Cette page a été archivée.
Information archivée dans le Web à  des fins de consultation, de recherche ou de tenue de documents. Cette dernière n’a aucunement été modifiée ni mise à  jour depuis sa date de mise en archive. Les pages archivées dans le Web ne sont pas assujetties aux normes qui s’appliquent aux sites Web du gouvernement du Canada. Conformément à  la Politique de communication du gouvernement du Canada, vous pouvez demander de recevoir cette information dans tout autre format de rechange à  la page « Contactez-nous ».
Ce sommaire des Pratiques exemplaires en matière de gestion des risques dans les secteurs privé et public, au niveau international résume le cadre de l'étude, les meilleures pratiques ainsi que et les observations et les conclusions de la présente étude.
La firme KPMG a été retenue pour identifier les pratiques exemplaires du secteur privé et du secteur public au niveau international. Les objectifs de l'étude étaient d'identifier les pratiques exemplaires en matière de gestion des risques, c'est-à-dire les stratégies, les approches, les méthodes, les outils et les techniques utilisés, et la façon dont on pourrait les utiliser au sein du gouvernement fédéral canadien. L'étude a été menée parallèlement à une autre étude sur les pratiques exemplaires au sein des organismes canadiens du secteur privé et du secteur public, effectuée par une autre firme de conseillers. Nos équipes ont travaillé en étroite collaboration pour s'assurer d'avoir une même compréhension des exigences de l'étude et d'être en mesure de présenter un sommaire coordonné.
L'étude porte sur les pratiques ' exemplaires ', soit celles particulièrement efficaces pour aider une organisation à atteindre ses objectifs en matière de gestion des risques et qui représentent aussi un intérêt pour d'autres organisations. L'étude met l'accent sur les pratiques de gestion des risques qui ont été intégrées à d'autres pratiques de gestion, comme celles de la planification et de la prise de décisions. Elle étudie également les stratégies de planification, de développement, de mise en oeuvre et de suivi de la gestion des risques.
Le tableau 1 illustre l'approche utilisée pour mener l'étude et ses quatre composantes : recherche documentaire et contacts avec les bureaux de la firme KPMG à l'étranger; communiquer avec les organisations pour connaître leur intérêt à participer à notre étude, entrevues et collecte des données, puis analyse et rapport. Nous avons eu recours à notre réseau international de la KPMG pour identifier les organisations dans les pays qui possèdent de bonnes pratiques de gestion des risques.
Notre échantillon d'étude s'est composé de 228 publications pertinentes et des entrevues auprès de dix-huit organisations provenant de l'Australie, l'Europe de l'Ouest (France, Allemagne, Suède, Suisse, Royaume-Uni), la Nouvelle-Zélande, l'Afrique du Sud, Taïwan, et les états-Unis. Les organisations provenant de l'Europe de l'Ouest, de l'Australie et de la Nouvelle-Zélande représentent environ 80 p. 100 de notre échantillonnage. Ce dernier inclut douze organisations du secteur privé et cinq du secteur public. Nous avons interviewé des entreprises dans les secteurs d'activités suivants : industries de fabrication, mines et ressources naturelles, services financiers, produits pharmaceutiques, technologie et communications, et services publics.
Tableau 1
Approche
Les organisations font état de nombreux avantages découlant de la gestion des risques. Ces avantages sont, dans l'ensemble, reliés aux objectifs de l'organisation et aux pratiques de gestion. L'avantage principal est d'atteindre les objectifs de l'organisme. Les autres avantages rapportés sont une aide accrue à concentrer les énergies sur les priorités opérationnelles, un renforcement du processus de planification et d'aide à la direction relativement à l'innovation. Les avantages reliés à ce processus de gestion incluent : un changement culturel qui favorise une discussion ouverte sur les risques et sur l'information comportant un potentiel de dommages; l'amélioration de la gestion financière et opérationnelle en faisant en sorte que les risques soient adéquatement considérés dans le processus de prise de décisions; et enfin l'accroissement de la responsabilisation de la gestion.
Le tableau 2 présente une vue d'ensemble des pratiques exemplaires. Le ' moyeux ', duquel partent toutes les autres pratiques, c'est la philosophie organisationnelle. Toutes les pratiques produisent un mouvement vers l'intégration de la gestion des risques au sein de l'organisation. Les approches, les outils et les techniques constituent le point de contact avec la ' route ', c'est-à-dire l'orientation et les objectifs de l'organisation. Plusieurs pratiques sont interreliées. Par exemple, les ' équipes multidisciplinaires ' ont besoin d'une ' communication ouverte '.
