Bibliothèque et Archives Canada
Symbole du gouvernement du Canada

Liens de la barre de menu commune

Liens institutionnels

ARCHIVÉE - À notre sujet

Contenu archivé

Cette page Web archivée demeure en ligne à des fins de consultation, de recherche ou de tenue de documents. Elle ne sera pas modifiée ni mise à jour. Les pages Web qui sont archivées sur Internet ne sont pas assujetties aux normes applicables au Web du gouvernement du Canada. Conformément à la Politique de communication du gouvernement du Canada, vous pouvez demander de recevoir cette page sous d'autres formats à la page Contactez-nous.

Gestion du risque

Rapport de vérification
novembre 2009

Évaluations et vérifications

Constatations

2.1 Mécanismes de conception et de gouvernance

Critères :
  • Gouvernance et orientation stratégique
  • Valeurs du secteur public
  • Politiques et programmes
  • Résultats et rendement

 

Bibliothèque et Archives Canada est devenu une organisation « consciente des risques ». À ce niveau de maturité, on établit des pratiques de gestion du risque formelles dans les principaux secteurs opérationnels, on intègre l'analyse du risque à la planification annuelle et stratégique et on effectue des investissements pour renforcer les capacités au moyen de séances de formation et de documents d'orientation. Cependant, BAC ne dispose pas d'un ensemble adéquat de mécanismes de conception et de gouvernance, dont une vision, un cadre et une stratégie de mise en œuvre précisant le rythme, la priorité et la gouvernance des investissements à venir pour faire progresser la maturité de la gestion du risque. BAC ne sera vraisemblablement pas en mesure de profiter d'autres avantages concrets liés à la gestion du risque particulièrement pertinents pour les organisations devant équilibrer et rééquilibrer efficacement les attentes et les besoins croissants en matière de prestation en tenant compte de la réduction continue des ressources.


Notre examen a permis d'établir qu'en ce qui concerne la maturité de sa gestion du risque, BAC a maintenant pleinement atteint le niveau « conscient des risques ». Comme le montre la figure 1 ci-dessous, ce niveau de maturité est caractérisé par l'émergence de méthodes formelles pour gérer des risques plus importants, lesquelles complètent l'utilisation efficace des méthodes informelles de gestion des risques quotidiens faibles ou moyens. Parmi les exemples distincts de processus formels élaborés pour les secteurs fortement exposés, notons l'Approche axée sur les risques pour la disposition du patrimoine documentaire non géré et le cadre révisé de gestion du risque pour les politiques et procédures de BAC en matière de prêts et d'expositions. On vient tout juste de terminer l'élaboration de tels processus formels clés, qui ne sont pas encore entrés en vigueur. Le fait de reconnaître la nécessité et les avantages des processus formels montre toutefois clairement la sensibilisation aux risques.

Les efforts pour intégrer l'analyse des risques aux activités annuelles de planification opérationnelle démontrent également que BAC a atteint le niveau de maturité « conscient des risques » (voir la figure 1). Comme ce processus ne fait que commencer, l'efficacité de l'information qu'ont fournie les directions opérationnelles était inégale (et de qualité modérée dans l'ensemble). Cependant, les planificateurs chargés de l'initiative examinent avec chacune des directions les détails fournis afin de les aider à acquérir des compétences sur le plan de l'analyse des risques et de fournir une information qui soit, dans l'ensemble, d'une plus grande qualité et uniformité.

Figure 1 : Modèle de maturité de la gestion du risque

Graphique montrant la progression à partir du niveau de gestion intuitive des risques jusqu'à une gestion mature des risques ainsi que les caractéristiques propres à chaque niveau.

[D]

BAC a atteint le niveau « conscient des risques » lorsqu'il a alloué des ressources organisationnelles pour permettre à un employé à temps partiel (l'équivalent de 0,5 ETP) de travailler, depuis 2004, à l'élaboration d'un profil initial du risque de l'organisation. Le profil définit les principaux risques au niveau stratégique et indique comment ils sont gérés. L'employé a également consacré du temps à l'élaboration d'un guide de gestion du risque. En outre, on a investi des fonds pour le renforcement des capacités au moyen de séances de formation sur la gestion du risque, données en 2005 et en 2008 à certains gestionnaires et employés. Toutes ces initiatives témoignent d'une conscience à l'égard du risque, mais il est évident qu'il faut continuer de renforcer les capacités pour améliorer le profil initial du risque de l'organisation, ainsi que pour finaliser et diffuser le guide de gestion du risque.

