Secrétariat du Conseil du Trésor du Canada
Symbole du gouvernement du Canada

ARCHIVÉ - Les pratiques exemplaires en matière de gestion des risques dans les Secteurs privé et public, au niveau International

Avertissement Cette page a été archivée.

Information archivée dans le Web

Information archivée dans le Web à  des fins de consultation, de recherche ou de tenue de documents. Cette dernière n’a aucunement été modifiée ni mise à  jour depuis sa date de mise en archive. Les pages archivées dans le Web ne sont pas assujetties aux normes qui s’appliquent aux sites Web du gouvernement du Canada. Conformément à  la Politique de communication du gouvernement du Canada, vous pouvez demander de recevoir cette information dans tout autre format de rechange à  la page « Contactez-nous Â».

Sommaire

Ce sommaire des Pratiques exemplaires en matière de gestion des risques dans les secteurs privé et public, au niveau international résume le cadre de l'étude, les meilleures pratiques ainsi que et les observations et les conclusions de la présente étude.

A. Cadre de l'étude

La firme KPMG a été retenue pour identifier les pratiques exemplaires du secteur privé et du secteur public au niveau international. Les objectifs de l'étude étaient d'identifier les pratiques exemplaires en matière de gestion des risques, c'est-à-dire les stratégies, les approches, les méthodes, les outils et les techniques utilisés, et la façon dont on pourrait les utiliser au sein du gouvernement fédéral canadien. L'étude a été menée parallèlement à une autre étude sur les pratiques exemplaires au sein des organismes canadiens du secteur privé et du secteur public, effectuée par une autre firme de conseillers. Nos équipes ont travaillé en étroite collaboration pour s'assurer d'avoir une même compréhension des exigences de l'étude et d'être en mesure de présenter un sommaire coordonné.

L'étude porte sur les pratiques ' exemplaires ', soit celles particulièrement efficaces pour aider une organisation à atteindre ses objectifs en matière de gestion des risques et qui représentent aussi un intérêt pour d'autres organisations. L'étude met l'accent sur les pratiques de gestion des risques qui ont été intégrées à d'autres pratiques de gestion, comme celles de la planification et de la prise de décisions. Elle étudie également les stratégies de planification, de développement, de mise en oeuvre et de suivi de la gestion des risques.

Le tableau 1 illustre l'approche utilisée pour mener l'étude et ses quatre composantes : recherche documentaire et contacts avec les bureaux de la firme KPMG à l'étranger; communiquer avec les organisations pour connaître leur intérêt à participer à notre étude, entrevues et collecte des données, puis analyse et rapport. Nous avons eu recours à notre réseau international de la KPMG pour identifier les organisations dans les pays qui possèdent de bonnes pratiques de gestion des risques.

Notre échantillon d'étude s'est composé de 228 publications pertinentes et des entrevues auprès de dix-huit organisations provenant de l'Australie, l'Europe de l'Ouest (France, Allemagne, Suède, Suisse, Royaume-Uni), la Nouvelle-Zélande, l'Afrique du Sud, Taïwan, et les états-Unis. Les organisations provenant de l'Europe de l'Ouest, de l'Australie et de la Nouvelle-Zélande représentent environ 80 p. 100 de notre échantillonnage. Ce dernier inclut douze organisations du secteur privé et cinq du secteur public. Nous avons interviewé des entreprises dans les secteurs d'activités suivants : industries de fabrication, mines et ressources naturelles, services financiers, produits pharmaceutiques, technologie et communications, et services publics.

Tableau 1
Approche


Table 1 : Approche

B. Les avantages à l'implantation de la gestion des risques

Les organisations font état de nombreux avantages découlant de la gestion des risques. Ces avantages sont, dans l'ensemble, reliés aux objectifs de l'organisation et aux pratiques de gestion. L'avantage principal est d'atteindre les objectifs de l'organisme. Les autres avantages rapportés sont une aide accrue à concentrer les énergies sur les priorités opérationnelles, un renforcement du processus de planification et d'aide à la direction relativement à l'innovation. Les avantages reliés à ce processus de gestion incluent : un changement culturel qui favorise une discussion ouverte sur les risques et sur l'information comportant un potentiel de dommages; l'amélioration de la gestion financière et opérationnelle en faisant en sorte que les risques soient adéquatement considérés dans le processus de prise de décisions; et enfin l'accroissement de la responsabilisation de la gestion.

C. Les pratiques exemplaires

Le tableau 2 présente une vue d'ensemble des pratiques exemplaires. Le ' moyeux ', duquel partent toutes les autres pratiques, c'est la philosophie organisationnelle. Toutes les pratiques produisent un mouvement vers l'intégration de la gestion des risques au sein de l'organisation. Les approches, les outils et les techniques constituent le point de contact avec la ' route ', c'est-à-dire l'orientation et les objectifs de l'organisation. Plusieurs pratiques sont interreliées. Par exemple, les ' équipes multidisciplinaires ' ont besoin d'une ' communication ouverte '.

Tableau 2
Aperçu général des pratiques exemplaires


Tableau 2 : Aperçu général des pratiques exemplaires

Source : KPMG

© KPMG

  • Promotion d'une philosophie et d'une culture organisationnelles selon lesquelles tout le monde est gestionnaire de risques : La pratique prédominante d'intégration de la gestion des risques est, de loin, celle qui consiste à édifier une culture organisationnelle dans laquelle tout le monde est gestionnaire de risques. Certaines organisations considèrent que cet aspect était plus important que l'élaboration et la promulgation de politiques et de procédures élaborées. Les employés qui prennent la responsabilité de leurs actions et de leurs rés ultats deviennent des gestionnaires de risques. Idéalement, les employés ont une compréhension intuitive des buts de l'organisation et ils travaillent dans ce sens.
  • La haute direction et/ou les organismes de régie se font les champions de la gestion des risques, définissent et communiquent les niveaux de risques acceptables : La responsabilité de diriger la gestion des risques est placée à un niveau élevé dans l'organisation. La haute direction (et/ou des organismes de régie, comme le conseil d'administration) doivent être au courant de la gestion des risques et la comprendre. La haute direction et le conseil diffusent, à l'interne comme à l'externe, le message affirmant l'importance de la gestion du risque. Il est aussi important que les autres gestionnaires, intéressés et employés voient l'implication de ces instances.

Certaines organisations ont établi des responsabilités particulières, dans le domaine de la gestion des risques, pour le conseil d'administration et la haute direction. Le conseil d'administration peut offrir des conseils sur la façon d'identifier les principaux risques qui guettent l'entreprise, de s'assurer que les systèmes appropriés soient mis en oeuvre pour faire la gestion des risques, de s'assurer de l'intégrité des systèmes de contrôle et de gestion, de définir les responsabilités et d'exercer un suivi des risques les plus importants. La direction est responsable de la coordination de la gestion des risques et de l'identification, de l'évaluation, du contrôle et du rapport des risques. Le conseil d'administration ou la haute direction définissent, élaborent et approuvent une politique en matière de risques. La politique sur les risques établit le niveau de risque qu'une entreprise est prête à accepter. La politique pourrait également énoncer les rôles, les responsabilités et les pratiques relativement à la gestion des risques.