Tableau 2
Aperçu général des pratiques
exemplaires
Source : KPMG
© KPMG
Certaines organisations ont établi des responsabilités particulières, dans le domaine de la gestion des risques, pour le conseil d'administration et la haute direction. Le conseil d'administration peut offrir des conseils sur la façon d'identifier les principaux risques qui guettent l'entreprise, de s'assurer que les systèmes appropriés soient mis en oeuvre pour faire la gestion des risques, de s'assurer de l'intégrité des systèmes de contrôle et de gestion, de définir les responsabilités et d'exercer un suivi des risques les plus importants. La direction est responsable de la coordination de la gestion des risques et de l'identification, de l'évaluation, du contrôle et du rapport des risques. Le conseil d'administration ou la haute direction définissent, élaborent et approuvent une politique en matière de risques. La politique sur les risques établit le niveau de risque qu'une entreprise est prête à accepter. La politique pourrait également énoncer les rôles, les responsabilités et les pratiques relativement à la gestion des risques.
à la suite de notre analyse des pratiques exemplaires, voici nos observations concernant la gestion des risques :
Nous concluons que les pratiques exemplaires sont généralement applicables dans le contexte du gouvernement fédéral. Le tableau 3 présente l'application des critères d'évaluation aux pratiques exemplaires. Les pratiques sont compatibles avec l'orientation actuelle de la gestion des risques au sein du gouvernement. La plupart de ces pratiques contribueront à l'amélioration de la prestation du service. En faisant la gestion des risques, les gestionnaires ont plus de chances d'atteindre leurs objectifs. Par conséquent, ils auraient de meilleures possibilités d'atteindre les objectifs et les cibles de prestation de services. Des pratiques telles que la philosophie organisationnelle, les canaux de communication ouverts, les équipes et les comités, l'encadrement et la formation contribuent à un environnement de travail opportun. Ces pratiques favorisent aussi l'innovation.
Ces pratiques facilitent effectivement la prise de décisions et la planification de la direction, mais le lien avec une saine allocation des ressources est moins fort. Toutefois, les outils permettant de représenter, de modéliser, d'identifier et d'évaluer les risques aident à concentrer les ressources sur les risques les plus menaçants et, de cette façon, les ressources sont allouées dans les domaines les plus critiques.
Il peut se dresser d'importants obstacles à la mise en oeuvre des pratiques exemplaires qui s'avèrent très différentes du statu quo. La plupart des ministères et organismes fédéraux fonctionnent avec une structure organisationnelle traditionnelle comportant une hiérarchie définie des rapports et de la gestion. Par conséquent, la mise en place d'une philosophie et d'une culture voulant faire de tout le monde un gestionnaire des risques peut être une cible hors d'atteinte. Parallèlement, les milieux actuels ne font pas bon accueil aux mauvaises nouvelles ou aux canaux de communication ouverts. Les ministères et organismes fédéraux auront besoin d'adopter des pratiques qui sont claires pour l'organisation et reliées aux avantages recherchés par cette organisation. Il existe différentes façons d'implanter ces pratiques dans les organisations.
Tableau 3
évaluation des pratiques
Ce chapitre résume le but de l'étude et les objectifs qu'elle visait. Nous fixons le contexte de l'étude et décrivons l'approche suivie. Enfin, nous rendons compte de l'échantillon ayant fait l'objet de l'étude.
A. L'objet de l'étude et les objectifs visés
Cette section décrit l'objet de l'étude et les objectifs qu'elle visait sur la question des pratiques exemplaires en matière de gestion des risques qui ont cours, au niveau international, au sein des organismes du secteur public et du secteur privé.
