Une gestion du risque mûre Outil d analyse de Développement des ressources humaines Canada pour faciliter l évaluation des pratiques de gestion du risque dans l organisation Par Basil Orsini Les vérificateurs internes utilisent de plus en plus les évaluations du risque pour planifier les projets de vérification. En même temps, sachant que cette transition exige des changements dans les attitudes et les attentes liées à la gestion du risque, les cadres supérieurs s efforcent de transformer leurs organisations en des organisations hautement performantes. Ce changement donne aux vérificateurs l occasion d améliorer leur valeur en élaborant des méthodes pour mieux adapter leur travail aux principaux risques d affaire de l organisation. Le présent article introduit un outil de diagnostic qui peut aider les gestionnaires à évaluer le niveau de maturité en gestion du risque dans leurs secteurs respectifs, donner aux vérificateurs une meilleure appréciation des transitions organisationnelles requises pour la gestion intégrée des risques d affaires et favoriser une compréhension des exigences de la gestion du risque dans l ensemble de l organisation. Élaboré par Développement des ressources humaines Canada (DRHC), le plus grand ministère du gouvernement fédéral, l outil d analyse donne le profil de nombreuses pratiques désirables et non désirables - dans la gestion du risque. Les gestionnaires et les vérificateurs s en serviront pour évaluer les forces et les faiblesses des pratiques de gestion du risque et préparer des plans d amélioration. DRHC a mis au point cet outil de concert avec des agents des bureaux nationaux et locaux. Sous le leadership du groupe de la vérification interne, ces agents ont adapté les résultats de recherches internationales consolidées par KPMG Canada sur les pratiques exemplaires dans la gestion du risque dans les organisations du secteur privé et du secteur public. L outil de diagnostic met en jeu 20 indicateurs de rendement dans un cadre de travail holistique de cinq éléments de gestion. Placer les employés dans ce cadre de travail holistique qui identifie les forces et les faiblesses améliore l apprentissage et le dialogue sur le plan individuel et collectif. Cela favorise aussi le développement d un même langage et d une même compréhension, ce qui est essentiel au passage à une approche intégrée. Les gestionnaires peuvent utiliser l outil de diagnostic pour évaluer le niveau de maturité de leur secteur, avec ou sans une intervention active de la vérification interne. L outil de diagnostic complet contient cinq niveaux de comportement organisationnel à maturité progressive pour décrire chaque indicateur. L outil est applicable à une 1
variété de risques opérationnels y compris les programmes, les opérations et les projets. Cette présentation est partielle, mais l outil au complet peut être vu au site Web de l IVI www.theiia.org., sous publications, en anglais et en français. Les indicateurs de rendement d une gestion de risque mûre sont résumés ci-dessous : Pour illustrer le fonctionnement de l outil, les cinq niveaux de maturité progressive du premier indicateur -: Valoriser la contribution des employés à la gestion du risque sont décrits. Les vérificateurs et les gestionnaires peuvent adapter les principes de ce cadre de diagnostic au besoin de leur propre organisation. L outil de diagnostic permet aux vérificateurs internes d engager les gestionnaires et les employés de différents secteurs d activités à élaborer une compréhension commune de la manière d intégrer la gestion du risque. Les processus de gestion du risque fournissent une occasion aux vérificateurs et à leurs clients de travailler ensemble pour prévoir et définir l avenir avec peu de surprise. Basil Orsini, CIA, CCSA, CGSA, CFE est directeur de vérification interne, Risques ministériels, DRHC, Gatineau (Québec). Outil de diagnostic de risque de gestion 1. Culture organisationnelle VALORISER LA CONTRIBUTION DES EMPLOYÉS À LA GESTION DU RISQUE On encourage les employés à identifier les risques et les opportunités, on reconnaît leur détermination à relever les risques qui ne sont pas gérés présentement. Niveau 1: Beaucoup de scepticisme dans l organisation. Les employés reçoivent des messages contradictoires sur la tolérance face au risque. La direction ne valorise pas la contribution des employés à la gestion du risque. Niveau 2 : La direction consulte les employés et leur permet de participer aux initiatives de gestion du risque. La contribution des employés à la gestion du risque est reconnue ad hoc. La gestion du risque est considérée dans l attribution des primes et l imposition de sanctions. Niveau 3: Le milieu de travail favorise une approche proactive à la gestion de risque. L information sur le risque est partagée. Un esprit d équipe solide existe dans toute l organisation. Niveau 4: Les systèmes de reconnaissance et de primes incitent les employés à gérer les risques et à profiter des occasions. La direction s engage à tirer des leçons des résultats positifs et négatifs. Niveau 5: La direction encourage les employés à identifier les nouveaux défis et 2
