Pêches et Océans Canada
www.mpo-dfo.gc.ca
Liens de la barre de menu commune
Lignes directrices initiales pour la mise en œuvre de la GIR
décembre 2004
TABLE DES MATIÈRES
3) ÉLÉMENTS CLÉS DE LA RÉUSSITE
ANNEXE 1 – ÉLÉMENTS DE LA GESTION DU RISQUE
IDENTIFICATION DU RISQUE : COMPRENDRE CE QUI NE VA PAS
RÉPONSE AU RISQUE ET TRAITEMENT
COMMUNICATION DU RISQUE ET ÉTABLISSEMENT DE RAPPORTs SUR LES RISQUES
1) INTRODUCTION
Les présentes lignes directrices ont été élaborées dans le but d’offrir un document de haut niveau qui énonce en termes généraux à quel endroit et de quelle manière la gestion intégrée du risque (GIR) peut être utile au sein du ministère des Pêches et des Océans (MPO).
Le document sera accompagné de guides de mise en œuvre et de manuels de procédures qui traitent, étape par étape, de la façon dont la gestion intégrée du risque sera effectuée dans des secteurs de programme particuliers. Ces guides et manuels plus détaillés seront élaborés au fur et à mesure des besoins. Nous prévoyons qu’à compter d’avril 2006, les principales activités du MPO seront documentées par de tels guides et manuels.
Le document sur les lignes directrices initiales pour la mise en œuvre de la GIR fera l’objet d’une révision au plus tard en avril 2006. Ces lignes directrices en matière de GIR tiendront compte des approches et des éléments qui se sont avérés appropriés et efficaces pour le MPO au cours de la période initiale de mise en œuvre de la GIR. Elles feront également référence à touts les manuels et guides de GIR qui auront été élaborés et qui seront en vigueur à ce moment.
Contexte
Le MPO reconnaît que tenir compte des priorités tout en disposant de ressources limitées exige une planification concertée et une analyse des compromis. Dans un tel contexte, il en va d’une saine pratique de gestion de gérer le risque de façon proactive, systématique et explicite, pour assurer aux gestionnaires une prise de décision éclairée visant l’atteinte des objectifs stratégiques. Pour ce faire, le MPO procède actuellement à la mise en oeuvre de la gestion intégrée du risque.
En plus s’inscrire dans le cadre d’une saine pratique de gestion, la mise en œuvre de la GIR permet également de satisfaire aux obligations du MPO à l’égard du Secrétariat du Conseil du Trésor (SCT). Le Cadre de GIR du SCT et le Cadre de responsabilisation de gestion (CRG) publié récemment favorisent l’utilisation de la GIR pour renforcer la gestion du risque à l’échelle gouvernementale, accroître la responsabilisation et obtenir de meilleurs résultats.
La politique de GIR du MPO, qui est entrée en vigueur le 1er septembre 2004, présente les objectifs, les principes ainsi que les rôles et responsabilités inhérents au déploiement de la GIR.
Les présentes lignes directrices initiales pour la GIR se veulent une synthèse stratégique des buts et moyens de mise en oeuvre de la gestion intégrée du risque au sein du MPO. Elles visent à favoriser l’opérationnalisation de la politique de GIR du MPO en offrant un plan directeur de haut niveau aux gestionnaires de l’ensemble du Ministère, afin que les risques du MPO soient gérés de façon proactive.
Les lignes directrices visent à établir une terminologie et une culture de gestion communes à l’ensemble du Ministère et, bien qu’elles fournissent une orientation générale sur la gestion du risque, elles ne visent aucunement à prescrire des procédures de gestion du risque.
Le déploiement de la GIR du MPO sera en outre orienté par un plan officiel de mise en œuvre de la GIR, actuellement en cours d’élaboration.
Mise en œuvre de la GIR
Le MPO a amorcé une phase de mise en œuvre de la GIR de 18 mois. Les travaux sont effectués par une équipe de mise en œuvre de la GIR, dont les conseils et l’orientation sont assurés par un comité officiel de mise en œuvre de la GIR. L’effort de mise en œuvre a commencé au cours de l’été 2004 et se caractérise par les produits livrables suivants, chacun représentant un élément clé du régime de la GIR du MPO.
- La Politique de la gestion intégrée du risque (publiée en septembre 2004);
- le Profil initial du risque de l’organisation (en cours d’élaboration);
- les Lignes directrices initiales pour la gestion intégrée du risque (le présent document);
- le Plan de mise en œuvre de la GIR, incluant un plan de travail détaillé pour orienter le déploiement complet de la GIR.
Directives initiales de la gestion intégrée du risque
[ Cliquer sur le graphique pour l'agrandir ]
À l’achèvement de la phase de mise en œuvre de 18 mois, nous prévoyons obtenir un Profil de risque de l’organisation à jour et approuvé, ainsi qu’une version finale des Lignes directrice pour la gestion intégrée du risque. Le Plan de mise en œuvre de la GIR sera également élaboré et fournira des précisions essentielles sur les méthodes et l’objet du déploiement de la GIR.
Objectif
Les présentes lignes directrices initiales visent à aider les gestionnaires à toutes les étapes de la mise en œuvre de la GIR en leur fournissant des renseignements généraux et une orientation stratégique. On prévoit que le MPO mettra à jour et peaufinera ces lignes directrices au fur et à mesure des expériences acquises au cours de la mise en œuvre de la GIR. L’annexe du présent document fournit une certaine orientation à l’égard des éléments et approches pouvant être appliqués. Des guides des méthodes plus détaillés sur des activités ou des secteurs spécifiques pourraient être élaborés ultérieurement.