Le gouvernement fédéral canadien poursuit la mise en oeuvre des recommandations du rapport du Groupe de travail indépendant chargé de la modernisation de la fonction de contrôleur dans l'administration fédérale du Canada. Ce rapport avait relevé quatre éléments essentiels de la fonction moderne de contrôleur :
La création et le maintien d'un environnement mature de gestion des risques constituaient une des composantes névralgiques de l'approche recommandée par le comité. Pour promouvoir un tel environnement, le Secrétariat du Conseil du Trésor (SCT), de concert avec des ministères fédéraux et d'autres parties intéressées, est en train d'élaborer une façon d'aborder la gestion des risques qui puisse aider les employés à mieux comprendre, gérer et communiquer en matière de risques et de choix associés, c'est-à-dire, une approche moderne et intégrée. Le résultat de ces travaux devrait prendre la forme d'une politique générale qui établit le contexte de la gestion des risques au niveau fédéral, ainsi que l'encadrement, les outils, les techniques et la formation, à l'usage des ministères fédéraux.
Cette étude est l'une des quatre études simultanées qui contribuent à la recherche documentaire sur les pratiques exemplaires dans le domaine de la gestion des risques. Elle examine le secteur privé et le secteur public au niveau international.
2. Objectifs et portée de l'étude
Le projet avait pour objectif de relever les pratiques exemplaires en matière de gestion des risques, c'est-à-dire les stratégies, les approches, les méthodes, les outils et les techniques utilisés, et la façon dont on pourrait les utiliser au sein du gouvernement fédéral canadien.
L'étude est menée simultanément en deux parties, par deux firmes différentes. La firme KPMG a été retenue pour relever les pratiques exemplaires du secteur privé et du secteur public au niveau international. Suivant les paramètres de l'étude, nous avons recueilli des renseignements sur les pratiques exemplaires en Europe de l'Ouest (Royaume-Uni, France, Allemagne, Suisse), en Australie, en Nouvelle-Zélande et aux états-Unis. Nous avons également recueilli des renseignements provenant d'organisations de l'Afrique du Sud et de Taïwan. Notre description des travaux apparaît à l'annexe A.
Dans cette section, nous décrivons le contexte et l'approche de l'étude. Il est important de comprendre ces deux dimensions parce qu'elles ont eu une influence sur les renseignements que nous avons recueillis au cours de l'étude et que nous discutons ici.
Comme il est indiqué plus haut, cette étude sur les pratiques internationales exemplaires a été menée parallèlement à une autre étude sur les pratiques exemplaires au sein des organismes canadiens du secteur privé et du secteur public, étude effectuée par une autre firme de conseillers. Les paramètres de nos études respectives exigeaient de nous une présentation coordonnée du sommaire de nos conclusions et de nos recommandations à notre chargé de projets. C'est ainsi que, depuis le tout début du projet, nos équipes ont travaillé en étroite collaboration pour s'assurer d'avoir une même compréhension des exigences de l'étude, d'être en mesure de réaliser une intégration des renseignements recueillis et de présenter un sommaire coordonné. Par exemple, nous avons défini la ' pratique exemplaire ' et les éléments de la gestion des risques qui avaient un rapport avec l'étude.
Il est important de noter que l'étude ne fait pas l'inventaire de la gamme complète des pratiques de gestion des risques.
Nous avons développé davantage sur ces secteurs dans notre guide d'entrevues.
Il s'ensuit donc que, même s'il existe de nombreuses autres ' bonnes ' pratiques dans une organisation, nous n'en faisons pas rapport. Nous ne rendons pas non plus compte d'un processus complet ou d'un système de gestion des risques.
Le tableau I-1 illustre l'approche que nous avons utilisée pour mener l'étude.
Tableau I-1
Approche
Nous avons abordé la question de la façon suivante :
Le cadre de référence de notre étude nous demandait de documenter les pratiques exemplaires relevées et de faire des recommandations sur leur utilité et leur applicabilité dans le contexte du gouvernement fédéral canadien. De concert avec l'autre firme, nous avons préparé une liste de critères permettant d'évaluer l'applicabilité des pratiques exemplaires au gouvernement fédéral canadien. L'ensemble final des critères, contenu à l'annexe D, intègre les contributions d'un comité consultatif interne composé de représentants de ministères. Dans la mesure du possible, nous avons évalué l'applicabilité des pratiques en fonction de ces critères.
Notre échantillon d'étude s'est composé comme suit :
Nous sommes donc sûrs de la base sur laquelle nous nous appuyons pour déterminer les pratiques exemplaires.
Les organisations auprès desquelles nous avons tenu des entrevues représentent l'Australie, l'Europe de l'Ouest (France, Allemagne, Suède, Suisse, Royaume-Uni), la Nouvelle-Zélande, l'Afrique du Sud, Taïwan et les états-Unis. Le tableau I-2(a) montre la distribution selon le lieu. L'échantillon se compose surtout d'organisations de l'Europe de l'Ouest, de l'Australie et de la Nouvelle-Zélande.
