comme « l'effet de l'incertitude sur les objectifs ». Le risque exprime la probabilité et l'incidence d'un événement susceptible de nuire à l'atteinte des objectifs de l'organisation. Produit du processus d'évaluation du risque, le profil de risque organisationnel conforte l'analyse et la prise de décision de la haute direction pour l'établissement des priorités et l'affectation des ressources. Le profil de risque offre aussi au personnel, aux partenaires externes et aux conseillers un « instantané » clair des principaux risques de l'organisation et permet, une fois qu'il est mis en œuvre, de relever les domaines efficaces et les occasions potentielles. Cette approche favorisera ainsi l'établissement des priorités et l'allocation des ressources de manière stratégique, la prise de décisions éclairées en regard de la tolérance au risque et l'amélioration des résultats.

Pour dresser le portrait de risque de l'organisation, il faut recueillir de l'information tant au niveau de l'organisation que des activités afin d'aider les organisations à comprendre l'éventail des risques auxquels elles sont exposées et à déterminer leur probabilité et leurs conséquences éventuelles. De plus, l'identification et l'analyse de la capacité actuelle de gestion du risque au sein des organisations constituent une composante essentielle de l'élaboration du profil de risque de l'organisation. La compréhension de la capacité de l'organisation en matière de gestion du risque éclairera l'élaboration de profil de risque et enrichira l'analyse contextuelle.

Comme pour tous les risques continuellement relevés, une fois les grands risques documentés, il faudra intégrer l'information relative à ces risques aux structures de gouvernance en place et aux cycles de planification et de rapports d'une manière simple permettant une communication efficace.

La manière de présenter les risques varie d'une organisation à l'autre, mais tous les profils de risque organisationnels comportent des caractéristiques qui en font un précieux outil de gestion. Ces caractéristiques sont les suivantes :

  • Le profil de risque organisationnel expose les risques ayant une incidence sur l'atteinte des objectifs. Les risques, y compris les menaces et les occasions, se rapportent à l'avenir et à une incertitude future. Le risque n'est pas une situation opérationnelle ni un enjeu ou un problème existant. Les situations récurrentes peuvent parfois être interprétées comme des risques. Dans ce cas, l'organisation devrait relever les risques associés à ces situations récurrentes plutôt que décrire les situations proprement dites.
  • Le profil de risque doit refléter les circonstances et les objectifs caractéristiques de l'organisation. Il doit présenter ses conditions opérationnelles de même que sa taille et la complexité de son mandat.
  • Le profil de risque doit être équilibré, c'est-à-dire qu'il doit comprendre un niveau de détail suffisant pour présenter le contexte et une description claire des risques, y compris la manière dont ces risques sont gérés au sein de l'organisation, sans toutefois être excessivement détaillé, afin d'éviter que le lecteur y perde son latin ou que le document ne facilite pas la prise de décisions efficace.

L'utilisation du profil de risque est recommandée tant comme outil d'apprentissage que comme instrument à l'appui de la prise de décisions.

Conseils:

  • Le leadership de la haute direction est un déterminant clé de la préparation, de la mise en œuvre et de l'amélioration continue du profil de risque.
  • Pour préparer le profil de risque organisationnel, il est important d'établir une méthodologie uniforme clarifiant la manière dont les risques des secteurs de programmes sont regroupés au niveau organisationnel. (Pour de l'information sur les catégories de risques, voir le Guide sur les taxonomies des risques du SCT, publié dans son site Web.).
  • Il est recommandé que soient présentés à la haute direction un nombre gérable de risques principaux (cinq à dix) correspondant au mandat, aux objectifs et aux ressources de l'organisation.
  • Les risques doivent être énoncés clairement et différenciés de leurs déterminants et enjeux connexes. La méthode d'identification et d'évaluation des risques doit être aussi uniforme que possible dans l'ensemble de l'organisation. 
  • Le processus d'établissement des priorités devrait être marqué par la transparence afin de faire en sorte que l'ensemble du personnel comprenne la méthode employée par la haute direction. L'ouverture et la transparence permettront de maintenir la connaissance de la tolérance au risque.
  • On invite les organisations à fixer et à faire connaître le cycle de mises à jour de leur profil de risque et de son approbation par la haute direction afin qu'il reste pertinent et dynamique et qu'il continue d'apporter une valeur ajoutée au processus décisionnel.
  • Les organisations devraient préparer un profil de risque proportionnel à leur taille et à la complexité de leur mandat. Dans certains cas, un document assez détaillé sera opportun, dans d'autres cas, un document relativement bref suffira. 
  • Il est recommandé que les organisations tiennent compte des principes directeurs énoncés dans le Cadre stratégique de gestion du risque pour élaborer leurs réactions au risque et pour mettre en œuvre leur profil de risque.
  • Les organisations devraient se référer au Modèle de la capacité en matière de gestion des risques du SCT, un outil diagnostic pouvant servir de base à une discussion au sujet de l'approche organisationnelle globale de gestion du risque et de l'utilisation de leur profil de risque.