  • L'établissement de canaux de communication ouverts : Une communication ouverte est nécessaire au succès de la gestion des risques. Sans communication ouverte, il est impossible à la gestion des risques d'être l'' affaire de chacun '. Les gestionnaires ont besoin de canaux de communication directs vers le haut, vers le bas et à travers leurs unités organisationnelles pour les aider à détecter les risques et à prendre les mesures appropriées. L'information doit se partager.
  • L'utilisation d'équipes et de comités : Les équipes formelles et informelles constituent un mécanisme auquel, selon les rapports, de nombreuses organisations ont recours pour faire la gestion des risques. La constitution d'équipes fait ressortir la dynamique qui se manifeste entre les disciplines, réunit des attitudes diverses face au risque, et amène une nouvelle façon d'envisager les problèmes et les solutions. Elle est perçue comme une façon d'amener des disciplines diverses à se concentrer sur des objectifs communs.
  • L'utilisation d'un langage simple et ordinaire pour parler des risques d'affaires : Un langage commun pour traiter des risques d'affaires permet aux gestionnaires de communiquer avec des habitués de la salle de réunion ou de la salle des fournaises en des termes que tous peuvent comprendre. Cet aspect est également important dans les cas où on s'attend à ce que tous et chacun fassent de la gestion de risques. Les concepteurs de ce processus doivent réaliser un équilibre entre la simplicité et l'utilité.
  • La mise sur pied d'une fonction de gestion des risques au niveau de l'entreprise : De nombreuses organisations ont mis sur pied un centre responsable de la gestion des risques. Certaines unités sont placées sous un Chef des risques qui définit des moyens uniformes d'aborder la gestion des risques. En tant que champion du risque organisationnel, ce chef a la responsabilité de faire preuve de leadership puis d'établir et de maintenir une sensibilisation aux risques dans l'ensemble de l'organisation. Il pourrait également fixer des objectifs en matière de contrôle des risques, établir un cadre de gestion des risques et concevoir des façons de mesurer les risques.
  • La communication de la performance de la gestion des risques : Un petit nombre d'organisations font rapport à la direction, aux actionnaires et aux parties prenantes sur les risques et la performance en matière de gestion des risques. Par exemple, dans une organisation, les gestionnaires des unités administratives doivent faire rapport trois fois l'an au sous-comité du conseil d'administration sur les finances et les risques. Les rapports décrivent les dix principaux risques des unités et la façon dont on en fait la gestion.
  • La vérification interne et/ou le comité de vérification aident à la mise en oeuvre de la gestion des risques : La fonction de la vérification interne joue un rôle capital dans la mise en oeuvre de la gestion des risques dans l'ensemble d'une organisation. En voici quelques exemples : l'animation d'ateliers d'auto-évaluation; le suivi et les rapports sur la gestion des risques importants; la prestation de conseils; la sensibilisation des gestionnaires à la gestion des risques; l'examen des processus de gestion des risques; et une présence au comité de gestion des risques.
  • L'encadrement : L'encadrement est offert indirectement (au moyen de documents tels qu'une ' trousse d'outils ') ou directement (au moyen de conseils tels que des services internes de consultation).
  • La formation en matière de gestion des risques : La formation en matière de gestion des risques, placée dans le cadre du programme de formation d'une société, aide à faire l'intégration du risque. Les domaines qui se prêtent à la formation sont, notamment : les évaluations du risque, les pratiques exemplaires, les exigences législatives, la sécurité, les objectifs de gestion des risques, la formation dans le domaine de la sensibilisation aux risques afin de s'assurer que tous les gestionnaires tiennent compte des risques.
  • Approches, outils et techniques de mise en oeuvre de la gestion des risques : Les organisations utilisent différentes approches, outils et techniques afin de gérer les risques. Plusieurs d'entre elles ont élaboré des relevés des risques d'entreprise qui aident l'entreprise à déterminer, comprendre et aborder les risques qui l'affectent. L'utilisation d'un cadre à grande portée peut influencer une discussion sur les sources et les genres de risques, soit, par exemple, les risques externes, économiques, risques de marché, de crédit, risques reliés à l'information et aux ressources humaines, et risques stratégiques. Cette façon d'aborder la question permet d'examiner les risques sous l'angle d'une perspective multidisciplinaire. Les outils de modélisation, tels que l'analyse par scénarios et les modèles prévisionnels, permettent aux gestionnaires de gérer l'incertitude. En utilisant l'analyse par scénarios, les décideurs peuvent voir la gamme des possibilités et également intégrer ces scénarios aux plans d'urgence de l'organisation. Les techniques d'identification et d'évaluation des risques aident les gestionnaires à déterminer les endroits où ils devraient porter leur attention et investir leurs ressources. Ces techniques comprennent les ateliers, les questionnaires, l'auto-évaluation, le balayage des risques et les gabarits d'évaluation. L'Internet et l'Intranet servent de plus en plus à : promouvoir la sensibilisation aux risques et la gestion des risques; obtenir de l'information sur les risques qui existent dans certains domaines précis; communiquer avec les employés; partager l'information sur la gestion des risques à travers les agences et communiquer les objectifs de gestion des risques.

D. Les observations

à la suite de notre analyse des pratiques exemplaires, voici nos observations concernant la gestion des risques :

  • La gestion des risques, tout comme la fonction de contrôleur, est un état d'esprit : Les gestionnaires devraient avoir conscience de la gestion des risques et intégrer celle-ci à leurs autres pratiques de gestion. Les processus trop bureaucratiques et trop complexes vont noyer la gestion des risques sous un flot d'éléments non pertinents. Les gestionnaires ont besoin de flexibilité pour utiliser des techniques qui sont pertinentes pour eux-mêmes et pour leurs opérations. Cependant, la technique doit également permettre la synthèse des données et la comparaison des résultats des unités opérationnelles au niveau de l'entreprise dans son ensemble. Il faut que des spécialistes soient disponibles pour prêter assistance aux gestionnaires.
  • La gestion des risques et les fonctions éthiques de l'entreprise devraient fonctionner de pair : Les renseignements que nous avons recueillis indiquent que les programmes de gestion des risques et les programmes d'ordre éthique sont étroitement apparentés. Par exemple, un code d'éthique écrit est un mécanisme de communication des valeurs d'une organisation et des risques y afférents. Un code d'éthique destiné aux employés du gouvernement est perçu comme un moyen de sensibiliser les employés aux enjeux d'éthique ou aux risques affectant les valeurs fondamentales de l'entité.
  • La gestion des risques est un processus dynamique : Au fur et à mesure que changent les besoins et les risques opérationnels, de nouveaux processus ou outils de gestion des risques sont nécessaires. La performance des organisations en matière de gestion des risques doit également faire l'objet d'une surveillance et d'une amélioration continues. Les évaluations des risques ne sont pas des opérations strictement ponctuelles.
  • De nombreux spécialistes fonctionnels joueront un rôle dans la gestion des risques : L'examen que nous avons effectué des pratiques exemplaires indique que de nombreux spécialistes fonctionnels auront un rôle à jouer dans la gestion des risques. Ces spécialistes sont, notamment, les spécialistes en technologie de l'information, ceux des ressources humaines, des communications et des finances.
  • La gestion des risques doit être appuyée par des ressources adéquates : La haute direction doit s'engager à soutenir cette initiative en y consacrant les ressources nécessaires. Il faudra investir dans les domaines suivants : la formation, le développement des processus et des techniques, les systèmes de gestion et les groupes de spécialistes.

E. Conclusions

Nous concluons que les pratiques exemplaires sont généralement applicables dans le contexte du gouvernement fédéral. Le tableau 3 présente l'application des critères d'évaluation aux pratiques exemplaires. Les pratiques sont compatibles avec l'orientation actuelle de la gestion des risques au sein du gouvernement. La plupart de ces pratiques contribueront à l'amélioration de la prestation du service. En faisant la gestion des risques, les gestionnaires ont plus de chances d'atteindre leurs objectifs. Par conséquent, ils auraient de meilleures possibilités d'atteindre les objectifs et les cibles de prestation de services. Des pratiques telles que la philosophie organisationnelle, les canaux de communication ouverts, les équipes et les comités, l'encadrement et la formation contribuent à un environnement de travail opportun. Ces pratiques favorisent aussi l'innovation.

Ces pratiques facilitent effectivement la prise de décisions et la planification de la direction, mais le lien avec une saine allocation des ressources est moins fort. Toutefois, les outils permettant de représenter, de modéliser, d'identifier et d'évaluer les risques aident à concentrer les ressources sur les risques les plus menaçants et, de cette façon, les ressources sont allouées dans les domaines les plus critiques.

Il peut se dresser d'importants obstacles à la mise en oeuvre des pratiques exemplaires qui s'avèrent très différentes du statu quo. La plupart des ministères et organismes fédéraux fonctionnent avec une structure organisationnelle traditionnelle comportant une hiérarchie définie des rapports et de la gestion. Par conséquent, la mise en place d'une philosophie et d'une culture voulant faire de tout le monde un gestionnaire des risques peut être une cible hors d'atteinte. Parallèlement, les milieux actuels ne font pas bon accueil aux mauvaises nouvelles ou aux canaux de communication ouverts. Les ministères et organismes fédéraux auront besoin d'adopter des pratiques qui sont claires pour l'organisation et reliées aux avantages recherchés par cette organisation. Il existe différentes façons d'implanter ces pratiques dans les organisations.