Tableau I-2(a)
Distribution des organisations selon le lieu
Douze des organisations proviennent du secteur privé et cinq du secteur public. Le tableau I-2(b) montre la distribution des organisations selon l'industrie. Les organisations du gouvernement fédéral représentent 28 p. 100 de l'échantillon (cinq organisations). Le reste représente une variété d'industries : industries de fabrication, mines et ressources naturelles, services financiers, produits pharmaceutiques, technologie et communications, et enfin, services publics. Nous sommes satisfaits d'avoir réussi à obtenir un équilibre solide de représentation géographique et industrielle dans le temps imparti pour l'étude.
Tableau I-2(b)
Distribution des organisations selon l'industrie
Nous avons trouvé, dans nos entrevues, que ces organisations du secteur public et du secteur privé faisaient face à des problématiques semblables à celles du secteur public fédéral au Canada : environnements de contraintes, pressions pour l'innovation et cultures organisationnelles en changement.
Notre recherche documentaire approfondie nous a renseignés sur les pratiques exemplaires ayant cours dans de nombreuses autres organisations. Une pratique rapportée dans une publication est une ' pratique exemplaire ' selon la définition utilisée dans la présente étude. Il est clair que la pratique est considérée efficace et avoir de la valeur pour d'autres organisations si elle fait l'objet d'une discussion publique.
Ce chapitre donne un aperçu des avantages découlant de l'implantation de la gestion des risques. Nous discutons aussi, brièvement, de l'état de l'implantation dans les organisations.
Il existe certainement des arguments solides en faveur de l'implantation de la gestion des risques. Voici, selon les rapports, une liste d'avantages découlant de cette pratique :
B. état de la mise en oeuvre de la gestion des risques
Cette section traite brièvement de l'état de la mise en oeuvre de la gestion des risques, y compris sa portée et sa définition.
Toutes les organisations que nous avons interviewées ont toujours pratiqué une forme quelconque de gestion des risques; par exemple, la gestion des risques dans des disciplines particulières comme les finances. Certaines de ces organisations ajoutaient plus de substance à leurs processus en place. Environ un tiers d'entre elles s'intéressaient maintenant à implanter la gestion des risques pour traiter des risques d'affaires ou des risques organisationnels.
Les pratiques tirées de la recherche documentaire portaient sur l'implantation de la gestion des risques d'affaires et des risques disciplinaires.
L'intérêt envers l'implantation de la gestion des risques va en augmentant.
Dans la plupart des cas, les risques sont perçus comme étant toute chose ou tout événement qui pourrait empêcher une organisation de réaliser ses objectifs.
Il s'ensuit donc, pour ces organisations, que la gestion des risques n'a rien à voir avec le fait d'être ' hostile au risque '. La gestion des risques ne vise pas à éviter les risques. Elle se concentre sur l'identification, l'évaluation, le contrôle et la ' maîtrise ' des risques. La gestion des risques veut également dire qu'on tire profit des perspectives profitables et qu'on prend des risques sur la base d'une décision informée et d'une analyse des résultats.
Ce chapitre rend compte des pratiques exemplaires que nous avons relevées dans notre recherche documentaire et nos entrevues. Nous les présentons en deux catégories : l'intégration de la gestion des risques aux pratiques de gestion, et les approches, outils et techniques de la gestion des risques.
Le tableau III-1 présente une vue d'ensemble des pratiques exemplaires. Le ' moyeux ', d'où découlent toutes les autres pratiques, c'est la philosophie organisationnelle. Prises comme un tout, toutes les pratiques produisent un mouvement vers l'intégration de la gestion des risques au sein de l'organisation. Les outils et les techniques constituent le point de contact avec la ' route ', c'est-à-dire l'orientation et les objectifs de l'organisation.
Tableau III-1
Aperçu général des pratiques
exemplaires
Source : KPMG
© KPMG
A. L'intégration de la gestion des risques aux autres pratiques de gestion
Cette section rend compte des pratiques exemplaires d'intégration de la gestion des risques aux pratiques de gestion.