2) CONCEPTS CLÉS DE LA GIR
Quelques principes directeurs
- La gestion du risque est l’affaire de tous. La section 5 des présentes lignes directrices donne un aperçu des responsabilités spécifiques au sein du Ministère en ce qui concerne la gestion du risque. De façon plus générale toutefois, il incombe à l’ensemble du personnel d’identifier et de gérer les risques inhérents à ses objectifs.
- La gestion du risque n’est pas synonyme d’évitement du risque. Le but consiste à gérer le risque à un niveau approprié.
- Effectuée adéquatement, la gestion de risque est par nature proactive. Bien que nous ne puissions toujours prédire l’occurrence d’événements négatifs, une approche réactive à la gestion du risque est généralement coûteuse et restreint notre capacité de prévenir et de corriger des événements néfastes et leurs conséquences.
- On tire pleinement parti de la gestion du risque lorsqu’on l’applique de façon intégrée et qu’elle est liée à d’autres fonctions ministérielles, notamment la planification, la répartition des ressources et la gestion du rendement. Lorsque la gestion du risque est pratiquée de façon distincte, elle ne peut être exploitée à son plein potentiel.
Objectifs du MPO en matière de GIR
Voici les objectifs du Ministère en matière de GIR énoncés dans la Politique de GIR du MPO :
- Reconnaître que la gestion du risque fait partie intégrante de l'atteinte des objectifs opérationnels et qu’elle est une pratique efficace de gouvernance;
- faire en sorte que la gestion intégrée du risque devienne une force ministérielle intégrée à d’autres pratiques de gestion et globale;
- promouvoir l’intégration par le biais d’une collaboration horizontale et d’une gestion proactive systématique de tous les risques importants (stratégiques, fonctionnels et associés aux projets) pour favoriser une approche de prise de décision unifiée et cohérente visant l'atteinte des priorités ministérielles;
- appliquer de manière constante et explicite la gestion intégrée du risque à la prise de décisions;
- utiliser les approches existantes pour gérer le risque tout en renforçant la capacité de tenir compte des parties intéressées; et
- soutenir et fournir les ressources pour la formation et les plans d'apprentissage de la GIR.
Qu’est-ce qu’un risque?
Un risque se rapporte à l’incertitude qui entoure des événements ou des résultats futurs. Il est l’expression de la probabilité et l’incidence d’un événement susceptible d'influencer l'atteinte d’un objectif important.
Autrement dit, peut être considéré un risque tout événement susceptible de mal se dérouler et pouvant empêcher l’atteinte de vos objectifs.
Qu’est-ce que la gestion du risque?
Au cœur des activités quotidiennes, la gestion du risque est un outil de gestion qui utilise une approche systématique pour identifier, analyser et traiter les risques auxquels vos objectifs sont exposés.
Formes actuelles de gestion du risque
La gestion du risque prend différentes formes au sein du Ministère. Le but de la gestion intégrée du risque (GIR) vise à intégrer et à multiplier les résultats obtenus de cette gestion du risque, afin que les cadres intermédiaires et supérieurs en tirent parti.
Bien que la gestion du risque « intuitive » puisse parfois s’avérer la mieux inspirée, une gestion du risque plus formelle est nécessaire pour gérer de façon proactive le risque dans le cadre d’un projet, d’un programme ou de l’exploitation toute entière.
Les avantages de l’intégration
La gestion du risque peut être compartimentée au sein du Ministère et s’avérer rentable grâce à l’identification proactive des enjeux à traiter dans le but d’atteindre de meilleurs résultats. Toutefois, le ministère ne pourra tirer pleinement parti de la gestion du risque tant et aussi longtemps qu’il ne l’aura pas totalement intégrée.
La gestion intégrée du risque est un ensemble des pratiques de gestion, appuyées par une culture consciente des risques, qui évaluent, communiquent et gèrent le risque en fonction d’un niveau approprié au profil de risque du Ministère et de ses occasions. La GIR améliore la prise de décision, renforce la régie d’entreprise et accroît la capacité d’atteindre les objectifs. La GIR permettra au ministère d’élaborer une approche de prise de décision plus unifiée et cohérente, tout en améliorant notre capacité de tirer profit des occasions, d’améliorer la prévisibilité et de protéger leurs actifs.
La notion d’« intégration » de la gestion du risque comporte de nombreuses facettes décrites ci-dessous :
- Il faut évaluer les risques dans l’ensemble du Ministère pour être en mesure d’établir et de surveiller une image horizontale complète (au sein des régions et des secteurs, p. ex.) du profil de risque du Ministère (intégration horizontale).
- Il faudrait évaluer les risques à plusieurs niveaux pour mieux comprendre les risques détaillés d’un programme ou d’un secteur (intégration verticale).
- Il faut examiner tous les types de risques (qu’ils soient stratégiques, opérationnels, financiers, etc.) pour comprendre le tableau complet.
- La gestion du risque est intégrée à la planification ministérielle et à la prise de décision.
Il est possible de tirer de nombreux avantages concrets de la GIR :
- L’identification, l’évaluation, l’atténuation et la surveillance proactives des risques servent de système de détection hâtive essentiel et permettent d’éviter des surprises susceptibles de perturber ou de désorganiser une opération, un programme ou un projet.
- Un risque engendre des frictions au sein du système. En comprenant et en gérant le risque, il est possible de réduire la friction et d’accroître le rendement. D’importants objectifs opérationnels, tels l’efficience, l’efficacité, la conformité et la protection des biens sont ainsi atteintes avec une plus grande fiabilité. Ce point est particulièrement important dans un cadre limité en ressources.
- Grâce à des renseignements à jour et cohérents sur les risques, le personnel de gestion dispose de l’information dont il a besoin pour prendre des décisions éclairées et responsables.