Tableau 3
évaluation des pratiques


Tableau 3 : évaluation des pratiques


I Cadre de l'étude

Ce chapitre résume le but de l'étude et les objectifs qu'elle visait. Nous fixons le contexte de l'étude et décrivons l'approche suivie. Enfin, nous rendons compte de l'échantillon ayant fait l'objet de l'étude.

A. L'objet de l'étude et les objectifs visés

Cette section décrit l'objet de l'étude et les objectifs qu'elle visait sur la question des pratiques exemplaires en matière de gestion des risques qui ont cours, au niveau international, au sein des organismes du secteur public et du secteur privé.

1. Objet de l'étude

Le gouvernement fédéral canadien poursuit la mise en oeuvre des recommandations du rapport du Groupe de travail indépendant chargé de la modernisation de la fonction de contrôleur dans l'administration fédérale du Canada. Ce rapport avait relevé quatre éléments essentiels de la fonction moderne de contrôleur :

  • l'information sur la performance financière et non financière, historique et prospective,
  • la gestion des risques,
  • les systèmes de contrôle,
  • l'éthique, les pratiques d'éthique et un système de valeurs.

La création et le maintien d'un environnement mature de gestion des risques constituaient une des composantes névralgiques de l'approche recommandée par le comité. Pour promouvoir un tel environnement, le Secrétariat du Conseil du Trésor (SCT), de concert avec des ministères fédéraux et d'autres parties intéressées, est en train d'élaborer une façon d'aborder la gestion des risques qui puisse aider les employés à mieux comprendre, gérer et communiquer en matière de risques et de choix associés, c'est-à-dire, une approche moderne et intégrée. Le résultat de ces travaux devrait prendre la forme d'une politique générale qui établit le contexte de la gestion des risques au niveau fédéral, ainsi que l'encadrement, les outils, les techniques et la formation, à l'usage des ministères fédéraux.

Cette étude est l'une des quatre études simultanées qui contribuent à la recherche documentaire sur les pratiques exemplaires dans le domaine de la gestion des risques. Elle examine le secteur privé et le secteur public au niveau international.

2. Objectifs et portée de l'étude

Le projet avait pour objectif de relever les pratiques exemplaires en matière de gestion des risques, c'est-à-dire les stratégies, les approches, les méthodes, les outils et les techniques utilisés, et la façon dont on pourrait les utiliser au sein du gouvernement fédéral canadien.

L'étude est menée simultanément en deux parties, par deux firmes différentes. La firme KPMG a été retenue pour relever les pratiques exemplaires du secteur privé et du secteur public au niveau international. Suivant les paramètres de l'étude, nous avons recueilli des renseignements sur les pratiques exemplaires en Europe de l'Ouest (Royaume-Uni, France, Allemagne, Suisse), en Australie, en Nouvelle-Zélande et aux états-Unis. Nous avons également recueilli des renseignements provenant d'organisations de l'Afrique du Sud et de Taïwan. Notre description des travaux apparaît à l'annexe A.

B. Le contexte et l'approche

Dans cette section, nous décrivons le contexte et l'approche de l'étude. Il est important de comprendre ces deux dimensions parce qu'elles ont eu une influence sur les renseignements que nous avons recueillis au cours de l'étude et que nous discutons ici.

1. Le contexte

Comme il est indiqué plus haut, cette étude sur les pratiques internationales exemplaires a été menée parallèlement à une autre étude sur les pratiques exemplaires au sein des organismes canadiens du secteur privé et du secteur public, étude effectuée par une autre firme de conseillers. Les paramètres de nos études respectives exigeaient de nous une présentation coordonnée du sommaire de nos conclusions et de nos recommandations à notre chargé de projets. C'est ainsi que, depuis le tout début du projet, nos équipes ont travaillé en étroite collaboration pour s'assurer d'avoir une même compréhension des exigences de l'étude, d'être en mesure de réaliser une intégration des renseignements recueillis et de présenter un sommaire coordonné. Par exemple, nous avons défini la ' pratique exemplaire ' et les éléments de la gestion des risques qui avaient un rapport avec l'étude.

Il est important de noter que l'étude ne fait pas l'inventaire de la gamme complète des pratiques de gestion des risques.

  • En premier lieu, l'étude porte sur les pratiques jugées ' exemplaires ', par comparaison à des ' bonnes ' pratiques. Nous avons défini les ' pratiques exemplaires ' comme une stratégie, une approche, une méthode, un outil ou une technique particulièrement efficaces pour aider une organisation à atteindre ses objectifs en matière de gestion des risques. Est également pratique exemplaire celle que l'on prévoit avoir une valeur pour d'autres organisations. Par exemple, une pratique qui a été particulièrement utile dans l'établissement d'un encadrement aurait une valeur pour tout autre organisation qui a pour responsabilité de faire de l'encadrement.
  • En second lieu, l'étude met l'accent sur les pratiques de gestion des risques qui ont été intégrées à d'autres pratiques de gestion, comme celles de la planification et de la prise de décisions. Elle étudie également les stratégies de planification, de développement, de mise en oeuvre et de suivi de la gestion des risques. Plus précisément, nous avons relevé les pratiques exemplaires dans trois secteurs :
  • l'intégration de la gestion des risques aux autres pratiques de gestion,
  • les outils d'intégration de la gestion des risques,
  • les principales disciplines et fonctions qui utilisent de la gestion des risques.
  • Nous avons développé davantage sur ces secteurs dans notre guide d'entrevues.

Il s'ensuit donc que, même s'il existe de nombreuses autres ' bonnes ' pratiques dans une organisation, nous n'en faisons pas rapport. Nous ne rendons pas non plus compte d'un processus complet ou d'un système de gestion des risques.

2. L'approche

Le tableau I-1 illustre l'approche que nous avons utilisée pour mener l'étude.

Tableau I-1
Approche


Tableau I-1 : Approche

Nous avons abordé la question de la façon suivante :

  • Recherche documentaire et contacts avec les bureaux de la KPMG à l'étranger : Au début du projet, nous avons consulté la documentation pertinente pour préparer une liste préliminaire des organisations étrangères qui étaient reconnus comme de bons praticiens de la gestion des risques. Nous avons eu recours à notre réseau international de la KPMG pour déterminer quels étaient ces organisations (grâce à nos bureaux locaux), pour faire les présentations, nous donner les noms de personnes qui peuvent nous ouvrir les portes. Ces bureaux possèdent une vaste connaissance des organisations du secteur public et du secteur privé de leur marché. C'est ainsi qu'ils peuvent être au courant des organisations qui possèdent de bonnes pratiques de gestion des risques. Nous avons ciblé des organisations de l'Europe de l'Ouest, de l'Australie, de la Nouvelle-Zélande et des états-Unis. Nous avons également retenu des organisations situées en Asie. En tout et pour tout, ce fut là la partie la plus difficile de l'étude parce qu'il nous a fallu communiquer par-delà des fuseaux horaires et faire face au problème des absences des bureaux. Nous avons continué notre recherche documentaire à l'extérieur du Canada, pour recueillir les renseignements sur les pratiques exemplaires. Là encore, nous avons utilisé les ressources de nos bureaux de la KPMG situés à l'étranger pour déterminer les publications qui pourraient nous intéresser et nous aider à les obtenir. L'annexe B est la bibliographie des publications examinées pour la présente étude. Nous avons examiné 228 publications provenant de l'extérieur du Canada.
  • Communiquer avec les organisations pour connaître leur intérêt à participer à notre étude : Tout au long de ces étapes initiales du projet, nous avons respecté les demandes de nos collègues internationaux des bureaux de la KPMG à l'étranger. Par exemple, certains collègues préféraient communiquer directement avec les organisations pour obtenir leur participation. Certains ont également demandé à faire les entrevues en personne, en notre nom. Dans tous les autres cas, nous avons communiqué directement avec les organisations et fixé des entrevues par téléphone.
  • Obtenir des renseignements au moyen d'entrevues : Pour ce qui est des entrevues que nous avons faites à l'extérieur du Canada, nous avons fait parvenir à l'avance à nos interlocuteurs la documentation sur le contexte général de l'étude et le Guide d'entrevues qui apparaît à l'annexe C. Pour nous assurer que les entrevues réalisées par nos collègues étrangers correspondaient bien à celles que nous faisions par téléphone depuis le Canada, nous avons fourni à ces collègues des documents-guides, ainsi que la documentation d'appui et le guide d'entrevues qu'ils devaient remettre aux contacts avant la rencontre.
  • Analyse et rapport : Nous avons fait une synthèse de nos entrevues et de notre recherche documentaire approfondie pour relever les pratiques exemplaires et les leçons apprises. Nous avons également effectué une évaluation préliminaire pour déterminer dans quelle mesure les pratiques exemplaires sont applicables au gouvernement fédéral canadien.