La pratique prédominante d'intégration de la gestion des risques est, de loin, celle qui consiste à édifier une culture organisationnelle dans laquelle tout le monde est gestionnaire de risques. Certaines organisations ont dit que cet aspect était plus important que l'élaboration et la promulgation de politiques et procédures élaborées. La gestion des risques fait partie intégrante de la philosophie de gestion. Les employés qui prennent la responsabilité de leurs actions et de leurs résultats deviennent des gestionnaires de risques. Idéalement, les employés ont une compréhension intuitive des buts de l'organisation et ils travaillent dans ce sens. Une organisation a noté que la culture avait pris naissance dans les rangs des employés, pour éventuellement se propager jusqu'à l'étage de la haute direction.
Voici quelques exemples de cette pratique :
Il arrive parfois que la culture doive être développée. Voici quelques pratiques dans ce domaine :
L'avantage d'une culture de gestion des risques, selon les rapports, est que les organisations peuvent changer plus rapidement et peuvent faire la gestion des risques de façon plus efficace.
La responsabilité de direction de la gestion des risques est placée à un niveau élevé dans l'organisation. C'est également un outil permettant d'intégrer la gestion des risques à la culture. Le soutien de la haute direction (et/ou des organismes de régie, comme le conseil d'administration) est essentiel. Au point de départ, la haute direction et le conseil d'administration doivent être au courant de la gestion des risques et la comprendre. Il existe de nombreuses façons, pour les hauts dirigeants, de prendre part à la gestion des risques. Mais, quelle que soit la façon, le rôle de la haute direction et du conseil d'administration dans la diffusion, à l'interne comme à l'externe, du message affirmant l'importance de la gestion des risques, est à la base de tout. Il est aussi important que les autres gestionnaires, intéressés et employés voient la participation de ces instances. La gestion des risques n'est pas qu'un article de discussion pour comités de gestion siégeant à huis clos.
Voici quelques façons utilisées par la haute direction et les conseils d'administration pour mener des initiatives de gestion des risques :
Certaines organisations rapportent qu'elles ont établi des responsabilités particulières, dans le domaine de la gestion des risques, à l'intention du conseil d'administration et la haute direction. Le conseil d'administration peut offrir des conseils sur la façon d'identifier les principaux risques qui guettent l'entreprise, de s'assurer que les systèmes appropriés soient mis en oeuvre pour faire la gestion des risques, de s'assurer de l'intégrité des systèmes de contrôle et de gestion, de définir les responsabilités et d'exercer un suivi des risques les plus importants. La direction est responsable de la coordination de la gestion des risques et de l'identification, de l'évaluation, du contrôle et du rapport des risques. Le plus important, c'est que le conseil d'administration, ou la haute direction définisse, élabore et approuve une politique en matière de risques.
Le message principal de la politique sur les risques, c'est le niveau de risques qu'une entreprise est prête à accepter. La politique pourrait également énoncer les rôles, les responsabilités et les pratiques relativement à la gestion des risques. Les gestionnaires ont besoin d'une direction claire quant à la tolérance aux risques. Cette direction doit venir de l'organisme de régie ou de la haute direction. Les ateliers constituent une autre façon de communiquer les niveaux de tolérances.
Les pratiques rapportées démontrent qu'une communication ouverte est nécessaire au succès de la gestion des risques. Par exemple, les équipes se fient à la communication pour gérer les risques et atteindre leurs objectifs. également, beaucoup rapportent que la communication ouverte est une façon d'intégrer facilement la gestion des risques aux processus en vigueur. Si la communication est inexistante, il est impossible à la gestion des risques d'être ' l'affaire de chacun '. Les gestionnaires ont besoin de canaux de communication directs vers le haut, vers le bas et à travers leurs unités organisationnelles pour les aider à détecter les risques et à prendre les mesures appropriées. De nouvelles structures, fondées sur une information plus ouverte, sont en train de remplacer les structures traditionnelles de l'organisation et leurs relations hiérarchiques définies. L'information doit se partager.