- Dans la même veine, une gestion officielle et intégrée du risque favorise l’apprentissage et le transfert des connaissances au sein du Ministère. La création d’un ministère « conscient des risques » renforce l’efficacité et l’efficience opérationnelles.
- Appliquée de façon globale et intégrée, la gestion du risque renforce le processus de planification du personnel de gestion. Il est alors possible répartir des ressources dans les secteurs les plus à risque, non seulement pour contribuer à l’atteinte des objectifs, mais également pour accroître sensiblement l’efficacité en dirigeant les ressources vers le secteur qui en a le plus besoin.
3) ÉLÉMENTS CLÉS DE LA RÉUSSITE
Pour réussir, la GIR doit être un exercice durable, pragmatique et précieux pour le ministère. À l’instar de toute autre initiative, il est nécessaire de définir clairement les responsabilités des cadres en leadership. En outre, le MPO devra tenir compte des éléments clés suivants de la réussite lorsqu’il s’engagera vers une mise en œuvre intégrale de la GIR :
Intégration au cadre de gestion existant :
Dans un régime de GIR efficace, les objectifs du Ministère à l’égard de la GIR sont directement liés aux objectifs stratégiques, opérationnels et à ceux associés au projet. Les pratiques de gestion du risque doivent être intégrées aux pratiques de gestion courantes, notamment aux procédures normalisées d'exploitation, à la planification d’entreprise, à l’allocation des ressources et à la gestion du rendement. Les activités liées au risque des différents groupes ministériels doivent être coordonnées et conformes les unes par rapport aux autres. Ainsi, le MPO met actuellement en œuvre un cadre, une politique et des pratiques de gestion du risque communs. Dans la mesure du possible, on devrait miser sur les pratiques existantes pour éviter tout chevauchement des efforts et toute dépense inutile.
Outils et techniques de gestion du risque simples et efficaces :
Pour qu’un régime de GIR soit efficace, il doit utiliser des outils et des techniques efficients et efficaces pour assurer de façon continue l’identification, l’évaluation, la gestion et le contrôle des niveaux de risque et l’établissement de rapports sur les risques. Dans la mesure du possible, l’approche de gestion du risque du MPO sera normalisée et appliquée uniformément à l’échelle du Ministère. Toutefois, d’autres dispositions pourront être prises pour répondre aux aspects particuliers d’une opération qui nécessite des approches différentes. Comme nous l’avons mentionné ci-dessus, les techniques de gestion du risque doivent être intégrées aux pratiques de gestion, aux procédures d’exploitation et aux systèmes existants. La sophistication et, par conséquent, le coût associé aux pratiques et aux outils correspondront au niveau de risque auquel le MPO est exposé, ainsi qu’aux objectifs en matière de GIR.
Plan de mise en œuvre :
La mise en œuvre de la GIR peut entraîner d’importants changements au sein d’une organisation. Un plan de mise en œuvre bien conçu avec des activités et des jalons clairs est essentiel à la réussite de la mise en œuvre de la GIR. Ce plan, actuellement en cours d’élaboration, exprimera clairement les objectifs du MPO en matière de GIR, les buts finaux escomptés et les mesures qui serviront à démontrer qu’ils ont été atteints. Le plan précisera également les rôles et responsabilités à l’égard de la mise en œuvre, le choix du moment et la priorité des diverses activités, la nature et le nombre des ressources requises et le lien entre la GIR et les priorités existantes. Une stratégie de communication ciblée sera incluse dans le plan de mise en œuvre, afin de susciter la sensibilisation et la participation à la GIR au sein du Ministère. Finalement, le plan servira à élaborer un processus d’apprentissage continu qui sera essentiel à la durabilité de la GIR.
4) APPLICATION DE LA GIR
Portée
La GIR sera mise en œuvre à l’échelle de l’entreprise en vue de dresser un profil de risque de l’organisation, pour appuyer les processus stratégiques et opérationnels de prise de décision et de répartition des ressources. Les méthodes de gestion du risque qui composeront le régime de la GIR fourniront les outils nécessaires à l’identification de la nature, de l’incidence et de la probabilité des risques à tous les échelons du Ministère, de la petite station locale aux programmes nationaux.
Harmonisation aux pratiques ministérielles existantes
Le plan de mise en œuvre de la GIR fournira des directives détaillées quant à l’endroit où des évaluations de risque particulières devront être réalisées et à la façon dont elles seront intégrées pour dresser un profil de risque de l’entreprise. La gestion du risque sera au moins liée aux fonctions ministérielles existantes, telles la planification, la répartition des ressources et la gestion du rendement. Le schéma suivant illustre cette harmonisation.
[ Cliquer sur le graphique pour l'agrandir ]
Quand et comment gérer le risque?
L’objectif primordial du Ministère entourant la GIR vise à intégrer la gestion du risque aux activités régulières du MPO, y compris à la prise de décision. À ce titre, le principe fondamental qui étaye cette initiative est que la gestion du risque devrait être l’affaire de tous. Bien que des approches intuitives informelles de gestion du risque soient appropriées dans de nombreuses situations, une approche intégrée plus rigoureuse est essentielle pour appuyer et communiquer, de façon transparente et significative, la prise de décision stratégique. Le ministère en est conscient et s’engage à mettre en œuvre un processus officiel de gestion du risque en appui à l’évaluation explicite du risque aux échelons régionaux et sectoriels, ainsi que dans le cadre d’initiatives spécifiques. Comme nous l’avons vu plus tôt, la nature précise des activités de GIR, c’est-à-dire à quel moment et comment la gestion du risque devrait être appliquée, sera élaborée aux cours des prochains mois et sera abordée dans le plan de mise en œuvre de la GIR.
