Principes fondamentaux de la gestion des risques : Comment établir un profil de risque
Cet outil de travail fait partie de la série Principes fondamentaux de la gestion des risques, des conseils pratiques sur la gestion des risques qui peuvent être appliqués en milieu de travail. Cet outil de travail fournit des lignes directrices générales sur la façon d'élaborer un profil de risque au niveau du projet, de la division, de la direction et de la direction générale. Pour obtenir des directives officielles sur la façon d'établir un profil de risque organisationnel, veuillez consulter le Guide d'élaboration d'un profil de risque organisationnel du Secrétariat du Conseil du Trésor.
- Le contexte et l'analyse de l'environnement
- L'identification du risque
- La mesure et l'évaluation du risque
- La réponse au risque
- Le suivi et le contrôle du risque
Qu'est-ce qu'un profil de risque?
Un profil de risque est une description de tout ensemble de risques. Il s'agit de faire le point sur l'environnement opérationnel de l'organisation et sur sa capacité à gérer les risques importants de haut niveau liés à l'atteinte des objectifs à différents niveaux de l'organisation (c.-à-d. pour l'organisation, la direction générale ou le projet). Un profil de risque est établi pour améliorer les analyses et les processus décisionnels de la haute direction en ce qui concerne l'établissement des priorités et l'allocation des ressources. Il existe deux types clés de profils de risque. Le premier type est de nature stratégique, et il traite des risques au niveau organisationnel. L'une des premières activités habituellement associées à la gestion des risques à ce niveau est l'élaboration d'un profil de risque de l'organisation. Le deuxième type est de nature opérationnelle, et il traite des risques au niveau de la direction générale.
Un profil de risque :
- fournit au personnel, aux partenaires externes et aux décideurs un « aperçu » clair des principaux risques;
- une fois mis en œuvre, peut contribuer à déterminer les domaines qui pourraient offrir des mesures d'efficacité et des possibilités;
- éclaire l'établissement de priorités stratégiques, l'affectation des ressources, la prise de décisions et l'amélioration des résultats;
- peut être élaboré de façon officielle ou informelle, pour différents niveaux d'une organisation, comme au niveau organisationnel, pour un secteur, une unité de travail ou un projet.
Étapes pour élaborer un profil de risque
La communication des risques est essentielle à une gestion efficace des risques. Il faut que les risques soient communiqués tout au long des étapes ci-dessous. Déterminer l'information importante à transmettre à chaque étape; trier et diviser l'information à diffuser aux intervenants, y compris la fréquence, l'importance et l'urgence; et préciser les méthodes de communication à utiliser.
- Déterminer l'objectif et la portée
Cela vous aidera à cerner et à évaluer correctement vos risques.
- Déterminer le but ultime et un énoncé objectif clair et concis pour le profil de risque.
- Établir la portée du profil de risque (c.-à-d. activité, projet, division, direction, direction générale).
- Décider du degré de formalité de votre exercice de gestion des risques.
- Réunir les principaux participants
Il vous sera ainsi plus simple de recueillir de bons renseignements. Il est probablement faisable et souhaitable de réunir une équipe de 6 à 15 personnes, même s'il n'y a pas de nombre idéal. Cela dépend de la portée et de l'objectif.
Chef de projet : dirige l'équipe d'évaluation des risques et gère chaque étape du processus.
Intervenants de l'évaluation des risques : soutiennent la définition, l'évaluation et la mesure des risques. Un groupe d'intervenants bien informés qui ont un rôle à jouer pour atteindre l'objectif énoncé ou qui seront touchés par le résultat. Les membres doivent refléter une diversité d'opinions, et avoir de l'indépendance et des connaissances spécialisées.
Champion de la gestion (au besoin) : a une responsabilité globale; établit et articule des objectifs clés; consacre ou mobilise les ressources requises; et donne de la crédibilité et de la visibilité. Le chef de projet fera régulièrement rapport au champion de la gestion.
- Analyser son environnement
Cela vous aidera à déterminer et à comprendre les facteurs et les sources de risque possibles qui pourraient avoir une incidence pour la réalisation de vos objectifs. Une pratique exemplaire consiste à analyser l'environnement continuellement. Cela signifie que vous devriez être régulièrement à l'affût des nouvelles et des renseignements pertinents à vos objectifs.