Voici des exemples de bonnes communications ouvertes :
Les équipes formelles et informelles constituent un mécanisme auquel, selon les rapports, de nombreuses organisations ont recours pour faire la gestion des risques. Les équipes ont été mentionnées dans nombre de situations, comme la gestion des risques financiers, les projets de construction, l'indemnisation des travailleurs, la santé et la sécurité, l'assurance, la gestion des contrats, les transports, la gestion de trésorerie, la gestion de projets, le développement de nouveaux produits. La constitution d'équipes fait ressortir la dynamique qui se manifeste entre les disciplines, réunit des attitudes diverses face au risque, et amène une nouvelle façon de penser les problèmes, les bonnes perspectives, les stratégies et les solutions. Elle est perçue comme une façon d'amener des disciplines diverses à se concentrer sur des objectifs communs, dont l'un est celui qui vise à minimiser les risques. Les équipes sont source d'équilibre. également, les équipes répandent la préoccupation envers la gestion des risques comme un pollen qui alimente toutes les parties de l'organisation, plutôt que rester la préoccupation d'une seule fonction ou discipline. Alors que la pratique consistant à former des équipes est considérée être une ' pratique exemplaire ', il n'existe pas de pratique commune concernant la composition de l'équipe.
La composition d'équipes formelles de gestion des risques se présentait sous les formes suivantes :
Dans d'autres cas, on encourage diverses disciplines à travailler ensemble, comme, par exemple :
Les équipes offrent une perspective plus large et examinent les risques et les conséquences sous divers angles. Pour pouvoir fonctionner, les équipes ont besoin d'une communication ouverte.
Pour intégrer la gestion des risques aux autres processus de gestion, il faut que la terminologie soit facile à comprendre pour les gestionnaires. Les approches devraient également être simples à comprendre et à utiliser. En élaborant un langage commun pour traiter des risques d'affaires, les gestionnaires peuvent communiquer avec des habitués de la salle de réunion ou de la salle des fournaises en des termes que tous peuvent comprendre. Cet aspect est également important dans les cas où on s'attend à ce que tous et chacun fassent de la gestion de risques. Les façons d'aborder la gestion des risques et les processus doivent être simples pour être acceptées par les responsables de la gestion des affaires. Des organisations nous ont rapporté que des outils complexes, intellectuels s'étaient avérés infructueux. D'autres nous ont mis en garde à l'effet que les approches doivent aussi avoir la flexibilité suffisante pour rester intelligibles à travers les unités opérationnelles. Même si le processus doit rester simple et utile à travers ces unités, il ne faudrait pas qu'il soit trop simplifié. Les concepteurs de ce processus doivent réaliser un équilibre entre la simplicité et l'utilité.
De nombreuses organisations ont mis sur pied un centre de responsabilités destiné à la gestion des risques. Certaines unités sont placées sous un Chef des risques, qui définit des moyens uniformes d'aborder la gestion des risques. En tant que champion du risque organisationnel, ce chef a la responsabilité du leadership, d'établir et de maintenir une sensibilisation aux risques dans l'ensemble de l'organisation. Il pourrait également fixer des objectifs en matière de contrôle des risques, établir un cadre de gestion des risques et concevoir des façons de mesurer les risques. Ces gestionnaires des risques de haut niveau doivent posséder de fortes capacités de persuasion. Le gestionnaire des risques doit traiter des risques d'affaires et non seulement des risques assurables. Ainsi, son importance va en s'accentuant au sein de l'organisation.
Un petit nombre d'organisations font rapport à la direction, aux actionnaires et aux parties prenantes sur les risques et la performance en matière de gestion des risques. En voici quelques modèles :
La fonction de la vérification interne joue un rôle capital dans la mise en oeuvre de la gestion des risques dans l'ensemble d'une organisation. En voici quelques exemples :
L'encadrement est une pratique importante permettant l'intégration de la gestion des risques. L'encadrement est offert indirectement (au moyen de documents) ou directement (par des conseils). En voici quelques exemples :
La formation en matière de gestion des risques, placée dans le cadre du programme de formation d'une société, aide à faire l'intégration de la gestion des risques. Les domaines qui se prêtent à la formation sont, notamment : les évaluations du risque, les pratiques exemplaires, les exigences législatives, la sécurité, les objectifs de gestion des risques, la formation dans le domaine de la sensibilisation aux risques, et ce, pour s'assurer que tous les gestionnaires tiennent compte des risques.