L'échelle de maturité à l'égard du risque illustrée à la figure 1 offre à BAC une voie à suivre claire pour faire progresser sa pratique de gestion du risque. Elle permet de comprendre les prochains niveaux - « attentif aux risques » et « mature à l'égard des risques ». Les organisations qui ont atteint le niveau « attentif aux risques » peuvent être plus attentives aux risques parce qu'elles ont établi un univers de risque indiquant les secteurs de l'organisation où d'importants risques sont gérés, mais où les méthodes employées pour les gérer n'assurent pas un bon équilibre entre l'utilisation des approches formelles et informelles - en général, la confiance à l'égard des méthodes traditionnelles informelles est trop grande, ce qui a pour effet d'exposer l'organisation à un risque imprudemment élevé. L'établissement de l'univers de risque permet d'élaborer des plans et d'investir dans le renforcement des pratiques de gestion du risque dans les secteurs prioritaires déterminés. Le niveau « attentif aux risques » est également caractérisé par une capacité générale plus élevée de gestion du risque (par le biais de formation et d'exercices), de sorte que les gestionnaires et le personnel peuvent, de manière plus réfléchie, prendre des risques calculés pour saisir des occasions ou mettre fin à des activités à faible risque, dans la mesure où ils sont à l'aise avec l'information obtenue dans le cadre d'analyses de risque et sont clairement autorisés à le faire par la direction.

Le niveau de maturité le plus élevé peut être simplement appelé « mature à l'égard des risques ». À ce niveau, le personnel, les gestionnaires et les cadres supérieurs peuvent être encore plus proactifs dans la gestion du risque, car les indicateurs de risque fournissent de l'information prédictive à l'égard des risques. De plus, à ce niveau, il est manifeste que tous les gestionnaires et les employés comprennent bien la notion de tolérance à l'égard du risque. En général, l'organisation dispose de multiples modèles de tolérance reflétant la présence de secteurs où la tolérance à l'égard du risque doit être très faible, et d'autres où elle peut être plus grande.

Notre examen a révélé que BAC aurait de la difficulté à dépasser le niveau « conscient des risques », parce qu'il ne dispose pas d'un ensemble moderne de mécanismes pour investir davantage dans la gestion du risque. Un énoncé de vision, comme celui figurant dans l'encadré ci-bas, devrait servir de mécanisme à BAC pour énoncer où il aimerait en être éventuellement — cela permettrait d'élaborer des stratégies, des priorités et des plans pour réaliser la vision.

Exemple d'un énoncé de vision pour la gestion du risque

Établir un équilibre entre les pratiques de gestion du risque formelles et informelles, conformément à une exposition au risque en évolution constante, à tous les niveaux de l'organisation au cours des cinq (5) prochaines années, et améliorer concrètement la planification stratégique, l'intendance des biens, la prestation des services, la prise de décisions, les résultats et la responsabilisation

Dans ses mécanismes de gestion du risque, BAC ne dispose pas non plus d'un « cadre » global et d'une « stratégie de mise en œuvre ». Dans le cadre de cette vérification, on a préparé un tableau des 21 composantes du cadre sous la forme d'un ensemble détaillé de stratégies pour atteindre le niveau « mature à l'égard des risques ». La figure 2 ci-dessous (reproduite à l'annexe B) illustre un cadre de gestion du risque dans le style du Cadre de responsabilisation de gestion (CRG). Ce style est pertinent aujourd'hui parce que les gestionnaires et les cadres supérieurs de l'ensemble des ministères et des organismes comprennent bien les dix (10) éléments clés de gestion du CRG. Si BAC peut mener à bien les 21 composantes du cadre au cours des cinq prochaines années, il aura atteint le niveau « mature à l'égard des risques ».

Figure 2 : Cadre de gestion du risque fondé sur le CRG

Image du Cadre de gestion du risque fondé sur le CRG. Les détails sont disponibles en ouvrant le texte alternatif de l'annexe B.

[D]

La stratégie qui consiste à établir une politique de gestion du risque définissant les principes, les rôles, les responsabilités, les processus et les modalités est un élément déterminant des mécanismes de gestion du risque ministériels, et probablement l'élément le plus important du Cadre de gestion du risque fondé sur le CRG. La politique de gestion du risque fait état du ferme engagement de la haute direction à l'égard des mécanismes de gestion du risque, incluant le rôle clé des cadres supérieurs dans la surveillance au niveau de la haute direction des éléments suivants : la gestion du risque à tous les niveaux, l'efficacité des mécanismes de gestion du risque et le respect de la politique de gestion du risque.