Le degré de formalité selon lequel la gestion du risque sera appliquée variera nécessairement en fonction de certains facteurs, notamment :
- Les coûts-avantages : l’application de la gestion du risque devrait normalement être rentable;
- l’importance stratégique : puisque la mission du MPO inclut l’étude des incidences sur les affaires, la navigation, la sûreté, la sécurité et le commerce, la rentabilité ne devrait pas être le seul critère ou facteur primordial à considérer. On devrait également se pencher sur l’importance stratégique des initiatives du MPO lorsqu’il s’agit de déterminer le niveau de formalité qu’il faut donner à la gestion des risques.
Une approche conceptuelle initiale prévue de la gestion intégrée du risque est illustrée ci-dessous. Elle inclut des éléments descendants (élaboration du profil de risque du Ministère) et des éléments ascendants (évaluations des risques ciblés) éventuels. L’approche réelle adoptée peut être différente.
| Processus | Description | Résultats et usage |
|---|---|---|
À l’échelle de l’entreprise |
||
Élaboration du profil de risque de l’organisation |
Chaque année, en préparation à l’exercice de planification, l’Équipe de gestion intégrée du risque regrouperait tous les risques importants tirés des processus sectoriels et régionaux. Au moyen d’un processus d’évaluation officiel, le Comité de gestion ministériel étudierait ces risques dans le contexte ministériel. On élaborerait des plans d’action, on aborderait la tolérance au risque et on répartirait des ressources pour le traitement de tout risque jugé inacceptable. |
Des stratégies de gestion du risque (plans d’action) établies en fonction du profil de risque seraient intégrées aux processus existants d’établissement des priorités et de planification stratégique à long terme et d’activités annuelle, ainsi qu’au processus de prise de décisions opérationnelles quotidiennes. La surveillance des niveaux de risque serait intégrée au processus de gestion du rendement dans le cadre de l’exécution des programmes. |
Évaluation du risque aux échelons sectoriel et régional |
||
Évaluation du risque du secteur |
Chaque année, des évaluations du risque stratégique seraient effectuées dans chaque secteur, dans le cadre du processus de planification des activités sectorielles. On identifierait les risques associés aux objectifs sectoriels et on évaluerait les stratégies de gestion du risque afin de déterminer les niveaux de risque résiduel dans chaque secteur. On élaborerait des plans d’action qui feront l’objet d’une surveillance au cours de l’exécution des programmes. |
Les stratégies de gestion du risque (plans d’action) seraient établies dans le cadre des évaluations de risque. Elles seraient ensuite intégrées aux processus existants de planification stratégique à long terme et d’activités annuelle qu’elles documenteront. Les processus d’établissement des priorités, de même que de prise de décisions opérationnelles quotidiennes seraient également améliorés lorsqu’ils seraient abordés à la lumière des résultats des analyses de gestion intégrée du risque. La surveillance des niveaux de risque serait effectuée dans le cadre de l’exécution des programmes. Les principaux risques seraient renvoyés au processus d’évaluation du risque à l’échelle de l’entreprise, dans le cadre de l’exercice d’élaboration du profil de risque de l’organisation. |
Évaluation du risque au niveau des programmes et des activités |
||
Évaluations ciblées du risque |
Les SMA / DGR et les autres gestionnaires pourraient diriger des évaluations du risque dans des secteurs à risque élevé (p. ex. les nouvelles initiatives, les secteurs qui connaissent des changements importants, les secteurs qui ont subi des incidents particuliers). Des évaluations de gestion intégrée du risque pourraient être recommandées dans le cadre d’activités permanentes confrontées à des changements constants ou assujetties à un environnement externe soumis à des risques et à des niveaux de risques différents chaque année. |
Des stratégies de gestion du risque (plans d’action) établies dans le cadre des évaluations du risque seraient mises en œuvre par un niveau de gestion compétente, conformément à sa sphère d’influence. La surveillance des niveaux de risque serait effectuée conformément au processus existant de gestion du rendement. Les risques qui ne peuvent être gérés à cet échelon seraient renvoyés à l’échelon supérieur. De même, les risques les plus élevés et les risques afférents aux enjeux horizontaux seraient renvoyés au processus d’évaluation du risque sectoriel ou régional. |
5) RÔLES ET RESPONSABILITÉS
La matrice de responsabilisation suivante expose brièvement les rôles et responsabilités escomptés des principales parties intéressées au sein du MPO et apparentés au déploiement de la GIR. Les activités et rôles spécifiques dépendront ultimement des processus de gestion intégrée du risque définis au cours de la phase de mise en œuvre de la GIR.