B. Approches, outils et techniques de mise en oeuvre de la gestion des risques
Les organisations sont en train d'élaborer des relevés des risques d'entreprise pour déterminer quels sont les principaux risques d'entreprise qui menacent l'organisation. Cette activité aide l'organisation à comprendre et absorber les risques qui l'affectent. La direction doit quantifier l'ampleur des risques et mesurer leur impact potentiel. L'utilisation d'un cadre à grande portée permet de tenir compte de différents genres de risques possibles lors de l'inventaire des risques. L'utilisation d'un cadre peut avoir une influence sur une discussion portant sur les sources et les genres de risques, soit, par exemple, les risques externes, économiques, risques de marché, de crédit, risques reliés à l'information et aux ressources humaines, et risques stratégiques. Cette façon d'aborder la question permet d'examiner les risques sous l'angle d'une perspective multidisciplinaire.
Voici quelques exemples de cette pratique :
La simplicité est un trait sous-jacent de ces approches.
Les outils de modélisation permettent aux gestionnaires de gérer l'incertitude. L'analyse par scénarios et les modèles prévisionnels en sont les outils de prédilection. Voici quelques exemples de l'utilisation de ces outils de modélisation :
Certains outils, comme l'analyse par scénarios, la modélisation, l'analyse des risques techniques, peuvent largement s'appliquer aux domaines de la gestion. D'autres, comme les modèles financiers, s'appliquent moins bien à d'autres disciplines.
Les techniques d'identification et d'évaluation des risques aident les gestionnaires à déterminer les endroits où ils devraient faire porter leur attention et leurs ressources. Aucune de ces techniques ne l'emporte sur les autres.
Les voici :
L'Internet et l'Intranet servent de plus en plus à la gestion des risques. On s'en sert pour promouvoir la sensibilisation aux risques et la gestion des risques, pour obtenir de l'information sur les risques qui existent dans certains domaines précis, et pour communiquer les objectifs de gestion des risques.
Ce chapitre fait le résumé de nos observations et conclusions, suite à l'examen que nous avons fait des pratiques exemplaires.
Nous offrons les observations qui suivent concernant la gestion des risques, observations tirées de notre analyse des pratiques exemplaires.
Il est possible de sensibiliser les gestionnaires à l'existence des risques et à la gestion des risques. La gestion des risques peut être enseignée et être renforcée. Toutefois, la gestion des risques atteint son maximum d'efficacité lorsque les gestionnaires et les employés sont au diapason de la gestion des risques. La gestion des risques ne s'impose pas. Les gestionnaires devraient être conscientisés au sujet de la gestion des risques et intégrer celle-ci à leurs autres pratiques de gestion. Il faut tenir compte des risques au moment de la prise de décisions. Les gestionnaires sont plus susceptibles d'accepter la pratique si elle est positionnée comme une activité de gestion normale. Les processus trop bureaucratiques et trop complexes vont noyer la gestion des risques sous un flot d'éléments non pertinents. Il faut atteindre un équilibre entre la flexibilité et l'uniformité. Les gestionnaires ont besoin de flexibilité pour utiliser des techniques qui sont pertinentes pour eux-mêmes et pour leurs opérations. Cependant, la technique doit également permettre la synthèse des données et la comparaison des résultats d'unités opérationnelles au niveau de l'entreprise générale. Il faut que des spécialistes soient disponibles pour prêter assistance aux gestionnaires.
Les renseignements que nous avons recueillis indiquent que les programmes de gestion des risques et les programmes traitant de l'éthique sont étroitement apparentés. Par exemple, un code d'éthique écrit est un mécanisme de communication des valeurs d'une organisation et des risques y afférents. Un programme d'éthique destiné aux employés du gouvernement est perçu comme un moyen de sensibiliser les employés aux enjeux d'ordre éthique ou aux risques d'affecter les valeurs de l'entité. Les gestionnaires de risques pourraient être de plus en plus appelés à collaborer avec la fonction éthique pour comprendre et résoudre les risques reliés à l'information. Une autre organisation a également rapporté qu'une initiative d'éthique de fonctionnement a révélé des dangers reliés à l'information qui découlent d'une ' culture du secret '. Les politiques et les normes internes n'étaient pas écrites ou communiquées aux employés de façon uniforme. Le gestionnaire de l'éthique a travaillé avec la fonction de gestion des risques pour élaborer des étapes ayant pour but d'éviter, à l'avenir des infractions aux normes. De nombreuses composantes d'un programme d'éthique de l'entreprise visent à l'amélioration des flux d'information de l'organisation. Ces derniers comprennent les programmes généraux de communication, l'engagement de la haute direction et la communication des valeurs et principes de l'organisation, et le suivi des pratiques opérationnelles. Nous avons déjà dit que les communications et les flux d'information constituent une pratique fondamentale de la gestion des risques.