Le cadre de référence de notre étude nous demandait de documenter les pratiques exemplaires relevées et de faire des recommandations sur leur utilité et leur applicabilité dans le contexte du gouvernement fédéral canadien. De concert avec l'autre firme, nous avons préparé une liste de critères permettant d'évaluer l'applicabilité des pratiques exemplaires au gouvernement fédéral canadien. L'ensemble final des critères, contenu à l'annexe D, intègre les contributions d'un comité consultatif interne composé de représentants de ministères. Dans la mesure du possible, nous avons évalué l'applicabilité des pratiques en fonction de ces critères.

Notre échantillon d'étude s'est composé comme suit :

  • des entrevues auprès de dix-huit organisations,
  • un examen de 228 publications pertinentes au sujet.

Nous sommes donc sûrs de la base sur laquelle nous nous appuyons pour déterminer les pratiques exemplaires.

Les organisations auprès desquelles nous avons tenu des entrevues représentent l'Australie, l'Europe de l'Ouest (France, Allemagne, Suède, Suisse, Royaume-Uni), la Nouvelle-Zélande, l'Afrique du Sud, Taïwan et les états-Unis. Le tableau I-2(a) montre la distribution selon le lieu. L'échantillon se compose surtout d'organisations de l'Europe de l'Ouest, de l'Australie et de la Nouvelle-Zélande.

Tableau I-2(a)
Distribution des organisations selon le lieu


Tableau I-2(a) : Distribution des organisations selon le lieu

Douze des organisations proviennent du secteur privé et cinq du secteur public. Le tableau I-2(b) montre la distribution des organisations selon l'industrie. Les organisations du gouvernement fédéral représentent 28 p. 100 de l'échantillon (cinq organisations). Le reste représente une variété d'industries : industries de fabrication, mines et ressources naturelles, services financiers, produits pharmaceutiques, technologie et communications, et enfin, services publics. Nous sommes satisfaits d'avoir réussi à obtenir un équilibre solide de représentation géographique et industrielle dans le temps imparti pour l'étude.

Tableau I-2(b)
Distribution des organisations selon l'industrie


Tableau 1-2(b) : Distribution des organisations selon l'industrie

Nous avons trouvé, dans nos entrevues, que ces organisations du secteur public et du secteur privé faisaient face à des problématiques semblables à celles du secteur public fédéral au Canada : environnements de contraintes, pressions pour l'innovation et cultures organisationnelles en changement.

Notre recherche documentaire approfondie nous a renseignés sur les pratiques exemplaires ayant cours dans de nombreuses autres organisations. Une pratique rapportée dans une publication est une ' pratique exemplaire ' selon la définition utilisée dans la présente étude. Il est clair que la pratique est considérée efficace et avoir de la valeur pour d'autres organisations si elle fait l'objet d'une discussion publique.


II Pourquoi implanter la gestion des risques?

Ce chapitre donne un aperçu des avantages découlant de l'implantation de la gestion des risques. Nous discutons aussi, brièvement, de l'état de l'implantation dans les organisations.

A. Les avantages

Il existe certainement des arguments solides en faveur de l'implantation de la gestion des risques. Voici, selon les rapports, une liste d'avantages découlant de cette pratique :

  • Elle permet d'atteindre les objectifs de l'organisation.
  • Elle aide à concentrer les énergies sur les priorités de l'entreprise. En plus, elle permet aux gestionnaires de concentrer leurs ressources sur les objectifs primaires. Les ressources ne sont pas réorientées pour répondre à des problèmes. Cette pratique a pour résultat d'accroître la confiance des actionnaires et des ministres. Prendre des mesures pour prévenir et diminuer les pertes, plutôt que de ramasser les pots cassés après coup, constitue une stratégie efficace de gestion des risques.
  • Elle favorise un changement culturel ouvert à la discussion des risques et de l'information offrant un potentiel de dommages. La nouvelle culture tolère les fautes, mais elle n'accepte pas qu'on cache les erreurs. Elle met également l'accent sur les leçons à tirer de ses fautes.
  • Elle contribue à l'amélioration de la gestion financière et opérationnelle en faisant en sorte que les risques soient adéquatement considérés dans le processus de prise de décisions. L'amélioration de la gestion opérationnelle aura pour résultat une prestation de services plus efficace et plus efficiente. En prévoyant les problèmes, les gestionnaires peuvent avoir de meilleures chances de réagir et de prendre les mesures nécessaires. L'organisation sera capable de livrer la marchandise en fonction des services qu'elle promet.
  • Elle renforce le processus de planification et la façon d'aider la direction à déceler les perspectives profitables.
  • Elle accroît la responsabilisation de la gestion, à court terme. à plus long terme, elle accroît les capacités de gestion d'ensemble.
  • Elle fait accroître la valeur (commentaire du secteur privé).

B. état de la mise en oeuvre de la gestion des risques

Cette section traite brièvement de l'état de la mise en oeuvre de la gestion des risques, y compris sa portée et sa définition.

Toutes les organisations que nous avons interviewées ont toujours pratiqué une forme quelconque de gestion des risques; par exemple, la gestion des risques dans des disciplines particulières comme les finances. Certaines de ces organisations ajoutaient plus de substance à leurs processus en place. Environ un tiers d'entre elles s'intéressaient maintenant à implanter la gestion des risques pour traiter des risques d'affaires ou des risques organisationnels.

Les pratiques tirées de la recherche documentaire portaient sur l'implantation de la gestion des risques d'affaires et des risques disciplinaires.

L'intérêt envers l'implantation de la gestion des risques va en augmentant.

Dans la plupart des cas, les risques sont perçus comme étant toute chose ou tout événement qui pourrait empêcher une organisation de réaliser ses objectifs.

Il s'ensuit donc, pour ces organisations, que la gestion des risques n'a rien à voir avec le fait d'être ' hostile au risque '. La gestion des risques ne vise pas à éviter les risques. Elle se concentre sur l'identification, l'évaluation, le contrôle et la ' maîtrise ' des risques. La gestion des risques veut également dire qu'on tire profit des perspectives profitables et qu'on prend des risques sur la base d'une décision informée et d'une analyse des résultats.


III Les pratiques exemplaires

Ce chapitre rend compte des pratiques exemplaires que nous avons relevées dans notre recherche documentaire et nos entrevues. Nous les présentons en deux catégories : l'intégration de la gestion des risques aux pratiques de gestion, et les approches, outils et techniques de la gestion des risques.

Le tableau III-1 présente une vue d'ensemble des pratiques exemplaires. Le ' moyeux ', d'où découlent toutes les autres pratiques, c'est la philosophie organisationnelle. Prises comme un tout, toutes les pratiques produisent un mouvement vers l'intégration de la gestion des risques au sein de l'organisation. Les outils et les techniques constituent le point de contact avec la ' route ', c'est-à-dire l'orientation et les objectifs de l'organisation.

Tableau III-1
Aperçu général des pratiques exemplaires


Tableau III-1 : Aperçu général des pratiques exemplaires

Source : KPMG

© KPMG

A. L'intégration de la gestion des risques aux autres pratiques de gestion

Cette section rend compte des pratiques exemplaires d'intégration de la gestion des risques aux pratiques de gestion.