Utilisation Du Guide

Le présent guide se veut un outil de soutien à l'intention des organisations pour la préparation de leur profil de risque. Il est adaptable et destiné à l'ensemble des ministères et organismes. Le guide ne fournit toutefois pas la méthode pour réaliser une évaluation du risque.

Les organisations déjà dotées d'un solide profil de risque pourront se référer au guide pour de l'information supplémentaire susceptible d'éclairer la préparation de versions ultérieures. Les organisations qui ne disposent pas déjà d'une approche définie pourront utiliser le guide en guise de modèle pour la préparation de leur profil.

Format du profil de risque

On invite les organisations à choisir un format qui facilitera la présentation du texte et des diagrammes, dont des tableaux, et qui correspond à leurs besoins. Par exemple, une organisation pourrait décider de produire son profil de risque sous la forme d'une présentation ou d'un tableau plutôt que sous la forme d'un exposé narratif.



Approche Recommandée Pour La Préparation D'un Profil De Risque Organisationnel

Chaque section du guide présente les principaux points à prendre en considération pour l'élaboration et la présentation du contenu d'un profil de risque. Certains éléments sont désignés « essentiels », alors que d'autres sont « recommandés ». Les sections « essentielles » sont considérées comme des éléments indispensables d'un profil de risque de qualité puisqu'elles fournissent clarté et contexte. Les sections « recommandées », sans être jugées indispensables, peuvent ajouter à la pertinence globale du profil de risque.

Le profil de risque devrait présenter l'information essentielle de manière claire et concise.

Le Centre d'excellence en gestion du risque convient qu'il est possible qu'une organisation décide de regrouper de l'information essentielle en fonction du format et de la structure de son profil de risque. La portée de l'analyse présentée dans le profil de risque devrait toujours être adaptée à la taille de l'organisation et à la complexité de son mandat.

Résumé

Le profil de risque peut comprendre un résumé des principaux risques et considérations. Le résumé est généralement présenté par un membre de la haute direction. Ce résumé offre l'avantage de proposer au lecteur un aperçu succinct des principaux risques de l'organisation.

Les éléments suivants peuvent être inclus dans le résumé :

  • un résumé du contexte et de la méthode;
  • les principaux risques accompagnés, si l'espace le permet, d'un énoncé ou d'une description;
  • une matrice des risques présentant l'exposition résiduelle au risque;
  • un sommaire des réactions aux risques;
  • un sommaire des prochaines étapes.

Comme le résumé offre un survol rapide et concis du profil de risque de l'organisation, cette section est recommandée.

Introduction

L'introduction devrait mettre en contexte le profil de risque au sein de l'organisation et décrire brièvement les facteurs ayant donné fond à sa préparation.

L'introduction devrait comprendre les sections suivantes :

  • le contexte;
  • un résumé de la méthode.

Contexte

Le contexte présente une brève description de la gestion intégrée du risque au sein de l'organisation et l'objet du profil de risque.

Le contexte peut comprendre les éléments d'information suivants :

  • l'objectif, la portée et le public cible (le personnel, la haute direction, les partenaires externes, etc.);
  • la raison d'être de la gestion intégrée du risque au sein de l'organisation et les principaux messages d'un représentant de la haute direction, par exemple, le chef de la gestion du risque.

Cette section est jugée essentielle.

Résumé de la méthode

Le résumé de la méthode vise à présenter un résumé de la méthode de gestion du risque employée pour produire le profil de risque de l'organisation. Cette section devrait expliquer clairement au lecteur comment les risques ont été évalués et pourquoi l'approche est adaptée et pertinente.

