Gérer le risque globalement

Par Jonathan D. Andrews et Edward Robertson
Illustration : John Sapsford

Des outils technologiques fondés sur le Web peuvent grandement
aider à appliquer la méthode de la gestion globale du risque

En 2001, la section gestion des risques du gouvernement de la Colombie-Britannique (RMB) a constaté que le besoin d'une méthode de gestion globale du risque (GGR) se faisait de plus en plus sentir. La RMB a donc adopté une norme de gestion des risques admise internationalement et lancé plusieurs initiatives visant à faire de la GGR un cadre de référence décisionnnel pour le gouvernement.

À la suite de crises comme celle du 11 septembre, la gouvernance et la reddition de comptes dans le secteur privé ont suscité de vives inquiétudes. Or, dans sa forme la plus avancée, la pratique de la gestion du risque était déjà passée des évaluations classiques fondées sur les risques à une approche globale, où tous les aspects de l'organisation sont scrutés lors de l'analyse des risques. Cette approche a été mise de l'avant par Phil Grewar, directeur de la RMB, qui explique : «Les hauts fonctionnaires des ministères ont aimé notre façon d'aborder la gestion des risques en partant d'une analyse des risques». En outre, le fait que les contrôles financiers fondés sur les risques sont un élément important des pratiques en matière de contrôle a été déterminant pour obtenir l'appui du contrôleur Arn Van Iersel. «Nous savions qu'il existait un besoin du point de vue du contrôle financier», indique Phil Grewar.

Un délai d'un an avait été prévu pour vendre le concept au reste des hauts fonctionnaires, mais un mois a suffi, parce que la GGR a été présentée comme une méthode visant à rendre plus rigoureux les processus de planification déjà en place et non comme une tracasserie administrative de plus. En fait, les risques sont identifiés de façon exhaustive, analysés sous l'angle de la probabilité et de l'importance des conséquences, puis hiérarchisés. La valeur des stratégies d'atténuation en vigueur, ou le besoin d'en élaborer de nouvelles, est ensuite établie de façon rationnelle. Les décideurs obtiennent ainsi un état des risques les plus urgents sur lequel ils peuvent s'appuyer pour affecter les ressources. Pour Phil Grewar et son équipe, c'était là l'argument massue.

Selon Graham Fisher, gestionnaire de projet de la GGR, les décideurs chargés de la gestion des risques organisationnels doivent adopter un cadre de référence. Il faut donner un point d'ancrage à la méthode et favoriser l'utilisation d'un langage commun. Ses recherches l'ont amené à évaluer différentes normes, et celle recherchée devait enchâsser divers éléments tels que : analyse des risques financiers et opérationnels; équilibre entre coût des contrôles et avantages potentiels; identification des risques sous l'angle des opportunités et des conséquences négatives; promotion d'une culture fondée sur la prise de risques, la reddition de comptes et la transparence; amélioration de l'établissement des objectifs et mesures de la performance. La norme choisie (AS/NZ 4360:1999 – Australie/Nouvelle-Zélande) respecte ou dépasse ses rivales ainsi que tous les critères définis, et a donné lieu à un corpus important d'informations publiées. La RMB a ensuite entrepris de mettre en œuvre un programme au moyen d'autres ressources et activités, dont les suivantes : enquête repère sur la culture du risque dans les ministères; documents de référence; cours d'introduction; présentations aux différents services gouvernementaux à des fins de sensibilisation; liste de consultants externes compétents; mise sur pied d'un groupe de praticiens de la GGR; technologies Web (sites d'information, logiciels de GGR, etc.).

À cette étape, le service de vérification interne et de conseil du bureau du contrôleur général a commencé à soutenir le programme en jouant en interne un rôle de consultant auprès des ministères. David Fairbotham, dg du service, indique que son équipe, occupée actuellement par les processus d'évaluation des riques, s'intéressera par la suite davantage à la gouvernance. L'une des préoccupations de David Fairbotham est de trouver suffisamment de temps et de ressources pour aider les hauts fonctionnaires, et de veiller à ce que l'approche demeure suffisamment polyvalente pour être utilisée. Graham Fisher explique que la section gestion du risque s'est fait l'apôtre de la GGR, et joue un rôle de conseiller auprès des directions générales, organismes d'État et sous-traitants, ce qui a d'ailleurs aidé à préparer la soumission pour les Jeux olympiques de 2010 et en facilitera la planification.