En 2008, l'Organisation internationale de normalisation (ISO) a publié la norme ISO 31000 intitulée Risk Management - Principles and Guidelines on Implementation (Management du risque - principes et lignes directrices de mise en application). Sa publication officielle est prévue en 2009. Cette étude a reçu un vaste appui international, y compris de la part du Secrétariat du Conseil du Trésor (SCT), lequel a clairement exprimé son intention d'harmoniser son Cadre de gestion intégrée du risque de 2001 avec la norme ISO 31000.

Le cadre de gestion du risque de la norme ISO 31000 est assez simple, et il s'harmonise facilement avec l'approche axée sur le CRG, comme le montre le tableau de concordance à la figure 3.

Figure 3 : Tableau de concordance ISO/CRG

Éléments du cadre de gestion du risque
ISO 31000 CRG
Mandat et engagement
  • Gouvernance et orientation stratégique
  • Valeurs de la fonction publique
Conception
  • Politique et programmes
  • Services axés sur les citoyens
  • Responsabilisation
Mise en œuvre
  • Gestion du risque
  • Personnes
  • Gérance
Surveillance et examen
  • Résultats et rendement
Amélioration continue
  • Apprentissage, innovation et gestion du changement

Parmi les points cruciaux dans la norme ISO 31000 et le cadre fondé sur le CRG, mentionnons la nécessité de mettre en place la surveillance au niveau de la haute direction et une politique de gestion du risque, ainsi que d'investir des ressources dans les personnes et les systèmes d'information.

La surveillance au niveau de la haute direction est considérée comme cruciale dans les deux cadres parce qu'en général, pour qu'il y ait croissance sur le plan de la maturité dans le contexte de toute nouvelle pratique de gestion, il doit y avoir un changement de culture, à tous les niveaux de l'organisation. La surveillance au niveau de la haute direction permet aux cadres supérieurs de mieux connaître les plans et les stratégies visant à faire progresser la gestion du risque, et de mesurer les résultats. Parfois, il sera nécessaire d'établir un équilibre (ou de rétablir l'équilibre) entre la gestion du risque et d'autres priorités. La haute direction est en position idéale pour diriger le développement de la gestion du risque, puisqu'elle connaît les progrès réalisés grâce à la surveillance périodique.

Le fait de savoir qu'il y aura une surveillance au niveau de la haute direction permet de s'assurer que tous les membres de l'organisation comprennent l'importance de la gestion du risque. Il est important de comprendre que la gestion efficace et cohérente du risque est une valeur clé de la fonction publique. Lors des entrevues, la majorité des employés croyaient BAC peu enclin à prendre des risques, tandis que d'autres ont donné des exemples montrant que BAC est prêt à tolérer un niveau de risque plus élevé, comme dans l'établissement d'ententes de partenariat et la délégation de responsabilités en matière d'approvisionnement. L'une des principales recommandations du rapport du Comité consultatif sur la fonction publique nommé par le premier ministre, en février 2009, est la nécessité de prendre des risques en connaissance de cause.

Comité consultatif sur la fonction publique nommé par le Premier ministre (février 2009)
« Les cadres supérieurs et les représentants élus doivent être prêts à prendre des risques éclairés pour accélérer la prise de décisions et de mesures sur les priorités établies, afin de donner aux Canadiens les résultats escomptés »

Fournir une orientation stratégique visant l'adoption d'une position culturelle plus uniforme à l'égard du risque est complexe et exige du leadership. Actuellement, BAC ne dispose pas d'une politique de gestion du risque, laquelle constituerait un excellent véhicule pour exprimer de façon explicite l'engagement envers une bonne gestion du risque, y compris la prise de risque réfléchie (fondée sur les renseignements), comme valeur clé de la fonction publique à BAC.

Chaque membre de l'organisation doit aussi comprendre ses propres rôles et responsabilités dans la gestion du risque, en plus des rôles et des responsabilités de ceux et celles qui fournissent un soutien et une surveillance. Une politique de gestion du risque est une façon très efficace de préciser la vision de l'organisation à l'égard de la gestion du risque, ainsi que les rôles et les responsabilités connexes.

En réponse au problème de ressources, on a fait appel au cours des dernières années à un employé à temps partiel (l'équivalent de 0,5 ETP) pour appuyer le groupe de planification. Ce niveau de ressource a permis d'aider BAC à élaborer son profil initial du risque (2007), d'appuyer certains groupes opérationnels en vue de l'adoption de pratiques de gestion du risque plus formelles, et d'élaborer une version préliminaire d'un guide de gestion du risque. Bien que ce niveau d'investissement ait permis à BAC d'atteindre le niveau « conscient des risques », il est peu probable qu'il suffise à faire progresser l'organisation davantage. Pour réaliser d'autres progrès significatifs, il faudra des ressources supplémentaires.