La section peut comprendre les éléments suivant:

  • une description de la manière utilisée pour relever, identifier et évaluer les principaux risques et de la façon dont l'organisation a déterminé comment réagir à ces risques;
  • une description de la fréquence et du choix du moment des mises à jour du profil, y compris le processus d'examen et d'approbation de la haute direction;
  • une justification expliquant la raison pour laquelle a retenu l'approche choisie ou employé des techniques particulières et la pertinence de ces moyens par rapport aux besoins de l'organisation.

Conseils:

  • Cette section devrait être brève et limitée à l'information qui permettra au lecteur de comprendre l'approche. Il est possible d'inclure des détails supplémentaires dans des annexes.
  • Expliquez pourquoi l'approche a été retenue et les techniques utilisées afin d'en faire comprendre la pertinence aux lecteurs (dont le Conseil du Trésor et les membres des CVMO).
  • Justifiez la portée du profil de risque (c.-à-d. si l'évaluation tient compte de tous les types de risques.
  • Décrivez le niveau de consultation (c.-à-d. si l'évaluation comprend une consultation dans l'ensemble de l'organisation, soit les régions, l'ensemble du personnel, l'ensemble des gestionnaires).
  • Si l'approche et les techniques ont changé depuis la rédaction du profil précédent, expliquez et justifiez les différences. Examinez l'à-propos d'inclure ou de citer des examens réalisés récemment et les conclusions pertinentes.

En raison de l'importance d'acquérir une compréhension commune du risque au sein de l'organisation, dont la démarche employée pour préparer le profil de risque, cette section est jugée essentielle.

Contexte

Le profil de risque devrait comprendre de l'information permettant de situer les risques de l'organisation par rapport à ses grands objectifs stratégiques et à son environnement opérationnel. Cette section peut être subdivisée en deux parties :

  • les résultats stratégiques;
  • l'environnement opérationnel.

Résultats stratégiques

Cette section présente un résumé des objectifs et des résultats stratégiques de l'organisation et est jugée essentielle. Elle peut comprendre une description du mandat, de la mission ou de la vision de l'organisation, une liste de ses objectifs et de ses résultats ainsi qu'une liste des priorités de la direction, si possible.

Conseils:

  • Résumez les objectifs et les résultats et citez d'autres documents de l'organisation dans une annexe si des détails sont nécessaires.
  • Les objectifs et les résultats sont généralement définis dans l'architecture des activités de programmes, la Structure de gestion, des ressources et des résultats, les cadres de gestion du rendement, les rapports annuels et d'autres documents semblables. Choisissez le document qui reflète le mieux les objectifs et les résultats du moment.
  • Comme les petits organismes ont résultats stratégiques moins nombreux, complexes ou variés, cette section pourrait être dans leur cas assez brève et concise.

Environnement opérationnel

Cette section décrit l'environnement dans lequel évolue l'organisation et peut présenter des influences internes et externes. La description de l'environnement opérationnel permet de mieux comprendre les conditions existantes, de saisir pourquoi les risques relevés sont importants pour l'organisation et d'expliquer pourquoi les réactions aux risques sont adaptées. Selon la nature de l'organisation, une brève description de l'environnement opérationnel peut être souhaitable, mais elle n'est pas jugée essentielle.

La section peut comprendre les éléments suivants:

  • une description du contexte social, culturel, politique, juridique, réglementaire, financier, technologique, économique, naturel et concurrentiel de l'organisation; cette description peut comprendre les principaux catalyseurs et les grandes tendances ayant une incidence sur les objectifs ou les activités de l'organisation;
  • une description de la structure de gouvernance de l'organisation, de son cadre de politiques, de ses stratégies, de ses capacités, de ses relations, de sa culture, de son information, de ses modèles d'activités, etc.; cette description peut comprendre les principaux catalyseurs et les grandes tendances ayant une incidence sur les objectifs ou les activités de l'organisation.

Conseils:

  • Cette section doit rester brève et ciblée.
  • Il est possible d'inclure des renvois à des annexes ou à d'autres documents de l'organisation, notamment des plans d'activités et des analyses du contexte, s'il y a lieu.
  • Les grands organismes, ainsi que les petits organismes dont les mandats sont très complexes, peuvent devoir fournir des descriptions détaillées pour dresser le portrait de leurs activités.