| Partie |
Rôles et responsabilités escomptés |
|---|---|
Le Comité de gestion ministériel (CGM) |
Chaque année, le CGM recevra des rapports qui identifient, évaluent et orientent la façon de communiquer les principaux secteurs à risque du Ministère. La nature précise de ces rapports sera déterminée dans le cadre de l’exercice de planification de la mise en œuvre de la GIR, actuellement en cours. En réponse, le personnel de gestion élaborera des plans d’action pour traiter et communiquer les risques qui sont jugés inacceptables. Ces plans d’action seront intégrés aux processus existants d’établissement des priorités et de planification stratégique à long terme et d’activités annuelle, ainsi qu’au processus de prise de décisions opérationnelles quotidiennes, s’il y a lieu. Par ailleurs, au fur et à mesure que des risques graves surviendront ou menaceront de survenir, ces enjeux seront soumis à l’étude du CGM qui prendra les mesures nécessaires, s’il y a lieu. |
Tous les cadres supérieurs |
Les cadres supérieurs participeront aux exercices annuels d’évaluation du risque, réalisés aux échelons ministériel et sectoriels/régionaux. La nature précise de ces évaluations du risque sera déterminée par l’exercice de mise en œuvre de la GIR actuellement en cours. Des plans d’action résultant des évaluations de risque seront intégrés aux processus existants de planification et permettront de diriger les ressources vers les secteurs les plus à risque. Essentiellement, le personnel de direction indiquera en pratique la voie à suivre en matière de GIR. |
Tous les gestionnaires |
Dans le cadre de leurs activités quotidiennes, les gestionnaires identifieront, évalueront et surveilleront les risques. Ils peuvent également être appelés à participer aux évaluations du risque menées chaque année, p. ex., dans les secteurs ou les régions. De façon générale, les gestionnaires devraient appuyer au sein de leur organisation, une culture qui encourage la sensibilisation au risque et la meilleure façon de communiquer les risques au sein du Ministère et du public. |
Les gestionnaires et le personnel au sein des projets et des équipes |
Chacun, dans le cadre de ses activités quotidiennes, devrait identifier, évaluer, gérer, communiquer et surveiller les risques. |
Le Comité ministériel de vérification et d’évaluation |
Le Comité se réunit régulièrement pour discuter l’état d’avancement de la mise en œuvre de la GIR, les résultats clés de l’évaluation du risque et les stratégies d’atténuation du risque en cours (plans d’action). |
Le responsable en chef du risque |
Le responsable en chef du risque agira à titre d’expert-conseil pendant la mise en œuvre de la GIR. À l’achèvement de la mise en œuvre de la GIR, le responsable en chef du risque dirigera et supervisera l’exercice annuel d’établissement du profil de risque de l’organisation, de même que les autres évaluations annuelles du risque, p. ex., dans les secteurs et les régions. De façon plus générale, le responsable en chef du risque donnera des directives au personnel du MPO sur les principes et la pratique de la gestion du risque. En appui à la gestion efficace des renseignements sur les risques, le responsable en chef du risque sera chargé de la gestion du système d’information sur les risques pour le compte du Ministère. |
L’Équipe de la gestion intégrée du risque |
L’Équipe de la GIR sera chargée de la réalisation de l’exercice de mise en œuvre de la GIR. En assumant le rôle de gestionnaire du projet de mise en œuvre de la GIR, cette équipe veillera à élaborer tous les éléments clés du régime de la GIR, y compris le plan de mise en oeuvre qui conduira à la mise en œuvre intégrale des pratiques de la GIR au sein du MPO à compter d’avril 2006. Elle préparera les rapports d’étape et les mises à jour s’il y a lieu. Elle travaillera en collaboration avec les comités régionaux et sectoriels de gestion intégrée du risque à l’intégration intersectorielle complète des approches et des résultats. Sous la direction du responsable en chef du risque et conformément au plan de mise en œuvre de la GIR, l’équipe de la GIR réalisera des analyses du risque dans des secteurs hautement prioritaires. |
Le Comité de mise en œuvre de la gestion intégrée du risque |
Ce comité consultatif assure le leadership et l’orientation à l’appui de l’exercice de mise en œuvre de la GIR. Il s’agit d’un comité de direction composé de représentants de chaque région et secteur et possédant une classification équivalente à DM-2. Afin d’appuyer la mise en oeuvre de la gestion intégrée du risque dans l’ensemble des secteurs et régions d’ici avril 2006, voici les objectifs du Comité :
|
Clientèle et partenaires |
Le MPO communiquera avec la clientèle et les partenaires concernés au sujet des initiatives clés et des changements qui les toucheront. Le cas échéant, le MPO sollicitera également des commentaires de la clientèle (notamment les Premières nations, l’industrie du transport des pêcheurs professionnels, les plaisanciers, etc.) au sujet d’analyses de GIR spécifiques. |
Parties intéressées |
Les programmes et activités du MPO sont importants pour le peuple canadien en général, de même que pour les membres d’organismes non gouvernementaux spécifiques. Le MPO communiquera au peuple canadien les initiatives majeures et les changements opérationnels. Le cas échéant, le MPO sollicitera également des commentaires du peuple canadien en général et d’ONG et d’ONGE s’il y a lieu. |
Tableau 1 Cadre de responsabilisation de la GIR
ANNEXE 1 – ÉLÉMENTS DE LA GESTION DU RISQUE
Comme nous l’avons mentionné en introduction, les présentes lignes directrices ne visent aucunement à fournir des procédures détaillées sur la gestion du risque. Elles donnent toutefois une bonne occasion d’établir une terminologie et un cadre communs dès le début de la période de mise en œuvre de la GIR. En conséquence, la présente annexe contient certains renseignements sur le processus de gestion du risque et oriente, sans prescrire, toutes les étapes clés de la gestion du risque, nommément :
- l’identification du risque;
- l’évaluation du risque;
- la réponse au risque et le traitement;
- la communication du risque et l’établissement de rapports sur les risques.
IDENTIFICATION DU RISQUE : COMPRENDRE CE QUI NE VA PAS
La première étape du processus de gestion du risque consiste à comprendre ce qui pourrait mal aller dans votre exploitation. Cela nécessite que vous compreniez pourquoi et comment vous êtes fondamentalement exposé à des risques et, par la suite, que vous identifiiez des événements spécifiques qui, s’ils se concrétisent, peuvent vous empêcher d’atteindre vos objectifs. La présente section vous donne des directives et des outils pour vous aider à identifier le risque de façon exhaustive et efficace.
[ Cliquer sur le graphique pour l'agrandir ]
Compréhension du contexte
La première étape du processus d’identification du risque consiste à comprendre et à documenter le cadre de fonctionnement dans lequel le risque est susceptible de se concrétiser. Pour ce faire, il est important d’identifier les objectifs qui sont « à risque » et les sources possibles, ou les éléments déclencheurs, du risque.