- Cerner les risques
Documenter les risques connus et en définir de nouveaux. Pour ce faire, examiner les fonctions critiques, les menaces immédiates, les dépendances, les goulots d'étranglement et les problèmes à combustion lente pour repérer les risques qui pourraient émerger et avoir une incidence sur votre objectif. Après avoir défini les risques, déterminer également la catégorie à laquelle ils appartiennent (c.-à-d. stratégiques, financiers, opérationnels, environnementaux, juridiques ou relatifs aux ressources humaines ou à la réputation). N'oubliez pas que le risque désigne l'effet de l'incertitude (positif ou négatif) sur les objectifs. Les techniques de détermination des principaux risques comprennent l'examen des documents clés, les entrevues semi-structurées, la séance sur les risques pour les intervenants, l'analyse des sources de risque et l'autoévaluation des risques et des contrôles.
- Évaluer et mesurer les risques
- Remplir les éléments du registre des risques en bleu
Le registre des risques contiendra, pour chaque risque : les facteurs de risque, l'énoncé du risque, les événements à risque, les répercussions, les mesures de contrôle, les cotes de risque (probabilité résiduelle, incidence résiduelle, exposition résiduelle), la réponse au risque ou plan d'action.
- Valider le registre des risques
Une fois que le chef de projet aura préparé le registre des risques, celui-ci devra être validé auprès des intervenants de l'évaluation des risques. Ensuite vient l'étape d'évaluer les risques. La validation permet de s'assurer que toute l'information est exacte et que le registre des risques tient compte de tous les commentaires du groupe.
- Évaluer les risques
Afin de soutenir la hiérarchisation des risques et les décisions sur lesquels il faut se pencher, chaque membre de l'équipe d'évaluation des risques peut effectuer des évaluations indépendantes de chaque risque. En général, trois dimensions sont évaluées : (1) l'efficacité du contrôle, (2) la probabilité du risque résiduel, (3) l'incidence du risque résiduel. Au moment d'évaluer les risques, tenir compte de l'appétit pour le risque et de la tolérance au risque.
- Élaborer une matrice des risques
Une fois l'évaluation des risques terminée, les résultats sont agrégés en prenant la moyenne des notes de chaque participant, pour chaque dimension, par risque, et présentés sur une matrice des risques (aussi appelée cartographie des risques). La matrice des risques permet à chacun de voir le positionnement relatif des risques et l'endroit où l'exposition au risque est la plus importante.
- Valider les cotes de risque
Même si les résultats de l'évaluation des risques représentent une moyenne du groupe, vous voudrez examiner les résultats avec les intervenants pour vous assurer qu'ils sont logiques. Un atelier auprès des intervenants permet de valider les cotes et d'avoir une discussion approfondie sur les risques. Selon le consensus du groupe, une décision devrait être prise sur la matrice des risques définitive. De plus, il faut déterminer la catégorie d'exposition aux risques pour chaque risque.
- Élaborer une réponse au risque
Déterminer la réponse au risque pour chaque risque défini. Étapes clés :
- Mobiliser des intervenants.
- Définir les ressources et les exigences.
- Élaborer des plans d'action sur les risques (y compris des objectifs, des initiatives, des activités de soutien clés, des dates d'achèvement cibles et des mesures de rendement).
- Établir un responsable du risque pour chaque risque. Le responsable du risque assume la responsabilité globale de la gestion d'un risque. Le responsable du risque peut se trouver à n'importe quel niveau de l'organisation.
- Surveiller et produire des rapports
Au fil du temps, les changements dans l'environnement pourraient avoir une incidence sur les risques cernés ainsi que sur votre niveau d'exposition à ces risques. La surveillance et la production de rapports périodiques vous aideront à avoir des renseignements pertinents, valides et à jour sur les risques et à décider si des changements doivent être apportés à vos réponses aux risques ou à vos plans d'action relatifs aux risques, ou s'il est nécessaire de prévoir des réponses à de nouveaux risques.