La pratique prédominante d'intégration de la gestion des risques est, de loin, celle qui consiste à édifier une culture organisationnelle dans laquelle tout le monde est gestionnaire de risques. Certaines organisations ont dit que cet aspect était plus important que l'élaboration et la promulgation de politiques et procédures élaborées. La gestion des risques fait partie intégrante de la philosophie de gestion. Les employés qui prennent la responsabilité de leurs actions et de leurs résultats deviennent des gestionnaires de risques. Idéalement, les employés ont une compréhension intuitive des buts de l'organisation et ils travaillent dans ce sens. Une organisation a noté que la culture avait pris naissance dans les rangs des employés, pour éventuellement se propager jusqu'à l'étage de la haute direction.

Voici quelques exemples de cette pratique :

  • L'installation de miroirs dans les salles de repos, qui rappellent aux employés qu'ils ' sont en face de la personne responsable de la sécurité '.
  • L'injection, dans la culture, d'un ' sens d'excellence ' qui encourage les gens à chercher des solutions aux problèmes et à parler honnêtement des points où ils ont besoin d'aide.
  • La participation de tout le personnel aux activités de gestion des risques au moyen de comités et de réunions tenues à différents lieux de travail.

Il arrive parfois que la culture doive être développée. Voici quelques pratiques dans ce domaine :

  • Mise sur pied du département de la gestion des risques comme centre d'excellence pour répandre les procédures et les pratiques de la gestion des risques à la grandeur de l'organisation. Le but visé est d'encourager les employés à être chacun son gestionnaire des risques, le département de la gestion des risques jouant alors le rôle de soutien.
  • Recrutement en fonction de l'attitude au lieu de l'expérience, pour être en mesure d'offrir un service hors pair à la clientèle. Cette mesure aide à la gestion des risques reliés à la clientèle.
  • Mise en vigueur de pénalités. Un gouvernement a instauré un délit de ' meurtre institutionnel ' conçu pour punir les directeurs de sociétés qui auraient négligé de corriger des pratiques dangereuses qui sont la cause de pertes de vies.
  • Mise sur pied d'initiatives de reconnaissance et de récompenses qui encouragent les employés à faire la gestion des risques.
  • Mise en vigueur de programmes de rémunération qui découragent l'excès de prise de risques. Par exemple, certains courtiers en valeurs calculent maintenant la rémunération des courtiers selon une formule qui compare leurs profits à ceux d'une norme de référence qui reflète les rendements du marché dans son ensemble. Dans une autre organisation, on se sert d'un ' indice de viabilité ' pour calculer les boni de la haute direction. L'indice est calculé en prenant le coût de l'électricité, les résultats atteints en matière d'action positive et la performance technique de l'usine, des lignes de transmission et du réseau.
  • L'évaluation du rendement des employés en matière de gestion des risques, au moyen du processus d'évaluation du rendement.
  • Définition de la gestion des risques comme faisant partie des exigences applicables à tous les postes de gestion.
  • Renforcement de l'éthique et des valeurs soit en publiant un code d'éthique, soient en communiquant la teneur au moyen de cours, de réunions ou d'ateliers.

L'avantage d'une culture de gestion des risques, selon les rapports, est que les organisations peuvent changer plus rapidement et peuvent faire la gestion des risques de façon plus efficace.

La responsabilité de direction de la gestion des risques est placée à un niveau élevé dans l'organisation. C'est également un outil permettant d'intégrer la gestion des risques à la culture. Le soutien de la haute direction (et/ou des organismes de régie, comme le conseil d'administration) est essentiel. Au point de départ, la haute direction et le conseil d'administration doivent être au courant de la gestion des risques et la comprendre. Il existe de nombreuses façons, pour les hauts dirigeants, de prendre part à la gestion des risques. Mais, quelle que soit la façon, le rôle de la haute direction et du conseil d'administration dans la diffusion, à l'interne comme à l'externe, du message affirmant l'importance de la gestion des risques, est à la base de tout. Il est aussi important que les autres gestionnaires, intéressés et employés voient la participation de ces instances. La gestion des risques n'est pas qu'un article de discussion pour comités de gestion siégeant à huis clos.

Voici quelques façons utilisées par la haute direction et les conseils d'administration pour mener des initiatives de gestion des risques :

  • Le groupe de gestion des risques se place sous l'égide de la haute direction pour s'assurer que le message de gestion des risques soit adopté par ceux qui relèvent directement de celle-ci.
  • Le chef de la direction a assisté à toutes les réunions de mise en oeuvre des processus de gestion des risques. Le chef des finances de l'organisation fut le premier haut dirigeant à élaborer un plan d'action pour un point émanant d'un atelier sur les risques.
  • La haute direction consacre une journée de son processus de planification stratégique annuelle pour définir et quantifier les risques à un niveau stratégique.
  • Les hauts dirigeants siègent à un comité de contrôle interne et sont chargés de doter leurs chefs de départements de mécanismes de contrôle interne appropriés.
  • On a demandé aux membres du conseil d'administration de penser à un risque qui les tenait en éveil la nuit. Puis, on les a chargés de superviser la gestion de ce risque.
  • Un comité de supervision de la sécurité, organisme auxiliaire du conseil principal de direction, produit des rapports mensuels de performance en matière de santé, de sécurité et d'environnement à l'intention du conseil d'administration.
  • Le conseil autorise les nouveaux dossiers commerciaux, lesquels doivent comprendre une analyse des risques.
  • Un conseil (externe) a fixé les paramètres dont se sert l'équipe d'évaluation des risques.

Certaines organisations rapportent qu'elles ont établi des responsabilités particulières, dans le domaine de la gestion des risques, à l'intention du conseil d'administration et la haute direction. Le conseil d'administration peut offrir des conseils sur la façon d'identifier les principaux risques qui guettent l'entreprise, de s'assurer que les systèmes appropriés soient mis en oeuvre pour faire la gestion des risques, de s'assurer de l'intégrité des systèmes de contrôle et de gestion, de définir les responsabilités et d'exercer un suivi des risques les plus importants. La direction est responsable de la coordination de la gestion des risques et de l'identification, de l'évaluation, du contrôle et du rapport des risques. Le plus important, c'est que le conseil d'administration, ou la haute direction définisse, élabore et approuve une politique en matière de risques.

Le message principal de la politique sur les risques, c'est le niveau de risques qu'une entreprise est prête à accepter. La politique pourrait également énoncer les rôles, les responsabilités et les pratiques relativement à la gestion des risques. Les gestionnaires ont besoin d'une direction claire quant à la tolérance aux risques. Cette direction doit venir de l'organisme de régie ou de la haute direction. Les ateliers constituent une autre façon de communiquer les niveaux de tolérances.

Les pratiques rapportées démontrent qu'une communication ouverte est nécessaire au succès de la gestion des risques. Par exemple, les équipes se fient à la communication pour gérer les risques et atteindre leurs objectifs. également, beaucoup rapportent que la communication ouverte est une façon d'intégrer facilement la gestion des risques aux processus en vigueur. Si la communication est inexistante, il est impossible à la gestion des risques d'être ' l'affaire de chacun '. Les gestionnaires ont besoin de canaux de communication directs vers le haut, vers le bas et à travers leurs unités organisationnelles pour les aider à détecter les risques et à prendre les mesures appropriées. De nouvelles structures, fondées sur une information plus ouverte, sont en train de remplacer les structures traditionnelles de l'organisation et leurs relations hiérarchiques définies. L'information doit se partager.

Voici des exemples de bonnes communications ouvertes :

  • Utilisation de l'Intranet pour communiquer les efforts déployés par l'organisation et faire participer tous les employés à la gestion des risques. L'Intranet sert également à communiquer les objectifs fixés.
  • Nomination de gestionnaires dont la seule tâche consiste à communiquer aux employés les risques auxquels ils sont exposés.
  • La tenue de réunions trimestrielles d'un comité de gestion des risques pour examiner et discuter à quel point l'organisation est exposée et les mesures de protection qui sont prises.
  • L'utilisation de la fonction gestion des risques pour communiquer les objectifs poursuivis.
  • La promotion d'une sensibilisation aux questions de gestion des risques au moyen de rapports mensuels, trimestriels et annuels. Les rapports mettent l'accent sur les secteurs qui ont besoin de l'aide du groupe de gestion des risques.
  • Des présentations faites à la haute direction et/ou à l'organisme de régie sur le processus de gestion des risques.
  • Encouragement à ce que les employés discutent des erreurs commises.