Documenter les objectifs opérationnels « à risque »
Votre cadre de fonctionnement est d’abord et avant tout défini par les objectifs que vous souhaitez atteindre. Il peut s’agir des objectifs stratégiques du Ministère, des objectifs opérationnels d’un programme ou de l’objectif d’un projet particulier. Peu importe leur type, tous les objectifs peuvent être exposés à des événements non désirés.
Comprendre les sources du risque
Toute opération ou tout projet est caractérisé en soi par une situation précise qui peut entraîner un risque. Cette situation peut être considérée une source de risques, de nature interne ou externe. Voici quelques exemples de sources de risque importantes :
| Source du risque (situation) |
Relation de cause à effet avec le risque |
|---|---|
Niveau et caractère récent du changement |
Plus les contextes internes et externes subissent des changements, plus le ministère s’expose à un risque. Cette catégorie englobe l’ampleur et le caractère récent du changement, de même que les incidences que peuvent avoir ces facteurs sur les niveaux de risque. |
Niveau de complexité |
Plus l’entreprise est complexe, plus l’exposition au risque opérationnel est élevée. Cette catégorie fait référence à la complexité des processus opérationnels et du contexte technologique et réglementaire; toutefois, il faut également tenir compte de la complexité de la régie, des dispositions prises avec les principales parties intéressées et des relations avec les parties intéressées. |
Exigences législatives et autres exigences de conformité |
Plus le niveau des exigences de conformité est élevé, plus les exigences de contrôle sont strictes. Une telle situation expose fondamentalement le ministère au risque engendré par un respect insuffisant des obligations, qu’elles soient ou non statutaires, et peut exposer le ministère à des répercussions sur sa réputation. |
Niveau des connaissances |
Plus le niveau des connaissances est élevé, au sein du Ministère et parmi les partenaires, plus l’exposition aux risques est faible. Dans la même veine, plus le niveau de connaissances exigé est élevé, plus le risque découlant d’une perte de connaissances personnelles, opérationnelles ou relationnelles clés est élevé. Cette catégorie englobe les connaissances personnelles ou ministérielles contenues dans les processus, les règles administratives et les systèmes. |
Niveau de dépendances |
Plus l’entité est dépendante des autres parties, plus l’exposition aux risques pouvant émaner d’un manque de contrôle est élevée. Par ailleurs, plus les dépendances sont importantes, plus la coordination requise est grande et, par conséquent, plus l’exposition au risque est élevée. Parmi les dépendances à prendre en compte, notons les tierces parties externes (les fournisseurs de services, les vendeurs, etc.), les parties internes et les systèmes d’information. |
Tableau 2 Sources de risque
Identification des événements à risque spécifiques
La situation de votre organisation vous exposera fondamentalement à des événements spécifiques qui, s’ils se concrétisent, peuvent vous empêcher d’atteindre vos objectifs. On peut qualifier ces événements d’« événements à risque » et les considérer plus simplement comme des « choses qui peuvent mal aller ». Le tableau suivant présente quelques exemples d’événements à risque et les classe par secteurs de risques clés.
| Secteur de risques |
Définition |
Exemples d’événements à risque |
|---|---|---|
Dangers accidentels |
Tous les types de dangers chimiques, biologiques, nucléaires ou autres, à l’exception de ceux résultant d’actes prémédités. |
|
Catastrophes naturelles |
Événement de cause naturelle, sans intervention humaine, qui n’aurait pu être évitée par diligence raisonnable ou par prévoyance. |
|
Risque lié à un employé |
Risque causé par des actions ou des inactions de membre du personnel, qu’elles soient intentionnelles ou non. Cette catégorie englobe les risques associés à un manque de capacité ou de compétences des ressources humaines. La fraude par des membres du personnel ne fait pas partie de cette catégorie, mais plutôt de la catégorie « Fraude / corruption ». |
|
Risque financier |
Risque causé par un financement insuffisant des priorités opérationnelles ou stratégiques. |
|
Fraude / corruption |
Le risque de perte ou de déprédation des biens à la suite d’une fausse déclaration sciemment faite (par un employé ou un membre du public) dans l’intention de tromper afin de tirer un profit personnel. |
|
Actes hostiles de la part d’autrui |
Actions malveillantes ou préméditées contre le ministère, y compris de la part de la clientèle. |
|
Risque juridique |
Violation des lois, des règlements et des ententes et traités internationaux et toute responsabilité légale qui pourrait en découler. |
|
Risque lié à un partenaire et à un fournisseur |
Risque que des actions (ou des inactions) des partenaires ou des fournisseurs aient des conséquences négatives sur l’atteinte des objectifs. |
|
Risque lié au processus |
Processus ou pratiques de gestion inadéquats ou avortés, incluant l’inobservation des politiques et procédures internes, mais excluant la défaillance de système. |
|
Risque lié à l’opinion publique |
Risque que l’opinion publique nuise à la capacité du Ministère d’atteindre ses objectifs. |
|
Risque lié à la technologie / à l’infrastructure |
Risque émanant d’une infrastructure de TI inadéquate, y compris la défaillance de système. |
|
Tableau 3 Risques, définitions et exemples
ÉVALUATION DU RISQUE
Après avoir identifié les risques susceptibles de nuire à votre exploitation, vous devez maintenant déterminer l’efficacité des mesures de gestion en cours et, ainsi, déterminer ce qu’il reste de risque « réel ». La présente section vous prodigue des conseils pour vous aider à répondre aux questions clés suivantes :
- Quel contrôle ai-je réellement sur le risque?