Résumé Du Profil De Risque

Le résumé du profil de risque offre aux lecteurs un portrait concis des grands risques de l'organisation. Le présent guide décrit deux principales parties du résumé. Selon les préférences de l'organisation, l'information peut être présentée dans cette section du profil ou séparément.

Les sections sont les suivantes:

  • les risques principaux;
  • la matrice des risques principaux

Risques principaux

Cette section présente les principaux risques auxquels est exposée l'organisation et comprend une description de chacun de ces risques. Elle expose sommairement les risques auxquels la haute direction devrait accorder son attention et offre au personnel, aux partenaires externes et aux conseillers un « instantané » clair des principaux risques de l'organisation. Cette section est donc jugée essentielle.

Les grands risques devraient être présentés en fonction de leur niveau de risque résiduel. Les risques devraient être identifiés ou désignés et être accompagnés de leur description.

Conseils:

  • La section peut aussi comprendre les caractéristiques décrivant de manière plus détaillée le risque. On peut aussi plutôt décider de rédiger une section distincte. Se reporter à la section 4.5.
  • Chaque ministère et organisme devrait identifier ses principaux risques dans le contexte de ses objectifs et de ses résultats stratégiques : les principaux risques sont ceux qui sont les plus susceptibles d'avoir des répercussions sur l'atteinte des objectifs et des résultats de l'organisation.
  • La liste des principaux risques peut être présentée seule ou accompagnée de la matrice des risques.

Matrice des risques principaux

La matrice des risques est un outil servant à illustrer le classement des risques en fonction de l'évaluation de leur probabilité et de leur incidence. La taille de la matrice dépendra des préférences de l'organisation : certaines organisations utilisent une matrice de 3 x 3, d'autres, une de 5 x 5. Le Centre d'excellence en gestion des risques reconnaît que certaines politiques du Secrétariat du Conseil du Trésor nécessitent une matrice de 3 x 3 pour produire des rapports sur les risques. Les organisations sont invitées à choisir la taille de matrice adaptée à leurs besoins et de migrer d'une matrice à l'autre au besoin.

Comme la matrice illustre visuellement le classement de chacun des risques en fonction de sa probabilité et de son incidence ainsi que la relation entre les risques, cet élément est jugé essentiel.

Conseils:

  • Utilisez une légende indiquant à quel risque correspond chaque point ou étiquette de la matrice.
  • Les échelles de probabilité et d'incidence présentent généralement un code de couleur représentant l'exposition. 
  • Le format de la matrice (couleurs, nombre de cellules, etc.) devrait correspondre à la méthode et à l'approche utilisées et être adapté aux besoins de l'organisation. On ne s'attend pas à ce que toutes les organisations présentent leur matrice selon l'exemple ci‑après.
Exemple

Exemple d'un matrice des risques de chaleur principaux

Catégorie de risque Description du risque
1. Juridique

Il y a un risque que le soutien juridique et législatif du programme soit insuffisant.

2. Capacité des RH

La capacité des RH pourrait ne pas suffire à mener la recherche scientifique nécessaire.

3. Prestation des programmes

Il y a un risque que la qualité de la recherche soit réduite.

4. Conception du projet

Il y a un risque que la conception du projet ne corresponde pas aux exigences des parties intéressées et de l'industrie

5. Processus opérationnels

Il y a un risque que les instruments contractuels soient utilisés de manière inadéquate.

Comprendre Nos Risques

Cette section peut être intégrée à la section 4.4 « Résumé du profil de risque » si l'organisation le souhaite. La section 4.5 permet à l'organisation de décrire plus en détail ses grands risques organisationnels, la matière dont ces risques sont liés aux résultats stratégiques de l'organisation et les interrelations possibles entre ces risques. Il est possible de regrouper ces trois éléments sous le point « Détails des risques » ou de les présenter séparément, selon l'étendue de l'information recueillie.