à saisir les opportunités, aussi bien que les risques qui ne sont pas bien gérés. CULTURE DE GESTION DU RISQUE La gestion de risque est pratiquée à tous les niveaux et est intégrée aux pratiques de gestion de l organisation. Il y a cohérence entre les attentes individuelles et organisationnelles pour la gestion du risque. RÔLES ET RESPONSABILITÉ DANS LA GESTION DU RISQUE Les rôles et les responsabilités sont compris et la gestion du risque est intégrée au comportement du personnel. LIENS AVEC L ÉTHIQUE ET LES VALEURS L approche organisationnelle de la gestion du risque reflète l éthique et les valeurs ainsi que la sensibilisation aux considérations légales et politiques. 2. Leadership et engagement LA HAUTE DIRECTION FAIT PREUVE DE LEADERSHIP La haute direction s engage à établir la gestion du risque dans tous les niveaux de l organisation. POLITIQUE DU RISQUE ET CADRE DE GESTION L organisation fournit une perpective multidisciplinaire pour évaluer les risques opérationnels et stratégiques.et prendre les mesures qui s imposent. RÔLES ET RESPONSABILITÉS DE LA HAUTE DIRECTION La direction a assumé un rôle de leadership dans la mise en œuvre de concepts de gestion du risque de pointe. 3. Intégration aux pratiques et aux systèmes de gestion ministériels. LIEN AVEC LA PLANIFICATION OPÉRATIONNELLE La gestion du risque est intégrée à la planification opérationnelle et à la prise de décision aux niveaux des affaires générales et des opérations. LIEN AVEC LES MESURES DU RENDEMENT L organisation surveille es résultats des mesures du risque au fil des années. Les mesures stratégiques et opérationnelles sont liées. LIEN AVEC LES SERVICES DE QUALITÉ - La gestion du risque est intégrée aux initiatives des services de qualité. La majeure partie de l organisation a officiellement adopté des mesures de qualité. LIEN AVEC L INFORMATION DE GESTION MINISTÉRIELLE L accès en direct à l information de gestion par des outils et modèles sophistiqués d aide à la décision 3
est disponible pour appuyer l évaluation et le contrôle du risque LIENS AVEC LES COMMUNICATIONS INTERNES ET RÉTROACTION SUR LES RISQUES - Les pratiques exemplaires sont partagées entre les unités organisationnelles de manière structurée. L organisation utilise divers médias, y compris Internet, pour communiquer les questions liées aux risques à l échelle de l organisation, et incitent tous les employés à participer à la gestion du risque. LIEN AVEC LES COMMUNICATIONS AVEC LES PARTENAIRES L organisation et ses partenaires reconnaissent et acceptent que certains résultats négatifs soient inévitables et sont, cependant, communiqués 4. Capacités en gestion du risque COMPÉTENCES EN GESTION DU RISQUE - L organisation renouvelle continuellement ses compétences en gestion du risque et est connue à l extérieur pour sa formation en gestion du risque. TECHNIQUES DE GESTION DU RISQUE Les outils et les techniques de gestion du Ministère sont intégrés aux techniques de gestion du risque. SOUTIEN SPÉCIALISÉ Il existe des centres d excellence pour la gestion du risque ayant la capacité de donner des conseils sur les questions de gestion du risque sur une base intégrée par l intermédiaire d équipes multidisciplinaires. 5. Rapport et contrôle BALAYAGE D OPPORTUNITÉS ET DE MENACES EXTERNES L organisation utilise des méthodes de pointe pour le balayage environnemental et partage les résultats avec les principaux intervenants. CONTRÔLES L environnement de contrôle est lié aux objectifs du Ministère ainsi qu à son ouverture et à son seuil de tolérance par rapport au risque. La gestion du risque est mise en œuvre en tenant compte de l importance du risque, les coûts/bénéfices des contrôles et la combinaison des types de contrôle. CORROBORATION Diligence raisonnable dans la prise de décision est évidente par le constat d un niveau accepté de documentation. Les processus organisationnels pour la gestion du risque sont conformes aux critères établis par une organisation reconnue. MESURE ET CONTRÔLE - La gestion mesure le rendement par rapport aux indicateurs, et les résultats sont l objet de surveillance au fil des années. La gestion élabore des plans pour améliorer le rendement, et les mesures sont prises 4
selon les besoins. 5