Les équipes formelles et informelles constituent un mécanisme auquel, selon les rapports, de nombreuses organisations ont recours pour faire la gestion des risques. Les équipes ont été mentionnées dans nombre de situations, comme la gestion des risques financiers, les projets de construction, l'indemnisation des travailleurs, la santé et la sécurité, l'assurance, la gestion des contrats, les transports, la gestion de trésorerie, la gestion de projets, le développement de nouveaux produits. La constitution d'équipes fait ressortir la dynamique qui se manifeste entre les disciplines, réunit des attitudes diverses face au risque, et amène une nouvelle façon de penser les problèmes, les bonnes perspectives, les stratégies et les solutions. Elle est perçue comme une façon d'amener des disciplines diverses à se concentrer sur des objectifs communs, dont l'un est celui qui vise à minimiser les risques. Les équipes sont source d'équilibre. également, les équipes répandent la préoccupation envers la gestion des risques comme un pollen qui alimente toutes les parties de l'organisation, plutôt que rester la préoccupation d'une seule fonction ou discipline. Alors que la pratique consistant à former des équipes est considérée être une ' pratique exemplaire ', il n'existe pas de pratique commune concernant la composition de l'équipe.

La composition d'équipes formelles de gestion des risques se présentait sous les formes suivantes :

  • Professionnels de la gestion hiérarchique, de la trésorerie, de la vérification, de la conformité, des relations publiques, des ressources humaines et de la gestion des risques.
  • équipes de gestion des risques particuliers à chacun des secteurs suivants : contrôle de la gestion des contrats, santé et sécurité, assurance, transports et gestion de la trésorerie.
  • équipes pluridisciplinaires pour le développement de projets et de produits.
  • Dotation des équipes de gestion de certains individus possédant diverses attitudes face au risque.
  • Un comité interdisciplinaire de gestion des risques touchant toutes les fonctions, composé de représentants des unités opérationnelles et du trésor ou des finances, des ressources humaines et de la gestion des risques.
  • Un groupe de direction de la stratégie de gestion au sein duquel toutes les principales fonctions sont représentées.
  • Un comité de gestion des risques composé des chefs de divisions.

Dans d'autres cas, on encourage diverses disciplines à travailler ensemble, comme, par exemple :

  • Le groupe de vérification, le chef des finances, la haute direction et le trésor.
  • Un département de réclamations d'indemnisation des travailleurs, un département médical, un département d'éthique de la société, de la sécurité, des ressources humaines et du département juridique assumant conjointement des responsabilités en matière de gestion des risques.
  • Un coordonateur des réclamations travaillant en étroit rapport avec le département des ressources humaines.
  • Une équipe de spécialistes en contrôle des pertes et de responsables des réclamations disponibles pendant les projets de construction.
  • Une équipe de projet composée de la vérification interne, des finances et du contrôle, et un comptable agréé qui joue le rôle de soutien à l'auto-évaluation des risques effectuée par les gestionnaires.

Les équipes offrent une perspective plus large et examinent les risques et les conséquences sous divers angles. Pour pouvoir fonctionner, les équipes ont besoin d'une communication ouverte.

Pour intégrer la gestion des risques aux autres processus de gestion, il faut que la terminologie soit facile à comprendre pour les gestionnaires. Les approches devraient également être simples à comprendre et à utiliser. En élaborant un langage commun pour traiter des risques d'affaires, les gestionnaires peuvent communiquer avec des habitués de la salle de réunion ou de la salle des fournaises en des termes que tous peuvent comprendre. Cet aspect est également important dans les cas où on s'attend à ce que tous et chacun fassent de la gestion de risques. Les façons d'aborder la gestion des risques et les processus doivent être simples pour être acceptées par les responsables de la gestion des affaires. Des organisations nous ont rapporté que des outils complexes, intellectuels s'étaient avérés infructueux. D'autres nous ont mis en garde à l'effet que les approches doivent aussi avoir la flexibilité suffisante pour rester intelligibles à travers les unités opérationnelles. Même si le processus doit rester simple et utile à travers ces unités, il ne faudrait pas qu'il soit trop simplifié. Les concepteurs de ce processus doivent réaliser un équilibre entre la simplicité et l'utilité.

De nombreuses organisations ont mis sur pied un centre de responsabilités destiné à la gestion des risques. Certaines unités sont placées sous un Chef des risques, qui définit des moyens uniformes d'aborder la gestion des risques. En tant que champion du risque organisationnel, ce chef a la responsabilité du leadership, d'établir et de maintenir une sensibilisation aux risques dans l'ensemble de l'organisation. Il pourrait également fixer des objectifs en matière de contrôle des risques, établir un cadre de gestion des risques et concevoir des façons de mesurer les risques. Ces gestionnaires des risques de haut niveau doivent posséder de fortes capacités de persuasion. Le gestionnaire des risques doit traiter des risques d'affaires et non seulement des risques assurables. Ainsi, son importance va en s'accentuant au sein de l'organisation.

Un petit nombre d'organisations font rapport à la direction, aux actionnaires et aux parties prenantes sur les risques et la performance en matière de gestion des risques. En voici quelques modèles :

  • Le département du contrôle interne présente chaque année deux rapports au président. Ces rapports communiquent les résultats du suivi des risques. Chaque division opérationnelle doit préparer un rapport annuel sur les résultats de son suivi à l'intention du département de contrôle interne.
  • Les gestionnaires des unités administratives doivent faire rapport trois fois l'an au sous-comité du conseil d'administration sur les finances et les risques. Les rapports décrivent les dix principaux risques des unités et la façon dont on en fait la gestion.
  • Les gérants offrent des avis au conseil d'administration sur les risques de leurs entreprises, et les principaux actionnaires et parties prenantes ont leur mot à dire.

La fonction de la vérification interne joue un rôle capital dans la mise en oeuvre de la gestion des risques dans l'ensemble d'une organisation. En voici quelques exemples :

  • l'animation d'ateliers d'auto-évaluation,
  • le suivi et les rapports sur la gestion des risques importants,
  • la prestation de conseils,
  • la sensibilisation des gestionnaires à la gestion des risques,
  • l'identification de risques critiques et la préparation de ' mandats de surveillance ' à leur égard,
  • le suivi de la conformité dans des domaines d'importance capitale, comme les exigences législatives,
  • l'examen des processus de gestion des risques,
  • la communication des objectifs de gestion des risques,
  • une présence au comité de gestion des risques.

L'encadrement est une pratique importante permettant l'intégration de la gestion des risques. L'encadrement est offert indirectement (au moyen de documents) ou directement (par des conseils). En voici quelques exemples :

  • Un document d'orientation à l'intention des ministères d'un gouvernement qui préparent des projets de construction dans le secteur public. Les ' Exigences essentielles de l'acquisition de services de construction ' intègrent la gestion de la valeur et des risques à la gestion de projet.
  • Une trouse à outils destinée aux sociétés d'état. La trousse permet aux sociétés de faire elles-mêmes l'évaluation de leur position par rapport aux pratiques exemplaires. Il les aide également à viser l'adoption de pratiques exemplaires en se servant des stratégies d'amélioration génériques.
  • Des services internes de consultation offerts par l'unité de gestion des risques.
  • Un forum de gestionnaires. Les gestionnaires sont capables d'identifier leurs problèmes et leurs risques. Le forum permet le partage des pratiques exemplaires. Des mesures sont proposées pour gérer les risques. Le fait que tous les gestionnaires hiérarchiques sont maintenant conscients des risques et des mesures à prendre constitue un autre avantage.
  • Une agence législative, qui fait à la direction de l'agence, des recommandations visant la réduction des risques. Ces recommandations se sont avérées efficaces dans d'autres agences.

La formation en matière de gestion des risques, placée dans le cadre du programme de formation d'une société, aide à faire l'intégration de la gestion des risques. Les domaines qui se prêtent à la formation sont, notamment : les évaluations du risque, les pratiques exemplaires, les exigences législatives, la sécurité, les objectifs de gestion des risques, la formation dans le domaine de la sensibilisation aux risques, et ce, pour s'assurer que tous les gestionnaires tiennent compte des risques.