Détails des risques

La description des détails des risques est essentielle. Les organisations devraient fournir:

  • un bref énoncé descriptif de chacun des risques. Les énoncés de risques portent sur des événements futurs, et non sur des enjeux existants, et doivent énoncer ces événements d'une manière claire et concise. S'il s'agit d'enjeux récurrents, les risques associés à la gestion de ces enjeux doivent aussi être énoncés.
  • un renvoi à une taxonomie catégorisant ces risques, si elle existe. Si l'approche de l'organisation comprend une taxonomie, alors la catégorie correspondante doit être indiquée.
  • la description des sources de risque (déterminants, facteurs, tendances) ayant une incidence sur l'exposition au risque de l'organisation. Inclure les sources internes et externes exposant l'organisation au risque.
  • un court énoncé de l'incidence et des répercussions éventuelles du risque s'il devait se concrétiser. Voir le point « Établir la corrélation entre les risques et les résultats stratégiques » de la présente section pour un complément d'information.
  • une évaluation de l'exposition inhérente au risque de l'organisation.
  • une évaluation de l'exposition résiduelle en termes de probabilité et d'incidence (tel que décrit par la matrice des risques).
  • une liste des réactions au risque déjà en place ou à mettre en œuvre permettant de réduire l'exposition au risque de l'organisation;
  • les indicateurs de risque pertinents, les indicateurs de rendement des réactions au risque et les plans d'action correspondants;
  • les responsables des risques et les obligations redditionnelles. Ces éléments doivent désigner des individus ou des rôles et non des comités.

On incite les organisations à établir des liens entre les réactions aux risques et d'autres documents organisationnels s'il y a lieu (plans d'investissements, plans de vérification, etc.).

Exemple de description d'un risque

Exemple de description d'un risque

Ressources humaines

Identifiant et énoncé du risque

Risque F1. Il y a un risque que l'organisation ne puisse ne pas être en mesure de maintenir le nombre actuel d'employés des catégories d'emplois scientifiques.

Catégorie du risque

Le risque appartient à la catégorie des risques liés à la capacité des ressources humaines. Il se rapporte à l'insuffisance de la capacité des RH en matière de recherche scientifique.

Sources du risque

L'organisation est exposée à ce risque en raison des facteurs suivants :

  • Augmentation de la demande du secteur privé dans le domaine scientifique et technologique;
  • Augmentation de la demande d'employés dans le domaine scientifique dans l'administration fédérale;
  • Manque d'activités de maintien en poste et de recrutement propres au domaine scientifique et technologique.
Exposition au risque inhérent

Si le risque se concrétisait, les conséquences seraient graves et ne pourraient être assumées par l'organisation sans délai important par rapport aux objectifs de recherche.

Mesures de contrôle existantes

L'organisation a recours aux stratégies suivantes pour atténuer le risque :

  • Communication avec les collèges et universités locaux afin de promouvoir l'organisation comme employeur de choix.
Exposition au risque résiduel

Si le risque se concrétisait, les conséquences seraient importantes, mais l'organisation pourrait les assumer en adaptant son programme de recherche et en établissant de nouveaux objectifs. Cette mesure pourrait nécessiter le réexamen de certaines activités afin de combler les manques.

Conséquences et résultats stratégiques
  • Sans mesure d'atténuation, les objectifs de recherche ne seraient pas atteints;
  • Sans mesure d'atténuation, la réputation d'excellence en matière de recherche de l'organisation serait compromise;
  • Sans mesure d'atténuation, l'organisation pourrait perdre la capacité de fournir au milieu scientifique de l'information pertinente en temps opportun;
  • Sans mesure d'atténuation, les objectifs de l'organisation pourraient ne pas être atteints.
Évaluation du risque

La tolérance de l'organisation à l'égard des risques en matière de ressources humaines est à un niveau de risque modéré à élevé. L'organisation a évalué que le risque et l'exposition résiduelle dépassent le seuil de tolérance. On propose de prendre des mesures de réaction supplémentaires afin d'augmenter le maintien en poste et le recrutement au cours des deux prochaines années.

Réactions au risque

Les mesures supplémentaires de réaction au risque comprennent le renouvellement des politiques sur la dotation et le maintien en poste et l'accès à de plus vastes bassins de candidats qualifiés afin de répondre aux besoins en matière de recherche scientifique de l'organisation.