- Quelles sont les processus de gestion existants qui préviennent, détectent et corrigent le risque?
- Compte tenu de mes processus de gestion actuels, quelle est la probabilité que le risque se concrétise?
- Compte tenu de mes processus de gestion actuels, quelle incidence le risque pourrait-il avoir sur mes objectifs s’il se concrétise?
[ Cliquer sur le graphique pour l'agrandir ]
Évaluation de vos mesures de gestion du risque
L’évaluation du risque net ou résiduel requiert que vous estimiez la probabilité que chaque événement à risque se concrétise et l’incidence qu’il aura sur les objectifs énoncés. L’efficacité de vos pratiques de gestion (ou d’atténuation) du risque est l’un des principaux facteurs déterminants de la probabilité et de l’incidence. Les pratiques d’atténuation du risque regroupent les éléments du Ministère (notamment ses ressources, ses systèmes, ses processus, sa culture, sa structure et ses tâches) qui, ensemble, aident les gens à atteindre les objectifs ministériels. Ces pratiques réduisent à la fois le risque (en aidant à prévenir l’occurrence) et son incidence (en prévenant ou en limitant l’incidence ou en corrigeant l’événement à risque).
Assignation d’un niveau de risque
L’évaluation du risque s’effectue normalement au moyen de simples cartes du risque intuitives, telles celle illustrée ci-dessous. Ces cartes peuvent servir à analyser, pour chacun des risques, la probabilité d’occurrence et l’incidence possible sur les objectifs opérationnels. Le tracé de chaque risque en fonction de ces deux attributs donne à la gestion un système d’évaluation du risque (rouge, jaune, vert). Le positionnement du risque dans l’une ou l’autre de ces zones prescrira ou orientera les plans d’action du personnel de gestion. Par exemple, tout risque qui tombe dans la zone rouge est généralement (mais non obligatoirement) jugé inacceptable. Les différentes « zones de risque » devraient correspondre aux niveaux de tolérance au risque du personnel de gestion; par conséquent, vous devriez personnaliser la carte en fonction des circonstances propres au MPO.
La Politique de gestion intégrée du risque du MPO mentionne que le processus d’établissement de rapports sur les risques de l’entreprise s’effectuera normalement au moyen d’une matrice à trois niveaux de probabilité et à trois niveaux d’incidence. Pour obtenir niveau de détail plus élevé, afin de mieux comprendre les risques et identifier ceux qui doivent être atténués en priorité, vous pouvez utiliser une matrice qui compte cinq niveaux d’incidence et cinq niveaux de probabilité. Ce niveau de détail additionnel séparera plus distinctement les zones à risque extrême des situations où le risque est pratiquement sûr.
[ Cliquer sur le graphique pour l'agrandir ]
Incidence
Description |
Échelle | Définition |
Indicateurs |
Une évaluation sur l'incidence du risque sur les activités à l'étude. Il s'agit de la conséquence de la non-atteinte d'un ou des objectifs |
1. Négligeable | Un événement dont les conséquences peuvent être amorties dans le cadre d’une activité normale. |
|
| 2. Faible | Un événement dont les conséquences peuvent être amorties, mais la contribution du personnel de gestion est requise pour minimiser l’incidence. Les conséquences pourraient nuire à l’efficience et à l’efficacité de certains aspects de l’exploitation, mais seraient traitées à l’interne. |
|
|
| 3. Moyenne | Événement important qui peut être géré par le ministère dans des conditions normales. Les conséquences pourraient signifier que l’activité pourrait être soumise à un examen fondamental ou à des changements de fonctionnement. |
|
|
| 4. Très élevée | Événement critique qui, avec l’aide de gestionnaires compétents, peut être toléré par le Ministère. |
|
|
| 5. Extrême | Un désastre susceptible de nuire de façon permanente ou à long terme à la capacité du Ministère d’atteindre ses objectifs. Les conséquences pourraient menacer la survie non seulement de l’activité, mais également du Ministère, ce qui pourrait causer des problèmes majeurs à la clientèle et au public. |
|
Tableau 4 Critères d’attribut - Incidence
Probabilité
Description |
Échelle | Définition |
Une estimation de la probabilité d'occurence d'une ménace |
1. Rare | Cet événement peut survenir uniquement dans des circonstances exceptionnelles. Il se produira moins de 5 % du temps. |
| 2. Peu probable | Cet événement pourrait survenir à quelques occasions. Il se produira entre 5 % et 20 % du temps. |
|
| 3. Raisonnable | Cet événement devrait survenir à quelques occasions. Il se produira entre 21 % et 59 % du temps. |
|
| 4. Probable | Cet événement se produira probablement dans la plupart des cas. Il se produira entre 60 % et 94 % du temps. |
|
| 5. Presque certaine | On s’attend que cet événement se produira dans la plupart des cas. Il se produira 95 % du temps. |
Tableau 5 Critères d’attribut – Probabilité
Risque résiduel
Description |
Échelle |
Définition |
| Évaluation subjective du risque résiduel courant en fonction d'une menace ou d'un risque spécifique, après l'évaluation de la mesure d'atténuation en cours. | Vert |
Faible risque : aucune mesure requise |
| Jaune | Risque moyen : surveillance étroite | |
| Rouge |
Risque élevé : mesure requise |
Tableau 6 Critères d’attribut – Risque résiduel
RÉPONSE AU RISQUE ET TRAITEMENT
À cette étape-ci du cycle de gestion du risque, vous devriez avoir une bonne idée de votre profil de risque résiduel. Vous devez maintenant déterminer ce qui suit :
- Les risques sont-ils dans les limites tolérables?
- Dans la négative, pouvez-vous faire quelque chose pour mieux gérer les risques?