B. Approches, outils et techniques de mise en oeuvre de la gestion des risques

Les organisations sont en train d'élaborer des relevés des risques d'entreprise pour déterminer quels sont les principaux risques d'entreprise qui menacent l'organisation. Cette activité aide l'organisation à comprendre et absorber les risques qui l'affectent. La direction doit quantifier l'ampleur des risques et mesurer leur impact potentiel. L'utilisation d'un cadre à grande portée permet de tenir compte de différents genres de risques possibles lors de l'inventaire des risques. L'utilisation d'un cadre peut avoir une influence sur une discussion portant sur les sources et les genres de risques, soit, par exemple, les risques externes, économiques, risques de marché, de crédit, risques reliés à l'information et aux ressources humaines, et risques stratégiques. Cette façon d'aborder la question permet d'examiner les risques sous l'angle d'une perspective multidisciplinaire.

Voici quelques exemples de cette pratique :

  • Dresser une liste des divers risques d'entreprise. Les risques sont ensuite répartis en quadrants en fonction de leur haute ou faible probabilité de se produire et de la gravité plus ou moins importante de la perte qui en résulterait.
  • élaborer une carte des risques tenant en une seule feuille de papier. La carte donne une évaluation comparative de tous les risques opérationnels, financiers, aléatoires et stratégiques auxquels l'organisation doit faire face. En comparant les risques sur une seule matrice de gravité et de fréquence, les hauts dirigeants peuvent voir un portrait complet de tous les risques qui menacent la compagnie et les relations qu'ils ont entre eux.
  • élaborer une ' grande matrice des risques '. Elle prend en compte les menaces les plus dommageables qui se dressent devant l'entreprise. La haute direction et le conseil d'administration peuvent s'en servir pour la prise de décision.

La simplicité est un trait sous-jacent de ces approches.

Les outils de modélisation permettent aux gestionnaires de gérer l'incertitude. L'analyse par scénarios et les modèles prévisionnels en sont les outils de prédilection. Voici quelques exemples de l'utilisation de ces outils de modélisation :

  • En utilisant l'analyse par scénarios, les décideurs peuvent voir la gamme des possibilités et considérer des changements qu'ils auraient autrement ignorés. Ces scénarios peuvent également être intégrés aux plans d'urgence de l'organisation. Les scénarios peuvent être documentés et les analyses peuvent être faites à l'aide d'un logiciel de tableur sur ordinateur.
  • En se servant de l'analyse statistique et des techniques de valeur à risque, les gestionnaires peuvent estimer la variabilité des pertes futures. Ils mesurent les répercussions d'une perte possible sur les gains ou le flux monétaire et se servent également d'analyse de sensibilité, de vérification des stress et de divers genres de simulation.
  • Les modèles financiers qui font une simulation dynamique des divers risques financiers et de l'impact de divers scénarios sur les portefeuilles de dettes et de capitaux propres.
  • Prévoir les risques dans le processus de production, lesquels pourraient être cause de défectuosités dans le produit, puis déterminer les points où ils pourraient être contrôlés.
  • évaluer les risques techniques à l'étape du développement des nouveaux produits en identifiant, tôt au cours du projet, les erreurs susceptibles de se produire dans le processus de fabrication. Cette mesure donne le temps de réagir aux conséquences.
  • Accumuler l'expérience des projets passés et en faire une extrapolation pour servir de synthèse de l'impact possible des risques d'un projet particulier.

Certains outils, comme l'analyse par scénarios, la modélisation, l'analyse des risques techniques, peuvent largement s'appliquer aux domaines de la gestion. D'autres, comme les modèles financiers, s'appliquent moins bien à d'autres disciplines.

Les techniques d'identification et d'évaluation des risques aident les gestionnaires à déterminer les endroits où ils devraient faire porter leur attention et leurs ressources. Aucune de ces techniques ne l'emporte sur les autres.

Les voici :

  • Les groupes de remue-méninges. Les employés de plusieurs unités de l'entreprise se rencontrent pour faire un remue-méninges sur certaines questions.
  • Les ateliers. Les organisations commencent à élaborer des ateliers centrés sur les risques, menés par des animateurs, qui aident le personnel opérationnel à déterminer ses objectifs et à les classer par ordre de priorité, puis à identifier et à évaluer les risques. Les dirigeants qui y participent devraient généralement toucher une variété de secteurs.
  • Les questionnaires. Les unités opérationnelles doivent remplir des questionnaires sur les objectifs et les risques. Par exemple, les gestionnaires peuvent chaque année faire une mise à jour des risques et des progrès accomplis dans leur gestion.
  • L'auto-évaluation. Les gestionnaires font leur auto-évaluation avec le soutien de la vérification, des finances et d'un comptable de l'extérieur.
  • Auto-évaluation de contrôle. Cette technique offre l'assurance qu'à un point final, l'objectif de l'entreprise sera atteint, compte tenu des contrôles et des risques. Des ateliers orientés sur les risques aident les gestionnaires opérationnels à déterminer leurs objectifs et à en établir les priorités.
  • Les filtres. Les risques sont évalués en regard de quatre filtres : fonction non essentielle, faible impact, risque bien géré, et faible probabilité de se produire.
  • Les diagrammes ' Boston Squares '. Ces outils servent à représenter graphiquement l'impact et la gravité des risques.
  • Le balayage rapide des risques. Il s'agit d'une technique de présentation des risques (coût, moment, spécifications, etc.) d'une façon telle que ceux-ci peuvent être facilement comparés les uns aux autres en termes de probabilité et de conséquences. Elle est particulièrement utile dans les projets.
  • La matrice d'évaluation de la capacité des fournisseurs. Cette matrice sert à faire une évaluation d'ensemble de la capacité d'un fournisseur potentiel de livrer avec succès les services ou produits spécifiés dans un contrat. Elle tient compte des éléments suivants : l'histoire et le développement de l'entreprise du fournisseur, l'arrière-plan juridique et la structure du capital, les éléments critiques de performance du contrat, la direction et les employés, l'engagement, les imprévus et le contentieux; la viabilité financière.
  • La matrice d'évaluation. La matrice consiste en une série de questions couvrant les éléments de gestion des risques et les contrôles internes. Elle comprend aussi des descriptions de pratiques exemplaires.
  • Les gabarits d'identification des risques. On attribue des gabarits aux unités de l'entreprise. Ces gabarits les aident à identifier et à évaluer les risques dans le cours de leur processus de planification des opérations.
  • Les évaluations de risques de ' bas en haut '. Les gestionnaires des opérations identifient et évaluent les risques. Ceux-ci sont ensuite agglomérés au niveau de l'entreprise toute entière.
  • Le modèle de valeur au risque (VAR) et le modèle au pire. Ces modèles servent à évaluer les risques. Le modèle (VAR) examine les pertes possibles en valeur d'un poste ou d'un portefeuille au cours d'une certaine période basée sur des facteurs du marché. Elle permet la comparaison simultanée des tendances des fluctuations de la monnaie, par exemple.
  • établissement des priorités entre les risques. Sur la base de leur classement, les risques sont abordés.

L'Internet et l'Intranet servent de plus en plus à la gestion des risques. On s'en sert pour promouvoir la sensibilisation aux risques et la gestion des risques, pour obtenir de l'information sur les risques qui existent dans certains domaines précis, et pour communiquer les objectifs de gestion des risques.


IV Observations et conclusions

Ce chapitre fait le résumé de nos observations et conclusions, suite à l'examen que nous avons fait des pratiques exemplaires.

A. Observations

Nous offrons les observations qui suivent concernant la gestion des risques, observations tirées de notre analyse des pratiques exemplaires.

Il est possible de sensibiliser les gestionnaires à l'existence des risques et à la gestion des risques. La gestion des risques peut être enseignée et être renforcée. Toutefois, la gestion des risques atteint son maximum d'efficacité lorsque les gestionnaires et les employés sont au diapason de la gestion des risques. La gestion des risques ne s'impose pas. Les gestionnaires devraient être conscientisés au sujet de la gestion des risques et intégrer celle-ci à leurs autres pratiques de gestion. Il faut tenir compte des risques au moment de la prise de décisions. Les gestionnaires sont plus susceptibles d'accepter la pratique si elle est positionnée comme une activité de gestion normale. Les processus trop bureaucratiques et trop complexes vont noyer la gestion des risques sous un flot d'éléments non pertinents. Il faut atteindre un équilibre entre la flexibilité et l'uniformité. Les gestionnaires ont besoin de flexibilité pour utiliser des techniques qui sont pertinentes pour eux-mêmes et pour leurs opérations. Cependant, la technique doit également permettre la synthèse des données et la comparaison des résultats d'unités opérationnelles au niveau de l'entreprise générale. Il faut que des spécialistes soient disponibles pour prêter assistance aux gestionnaires.