Un intérêt se manifestant pour une approche commune, les gestionnaires du risque moins expérimentés ont commencé à exprimer des préoccupations : À quoi précisément devaient-ils appliquer les techniques de GGR? Dans quelle mesure pouvaient-ils élaborer leurs propres méthodes? Il était clair que les ministères devaient établir leurs priorités en matière de gestion du risque, et il était logique pour eux de commencer en passant les buts et objectifs indiqués dans leurs plans annuels au crible du processus d'analyse des risques.

Selon Graham Fisher, la GGR est utile lorsqu'il s'agit d'entreprendre une nouvelle initiative, et de planifier ou gérer des projets précis. Les zones d'activité de gestion du risque continuent de croître, mais on envisage une intégration des évaluations des risques liées aux plans de services à l'échelle des ministères. De fait, nombre d'entités du secteur public sont membres d'un groupe de discussion formé de praticiens responsables de la fonction gestion du risque et animé par la RMB. Phil Grewar croit pour sa part que la GGR sera implantée dans l'ensemble du secteur public d'ici deux ou trois ans.

Pour le gouvernement, la gestion du risque constitue une amélioration apportée à ses processus; la GGR doit faire partie intégrante de la manière dont les fonctionnaires pensent, planifient et gèrent. Chaque ministère doit établir sa propre culture de la gestion des risques en fonction de ses activités et profil de risque. On veut dans un premier temps trouver des champions du risque et leur faire jouer un rôle actif. Le groupe de praticiens de la gestion du risque est structuré et mené selon les principes de la gestion des connaissances. Un site Web de collaboration a en outre permis aux praticiens d'exprimer leurs préoccupations.

Graham Fisher indique que le processus de mise en œuvre en est à ses débuts et qu'il faudra de trois à cinq ans au moins avant que le concept arrive à maturité. Il trouve toutefois encourageant que l'on commence à observer des actions concrètes. Comme l'observe Phil Grewar : «Il est à espérer que cette culture parvienne à maturité, mais tout dépend de la direction. Seule la qualité des résultats du cycle de planification des services nous le dira.»

Au moins 10 des 20 ministères provinciaux devraient procéder à une analyse de risques de haut niveau en 2004, et l'application de la méthode de GGR par l'intermédiaire de l'outil logiciel Performance Excellence through Action and Knowledge (PEAK) est au cœur des projets du gouvernement. L'initiative s'appuie sur les technologies Web suivantes : trois sites d'information (Internet, intranet et extranet), un forum de discussion et l'application PEAK.

Une analyse de rentabilisation a été essentielle pour la sélection de PEAK. Il fallait un outil passe-partout permettant de prendre en charge la méthode et la terminologie de la norme AS/NZ 4360:1999. Proposé par Projectworx/Tecskor, PEAK s'est avéré LA solution, car il sert à résoudre les problèmes liés à la mise en œuvre d'un processus structuré, où il faut assurer la coordination d'une vaste organisation, indique Paul Hooper de Projectworx. PEAK prend en charge à la fois la logistique et la gestion documentaire de la GGR.

Obtenir un appui rapide pour l'application s'imposait, ce qui fut fait en affectant une équipe pangouvernementale aux essais de logiciels et à l'évaluation. «L'adhésion proprement dite reste à obtenir, commente Paul Hooper. Nous avons déjà fait suivre une formation à 1 600 personnes.» Partant du principe que les gens comptent plus que la technologie, il accorde à l'outil un rôle de soutien dans l'évolution de la culture de la gestion des risques. PEAK devrait aussi créer de la valeur pour les utilisateurs, et sa nature consultative devrait favoriser une mise en œuvre rapide. C'est l'outil de choix pour identifier les risques et saisir toute l'information en un seul endroit. On estime aussi que les unités fonctionnelles qui appliquent la GGR à la prise de décisions stratégiques et opérationnelles seront plus sûres d'atteindre leurs objectifs. Les ministères pourront affecter les ressources des programmes de façon plus rationnelle et justifiable. À la longue, la GGR complétera la gestion de la performance et la production d'informations.

Le mise en œuvre de la GGR fournit au gouvernement de la C.-B. une excellente occasion d'établir une culture de gestion du risque, encadrée par un ensemble de normes efficaces et appuyée par une utilisation remarquable de la technologie.

J. Andrews, CA•TI/CISA, FCA, est président de NetLearn Services Inc. à Victoria. E. Robertson, MES, MPA, est gestionnaire de programme à la Risk Management Branch du gouvernement de la Colombie-Britannique. Cette rubrique est dirigée par Deryck Williams, FCA, CMC, PKF Hill, à Toronto.