  • L'organisation mettra en œuvre des politiques de dotation rationalisées et efficaces.
  • L'organisation mettra en place un programme de maintien en poste favorisant un engagement à long terme. 
  • L'organisation mettra sur pied un programme officiel de recrutement des étudiants de cycles supérieurs en collaboration avec les universités du pays.
  • L'organisation établira un programme de stage en collaboration avec les collèges et les universités afin de faire la promotion de l'organisation.
Plan d'action et échéanciers
  • Définir et établir des partenariats avec les collèges et les universités – automne 2010;
  • Préparer une stratégie de communication et de mobilisation des intervenants – automne 2010;
  • Formuler et mettre en œuvre des changements aux politiques en collaboration avec la Direction des RH – printemps-été 2011.
Indicateurs
  • Taux de roulement au sein du groupe scientifique et technologique.
  • Taux de recrutement et de maintien en poste au cours des deux prochaines années.
  • Analyse des objectifs de recherche au cours des trois à cinq prochaines années.
Responsable du risque et obligations redditionnelles connexes

Responsable : SMA, direction de la recherche et des politiques

Autres responsables : SMA, Direction des RH

Établir la corrélation entre les risques et les résultats stratégiques

Comme on l'a établi dans la section précédente sur les détails des risques, les organisations devraient formuler un énoncé décrivant quel serait l'incidence, le résultat ou l'effet si aucune mesure d'atténuation du risque n'était prise, y compris les répercussions sur ses résultats stratégiques. Les résultats peuvent être présentés en fonction de l'architecture des activités de programmes de l'organisation, d'un modèle logique ou d'un autre outil de même nature.

L'établissement de la corrélation entre les risques et les résultats stratégiques est indispensable puisque ce processus permet aux gestionnaires de mieux comprendre la nature des résultats associés à des risques donnés. Cette information peut être intégrée aux détails des risques ou faire l'objet d'une section distincte.

Conseils:

  • Établissez les liens entre les résultats stratégiques et des risques donnés.
  • Expliquez la portée de l'analyse.
  • Utilisez les résultats stratégiques énoncés à la section 4.3 pour établir la corrélation.
  • Le format de l'information pourra varier selon l'organisation. Il est possible d'utiliser des diagrammes ou une présentation narrative, ou une combinaison des deux.
  • Le format de l'information peut démontrer la complexité de l'organisation et de l'analyse. On ne s'attend pas à ce que toutes les organisations présentent l'information de la même façon.

Il est possible d'utiliser un tableau pour présenter les corrélations entre les risques et les résultats stratégiques.

Exemple : principaux risques et les résultats stratégiques
Résultat stratégique Catégorie de risque Description du risque
Protection de la propriété intellectuelle

Juridique

Capacité des RH

Prestation des programmes

Conception du projet

Processus opérationnels

 
 
 
Risques pour l'environnement

Prestations des programmes

Conception des programmes

 
Recherche et technologie de pointe

Juridique

Capacité des RH

Prestations des programmes

Conception des programmes

 
 

Interrelations entre les risques

Une organisation peut décider de fournir une description ou une représentation visuelle de l'incidence de la concrétisation d'un risque sur un autre. Les interrelations entre les risques aident les gestionnaires à déterminer où cibler leurs réactions aux risques et les mesures de suivi. Elles permettent aussi au lecteur de voir un portrait global et horizontal des risques. La description des interrelations entre les risques est donc recommandée, mais n'est pas essentielle.

Conseils:

  • Présentez les résultats de l'analyse de l'influence des risques les uns sur les autres.
  • Expliquez la portée du résultat pour l'organisation.
  • Il n'est pas nécessaire d'établir des interrelations entre tous les risques.
  • Les organisations pourraient analyser les risques des registres des secteurs de programmes ou les risques d'un portefeuille ou d'une communauté de pratique.
  • Cette section peut être présentée sous forme d'exposé narratif ou à l'aide de diagrammes matriciels ou de tableaux. Le format de la section sur les interrelations peut démontrer la complexité de l'organisation et de l'analyse. On ne s'attend pas à ce que toutes les organisations présentent l'information de la même façon.
Exemples de graphiques et de diagrammes :
  Risques organisationnels
Juridique Capacité des RH Prestation des programmes Conception des programmes Processus opérationnels
Risques organisationnels Juridique S.O. Non Oui Oui Oui
Capacité des RH Oui S.O. Oui Oui Non
Prestation des programmes Non Oui S.O. Oui Oui
Conception des programmes Oui Oui Non S.O. Non
Processus opérationnels Oui Non Non Oui S.O.

Exemple d'une graphiques présentant l'nterrelations entre les risques

Suivi Des Risques

La présente section décrit le processus de suivi des risques et les mécanismes de rapports sur l'état d'avancement et le rendement des réactions aux risques ou des plans d'action.