- Si les risques sont sous le contrôle du décideur, quel niveau d’atténuation additionnel est requis? Quels sont les coûts correspondants et à qui devraient-ils être imputés?
- Si les risques ne relèvent pas de la sphère de contrôle immédiate, faut-il en renvoyer la responsabilité à un autre niveau ou simplement les accepter?
- Peut-on profiter d’occasions en prenant des risques calculés?
- Quels sont les coûts découlant de l’ajout de mesures de gestion?
- Pouvez-vous partager des renseignements de façon hâtive puis régulière pour favoriser l’atténuation des risques perçus par les parties intéressées ou le public?
[ Cliquer sur le graphique pour l'agrandir ]
Voici une liste de vérification qui peut vous aider à élaborer une évaluation du risque plus appropriée et à mettre au point des plans d’action réalistes et efficaces.
Enjeux devant être pris en compte au moment de la réponse au risque et de son traitement |
|
|---|---|
Compte tenu de l’exposition au risque, de l’échéancier, du niveau de tolérance au risque du personnel de gestion et d’autres facteurs, que faudrait-il faire au sujet de ce risque? Éviter : Le propriétaire du risque n’entreprendra pas l’activité puisque le risque connexe est inacceptable. Atténuer : Le propriétaire du risque fera le nécessaire avant que le risque ne se concrétise soit pour réduire la probabilité qu’il se produise soit pour atténuer l’incidence en cas de concrétisation, ou les deux. Maîtriser : Le propriétaire du risque ne fera rien avant que le risque ne se concrétise afin de réduire sa probabilité d’occurrence ou l’incidence connexe, mais il élaborera un plan d’urgence pour gérer l’incidence advenant la concrétisation du risque. Cette stratégie est souvent privilégiée lorsqu’il existe une approche alternative en cas de concrétisation du risque. En général, la réponse de maîtrise fait appel à un nombre minimal de ressources avant la concrétisation du risque, mais reconnaît que des ressources peuvent être requises si le plan d’urgence doit être mis en œuvre. Accepter : Le propriétaire du risque accepte le risque et n’entend pas faire quoi que ce soit pour empêcher son occurrence ou atténuer son incidence. Transférer / Renvoyer à un autre niveau : Le propriétaire du risque ne peut traiter ce risque parce qu’il n’exerce aucun contrôle et qu’il doit en transférer la gestion à une autre partie qui prendra des mesures d’atténuation. À cette étape, le choix d’un transfert ne tient pas compte de la volonté de l’autre partie d’accepter la responsabilité du risque. |
|
Qui devrait assumer la responsabilité de l’élaboration et de la mise en œuvre du plan d’action? |
|
Privilégie-t-on des stratégies particulières pour l’atténuation du risque? Points à considérer :
|
|
Quand faut-il mettre en œuvre un plan d’action? |
|
Transfert du risque : Advenant que les ressources et les connaissances au sujet du risque ne relèvent pas du projet et que l’évaluateur du risque a le pouvoir de transférer ou de renvoyer le risque (ou qu’il existe une entente à ce sujet), à qui devrait-il transférer la responsabilité du risque ou la renvoyer? |
|
Surveillance du risque : Quels sont les indicateurs qui pourraient signaler que le risque commence à se concrétiser? |
|
Quelles données devrait-on localiser et surveiller? |
|
À quelle fréquence devrait-on communiquer des renseignements sur le risque? |
|
Avec qui devrait-on partager ces renseignements? |
|
Tableau 7 Liste de vérification du traitement du risque
COMMUNICATION DU RISQUE ET ÉTABLISSEMENT DE RAPPORTS SUR LES RISQUES
La communication du risque et l’établissement de rapports sur les risques font partie intégrante de l’intégration de la gestion du risque au sein du Ministère. Il est également essentiel de tirer pleinement profit de l’outil de prise de décision qu’est la GIR. Un régime de GIR efficace et valable permet à ceux qui en ont besoin d’obtenir aisément des renseignements sur le risque et de les utiliser. Il permet en outre de communiquer plus efficacement à la clientèle et aux parties intéressées des renseignements importants sur les risques.
Pour veiller à ce que les renseignements sur les risques soient partagés et traités de façon intégrée, certains préalables sont requis :
- Pour faciliter la comparabilité des renseignements sur les risques, le ministère devrait avoir une approche normalisée à l’égard du risque, y compris une terminologie commune et des données normalisées. Ces outils permettront également de s’assurer que les risques qui touchent les objectifs horizontaux sont facilement identifiables et traitables.
- La gestion des renseignements sur les risques est une exigence fondamentale qui contribue à la communication utile des enjeux à risque. Le MPO peut envisager la création d’un dépôt central pour ces renseignements.
- Pour réaliser l’intégration totale de la gestion du risque, il est important que le MPO adopte une routine de communication des risques entre les régions; les secteurs; les programmes; les secteurs de programme, les régions et la région de la capitale nationale. La prise en compte des renseignements sur les risques dans le cadre du processus de planification assure une façon idéale, valable et pratique d’y parvenir. Le processus de planification doit, par conséquent, favoriser un dialogue fructueux sur les enjeux à risque.
- Les renseignements sur les risques ne doivent être communiqués qu’aux parties qui en ont besoin. Il est nécessaire d’établir un processus de remontée des paliers hiérarchiques à l’appui d’un mécanisme de partage de renseignements efficace, pour faciliter le regroupement des renseignements sur les risques recueillis dans les niveaux inférieurs du Ministère et les partager avec des cadres supérieurs, s’il y a lieu.
- La communication externe des décisions clés, en particulier celles dont les principaux risques sont importants pour le peuple canadien, sera un élément clé de la stratégie de gestion intégrée du risque du MPO.