Des ressources supplémentaires pour appuyer l'organisme dans le cadre de ses mécanismes globaux de gestion du risque ne représentent pas les seuls principaux investissements à envisager. Les progrès de BAC à l'égard de la gestion du risque ont été limités par le manque de leadership dans l'établissement de mécanismes de gestion du risque. Par conséquent, BAC devrait envisager d'investir dans un poste d'agent ministériel de gestion du risque (AMGR), ce qui ne nécessiterait qu'un faible investissement en ressources pour BAC. Le titulaire de ce poste agirait comme agent stratégique pour renforcer les mécanismes de gestion du risque et appuyer les besoins d'information de l'organisme de gestion assumant des responsabilités de surveillance au niveau de la haute direction. Des ministères importants comme l'Agence du revenu du Canada (ARC) ont recours à l'AMGR en tant que principale stratégie de mise en œuvre pour faire progresser la maturité à l'égard de la gestion du risque. La grande taille de ces ministères ne justifie qu'en partie leur appui à la stratégie de l'AMGR. Il s'agit également de relever un défi propre aux organismes de toutes tailles : l'élaboration d'une vision commune à toutes les directions générales et à tous les niveaux de l'organisation. De plus petites organisations comme Passeport Canada ont investi dans une telle stratégie, car ils reconnaissent la complexité du défi visant à instaurer une vision commune et la nécessité d'assurer un leadership.

Conclusion

Grâce à des efforts conscients, BAC est devenu un organisme « conscient des risques », comme le démontre l'officialisation de ses pratiques de gestion du risque dans des secteurs opérationnels clés, son intégration des risques à la planification et son investissement dans le renforcement des capacités au moyen de formation et de documents d'orientation. Cependant, il sera probablement difficile pour BAC d'accroître sa maturité sur le plan de la gestion du risque, car il ne dispose pas encore d'un ensemble adéquat de mécanismes de conception et de gouvernance de gestion du risque, dont une vision, un cadre et une stratégie de mise en œuvre pour orienter l'investissement en vue d'augmenter le niveau de maturité de gestion du risque. Parmi les éléments essentiels manquants pour accroître sa maturité, mentionnons l'attribution d'un rôle de chef de file, un mécanisme de surveillance, des ressources de soutien adéquates et une politique établissant clairement l'engagement du ministère envers la gestion du risque (en tant que valeur clé de la fonction publique) et définissant les principes fondamentaux, les rôles, les responsabilités et les processus, ainsi qu'une terminologie commune.

Sans le renforcement de ses mécanismes de conception et de gouvernance relatifs à la gestion du risque, BAC ne sera vraisemblablement pas à même de profiter des principaux avantages concrets sur le plan de la gestion du risque, tels que l'assurance que l'affectation des ressources est proportionnelle au niveau de risque et que les perceptions, réelles ou fausses, des intervenants à l'égard des risques sont bien comprises. Ces types d'avantages sont particulièrement pertinents pour les organisations qui doivent équilibrer et rééquilibrer efficacement les attentes et les besoins croissants en matière de prestation en tenant compte de la réduction continue des ressources.

Recommandations

  1. Que BAC élabore et mette en œuvre une stratégie globale pour renforcer la gestion du risque, axée particulièrement sur les mécanismes de conception et de gouvernance en :
    1. créant un organisme de gouvernance pour surveiller le renforcement de la maturité de la gestion du risque en fonction d'une vision de la gestion du risque et d'un cadre fondé sur le CRG;
    2. créant le poste d'agent principal de gestion du risque (APGR) pour diriger et coordonner la gestion du risque;
    3. allouant des ressources humaines supplémentaires pour appuyer l'APGR et la stratégie globale en vue de renforcer la gestion du risque;
    4. organisant de la formation à l'intention de la haute direction pour assurer une compréhension commune des concepts de la gestion du risque, en commençant par le haut;
    5. élaborant une politique de gestion du risque qui codifie l'engagement du ministère à l'égard de la gestion du risque (comme l'une des valeurs clés de la fonction publique) et établisse les principes fondamentaux, les rôles, les responsabilités et les processus, ainsi qu'une terminologie commune.

Précédent | Table des matières | Suivant