Cette section est essentielle.

Les organisations doivent désigner les responsables du suivi des risques et de la production de rapports et décrire le processus de mise à jour de leur profil de risque lorsque des modifications doivent être apportées aux éléments suivant:

  • les conditions opérationnelles.
  • la structure interne de gouvernance.
  • l'exposition au risque.
  • la tolérance au risque.
  • les plans d'action en matière de risques.
  • l'évolution des principaux indicateurs de risque.

Les organisations sont invitées à décrire la structure de gouvernance du suivi continu du risque. Ce point peut être comprendre des diagrammes et des descriptions narratives et présenter l'évolution d'année en année, comme dans l'exemple ci-dessous.

Risque Changement Justification Gouvernance
HR Capacity

Baisse de l'exposition au risque résiduel du niveau élevé au niveau modéré entre 2008-2009 et 2009-2010.

Mise en œuvre probante des modifications à la politique de dotation et au programme recrutement et de maintien en poste.

SMA, recherche et politiques

SMA, Direction des RH

L'analyse d'année en année peut aussi être liée à une matrice des risques.

Key Trends 2008-2009 to 2009-2010

Exemple d'un matrice des risques principaux au cours d'une période annuelle

Légende de l’exemple : S-10, Capacité des RH, réduction de la probabilité et de l’incidence.

Utiliser L'Information Sur Le Risque

Cette section expose la façon dont l'information sur l'évaluation du risque présentée dans le profil sera intégrée aux fonctions de planification, de production de rapports et de prise de décisions de l'organisation. Cet élément est jugé essentiel puisqu'il décrit comment le profil de risque de l'organisation favorise la prise de décisions éclairée par l'analyse des risques.

Les organisations devraient décrire comment leur profil de risque sera utilisé et de quelle manière l'information sur le risque sera intégrée leurs grands processus décisionnels, dont la planification, la production de rapports, l'élaboration de politiques, l'analyse juridique, l'analyse financière, la vérification et l'évaluation.

La manière dont les organisations se serviront de l'information sur le risque variera en fonction de leur mandat particulier et de leurs fonctions opérationnelles fondamentales. Par exemple, les organisations dont les activités sont axées sur les subventions et les contributions pourront régulièrement faire référence aux principaux risques associés aux questions financières, à la gestion de projet et à la gestion des parties intéressées pour la préparation de notes d'information ou de rapports. De même, les organisations dont le mandat est axé sur les sciences et celles dont le mandat se rapporte à la réglementation pourront faire état des risques liés à la recherche et au développement, aux valeurs et à l'éthique et aux questions juridiques.

La présentation des risques, des mesures d'atténuation, des avantages et des inconvénients est un élément essentiel de la préparation des principaux documents stratégiques, notamment les notes d'information à l'intention de la haute direction, les mémoires au Cabinet, les présentations au Conseil du Trésor et d'autres documents d'analyse stratégique.

Ainsi, le profil de risque organisationnel assure un accès rapide à de l'information sur le risque essentielle à l'élaboration des politiques. L'information sur le risque est indispensable à l'élaboration des politiques et des options de programmes puisqu'elle bonifie la présentation des avantages et des inconvénients, enrichissant ainsi le processus décisionnel. Par exemple, l'information mettant en lumière les avantages et les inconvénients de nouvelles avancées ou de nouvelles technologies pourra mettre en évidence d'importantes difficultés de mise en œuvre tout en faisant attirant l'attention des décideurs sur l'occasion d'offrir une valeur ajoutée à la population et à l'économie.

Les organisations devraient tirer le maximum de leur profil de risque afin d'améliorer leurs processus décisionnels, d'accroître la qualité de l'information présentée à la haute direction et aux organismes centraux et finalement de parfaire leurs pratiques de gestion dans leur ensemble.

Appendices

On recommande que les annexes servent à citer des sources de référence plus détaillées, comme des politiques, la méthode d'évaluation du risque et les registres de risques secondaires. L'annexe devrait inclure un glossaire des principaux termes. On pourrait aussi inclure les échelles de probabilité et d'incidence, qui présentent les critères d'évaluation de la probabilité et de l'incidence de chacun des risques dans le contexte particulier de l'organisation.



Coodonnées

Pour obtenir de plus amples renseignements, veuillez contacter Demandes de renseignement du SCT.


Détails de la page

Date de modification :