Les renseignements que nous avons recueillis indiquent que les programmes de gestion des risques et les programmes traitant de l'éthique sont étroitement apparentés. Par exemple, un code d'éthique écrit est un mécanisme de communication des valeurs d'une organisation et des risques y afférents. Un programme d'éthique destiné aux employés du gouvernement est perçu comme un moyen de sensibiliser les employés aux enjeux d'ordre éthique ou aux risques d'affecter les valeurs de l'entité. Les gestionnaires de risques pourraient être de plus en plus appelés à collaborer avec la fonction éthique pour comprendre et résoudre les risques reliés à l'information. Une autre organisation a également rapporté qu'une initiative d'éthique de fonctionnement a révélé des dangers reliés à l'information qui découlent d'une ' culture du secret '. Les politiques et les normes internes n'étaient pas écrites ou communiquées aux employés de façon uniforme. Le gestionnaire de l'éthique a travaillé avec la fonction de gestion des risques pour élaborer des étapes ayant pour but d'éviter, à l'avenir des infractions aux normes. De nombreuses composantes d'un programme d'éthique de l'entreprise visent à l'amélioration des flux d'information de l'organisation. Ces derniers comprennent les programmes généraux de communication, l'engagement de la haute direction et la communication des valeurs et principes de l'organisation, et le suivi des pratiques opérationnelles. Nous avons déjà dit que les communications et les flux d'information constituent une pratique fondamentale de la gestion des risques.

Au fur et à mesure que changent les besoins et les risques opérationnels, de nouveaux processus ou outils de gestion des risques sont nécessaires. Par exemple, l'usage accru de l'Internet peut être source de risques et peut, en même temps, être un outil de gestion des risques. Les pratiques doivent continuellement s'adapter à un environnement en évolution. La performance des organisations en matière de gestion des risques doit également faire l'objet d'une surveillance et d'une amélioration continues. Les employés et les gestionnaires doivent être informés des changements qui surviennent. Les évaluations de risques devraient être révisées au fur et à mesure que les circonstances changent. Il ne s'agit pas d'une opération strictement ponctuelle et ' jetable '.

4. De nombreux spécialistes fonctionnels joueront un rôle dans la gestion des risques.

L'examen que nous avons effectué des pratiques exemplaires indique que de nombreux spécialistes fonctionnels auront un rôle à jouer dans la gestion des risques. Ces spécialistes sont, notamment, les spécialistes en technologie de l'information, ceux des ressources humaines, des communications et des finances.

Les spécialistes de la technologie de l'information ont (T.I.) toujours eu une préoccupation envers la gestion des risques. Ils ont eu l'occasion de faire la gestion de risques de projets de T.I. Maintenant, leur rôle peut être en expansion pour offrir un soutien de spécialistes aux spécialistes et aux gestionnaires de la gestion des risques. Au fur et à mesure que les nouvelles technologies sont acceptées (p. ex., l'Internet, le commerce électronique), les spécialistes de la T.I. seront appelés à aider les autres à comprendre les risques possibles associés aux opérations de même qu'à la technologie, et à faire face à ces risques. Ils contribueront à l'identification, à l'évaluation et à la gestion des risques là où se trouvera une composante technologique. Ils seront des membres de première importance des équipes et des comités.

Les spécialistes de la technologie de l'information seront également appelés à mettre sur pied des systèmes de gestion des risques. Ces systèmes comprennent notamment des logiciels de modélisation, des systèmes de surveillance des risques et des systèmes de suivi de la performance en matière de gestion des risques.

Les spécialistes des ressources humaines seront appelés à concevoir des mécanismes appropriés à l'évaluation du rendement des gestionnaires dans leur gestion des risques. Ils seront également appelés à faire la conception de stratégies d'apprentissage et de programmes de formation. Ils pourront également être invités à participer à la gestion du changement et à des initiatives visant à opérer un changement dans la culture de l'organisation.

Les spécialistes des communications auront un rôle à jouer dans l'établissement des canaux de communication appropriés. Ils seront probablement appelés à participer aussi à la production de rapports sur les risques et sur le rendement en matière de gestion des risques.

Les spécialistes des finances auront un rôle à jouer dans l'identification et l'évaluation des implications financières de divers scénarios lorsque les gestionnaires dressent des modèles de l'incertitude.

La mise en oeuvre de la gestion des risques exige des ressources. Il faudra investir dans les domaines suivants : la formation, le développement des processus et des techniques, les systèmes de gestion, les groupes de spécialistes. La haute direction doit s'engager à soutenir cette initiative en y consacrant les ressources nécessaires.

B. Conclusions

Cette section présente nos conclusions concernant l'applicabilité des pratiques exemplaires au gouvernement fédéral canadien. Le Tableau IV-1 présente l'application des critères d'évaluation aux pratiques exemplaires.

Voici ce que nous montre ce tableau :

  • Toutes les pratiques sont largement applicables au-delà de la protection des biens et des personnes. Elles conviennent à toute gestion des risques opérationnels. Par conséquent, les pratiques sont compatibles avec l'orientation actuelle de la gestion des risques au sein du gouvernement.
  • La plupart de ces pratiques contribueront à l'amélioration de la prestation du service. En faisant la gestion des risques, les gestionnaires ont plus de chances d'atteindre leurs objectifs. Par conséquent, ils auraient de meilleures possibilités d'atteindre les objectifs et les cibles de prestation de services.
  • Un grand nombre de pratiques contribuent à un environnement de travail stimulant. Ce sont : la philosophie organisationnelle, les canaux de communication ouverts, les équipes et les comités, l'encadrement et la formation.
  • L'innovation est soutenue. Toutefois, ce sont, au tout premier chef, les pratiques ' douces ' (philosophie, communications, équipes et Internet) qui contribuent à ce besoin parce qu'elles créent un milieu ouvert à la discussion et au brassage des idées. En plus, elles ont une tolérance aux erreurs.
  • Ces pratiques facilitent effectivement la prise de décisions et la planification de la direction. Toutefois, le lien avec une saine allocation des ressources est moins fort. Toutefois, les outils permettant de représenter, de modéliser, d'identifier et d'évaluer les risques se portent vraiment sur les risques les plus menaçants. De cette façon, les ressources sont allouées là où elles sont d'une importance le plus critique.
  • Les pratiques s'appuient facilement sur les connaissances et sur les leçons apprises existant dans l'organisation. L'expérience de la gestion et des employés est une composante de l'identification et de l'évaluation des risques. Pareillement, un grand nombre de ces pratiques ont des liens horizontaux dans l'organisation et s'intègrent bien au cadre de gestion.
  • Seules deux des pratiques possèdent un cadre de responsabilité et de régie clair et susceptible d'application : le leadership de la haute direction ou du conseil d'administration et la performance en matière de communications.
  • Seules quatre des pratiques exemplaires montrent une communication avec les intéressés et une participation de leur part.

Nous concluons que les pratiques exemplaires sont applicables au contexte du gouvernement fédéral, compte tenu des critères selon lesquels elles ont été évaluées. Toutefois, il peut se dresser d'importants obstacles à la mise en oeuvre des pratiques exemplaires qui s'avèrent très différentes du statu quo. La plupart des ministères et organismes fédéraux fonctionnent avec une structure organisationnelle traditionnelle. Il y existe une hiérarchie définie des rapports et de la gestion. Par conséquent, la mise en place d'une philosophie et d'une culture voulant faire de tout le monde un gestionnaire des risques peut être une cible hors d'atteinte. Pareillement, les milieux actuels ne font pas bon accueil aux mauvaises nouvelles ou aux canaux de communication ouverts.

Tableau IV-1
évaluation des pratiques


Tableau IV-1 : évaluation des pratiques