3. La gestion des risques est un processus dynamique.
Au fur et à mesure que changent les besoins et les risques opérationnels, de nouveaux processus ou outils de gestion des risques sont nécessaires. Par exemple, l'usage accru de l'Internet peut être source de risques et peut, en même temps, être un outil de gestion des risques. Les pratiques doivent continuellement s'adapter à un environnement en évolution. La performance des organisations en matière de gestion des risques doit également faire l'objet d'une surveillance et d'une amélioration continues. Les employés et les gestionnaires doivent être informés des changements qui surviennent. Les évaluations de risques devraient être révisées au fur et à mesure que les circonstances changent. Il ne s'agit pas d'une opération strictement ponctuelle et ' jetable '.
4. De nombreux spécialistes fonctionnels joueront un rôle dans la gestion des risques.
L'examen que nous avons effectué des pratiques exemplaires indique que de nombreux spécialistes fonctionnels auront un rôle à jouer dans la gestion des risques. Ces spécialistes sont, notamment, les spécialistes en technologie de l'information, ceux des ressources humaines, des communications et des finances.
Les spécialistes de la technologie de l'information ont (T.I.) toujours eu une préoccupation envers la gestion des risques. Ils ont eu l'occasion de faire la gestion de risques de projets de T.I. Maintenant, leur rôle peut être en expansion pour offrir un soutien de spécialistes aux spécialistes et aux gestionnaires de la gestion des risques. Au fur et à mesure que les nouvelles technologies sont acceptées (p. ex., l'Internet, le commerce électronique), les spécialistes de la T.I. seront appelés à aider les autres à comprendre les risques possibles associés aux opérations de même qu'à la technologie, et à faire face à ces risques. Ils contribueront à l'identification, à l'évaluation et à la gestion des risques là où se trouvera une composante technologique. Ils seront des membres de première importance des équipes et des comités.
Les spécialistes de la technologie de l'information seront également appelés à mettre sur pied des systèmes de gestion des risques. Ces systèmes comprennent notamment des logiciels de modélisation, des systèmes de surveillance des risques et des systèmes de suivi de la performance en matière de gestion des risques.
Les spécialistes des ressources humaines seront appelés à concevoir des mécanismes appropriés à l'évaluation du rendement des gestionnaires dans leur gestion des risques. Ils seront également appelés à faire la conception de stratégies d'apprentissage et de programmes de formation. Ils pourront également être invités à participer à la gestion du changement et à des initiatives visant à opérer un changement dans la culture de l'organisation.
Les spécialistes des communications auront un rôle à jouer dans l'établissement des canaux de communication appropriés. Ils seront probablement appelés à participer aussi à la production de rapports sur les risques et sur le rendement en matière de gestion des risques.
Les spécialistes des finances auront un rôle à jouer dans l'identification et l'évaluation des implications financières de divers scénarios lorsque les gestionnaires dressent des modèles de l'incertitude.
La mise en oeuvre de la gestion des risques exige des ressources. Il faudra investir dans les domaines suivants : la formation, le développement des processus et des techniques, les systèmes de gestion, les groupes de spécialistes. La haute direction doit s'engager à soutenir cette initiative en y consacrant les ressources nécessaires.
Cette section présente nos conclusions concernant l'applicabilité des pratiques exemplaires au gouvernement fédéral canadien. Le Tableau IV-1 présente l'application des critères d'évaluation aux pratiques exemplaires.
Voici ce que nous montre ce tableau :
Nous concluons que les pratiques exemplaires sont applicables au contexte du gouvernement fédéral, compte tenu des critères selon lesquels elles ont été évaluées. Toutefois, il peut se dresser d'importants obstacles à la mise en oeuvre des pratiques exemplaires qui s'avèrent très différentes du statu quo. La plupart des ministères et organismes fédéraux fonctionnent avec une structure organisationnelle traditionnelle. Il y existe une hiérarchie définie des rapports et de la gestion. Par conséquent, la mise en place d'une philosophie et d'une culture voulant faire de tout le monde un gestionnaire des risques peut être une cible hors d'atteinte. Pareillement, les milieux actuels ne font pas bon accueil aux mauvaises nouvelles ou aux canaux de communication ouverts.
Tableau IV-1
évaluation des pratiques