Politique de gestion des risques
Transcription
Politique de gestion des risques
Vérificateur général du Québec Politique de gestion des risques Politique de gestion des risques Objectif de la politique La gestion efficace des risques vise à assurer la continuité des opérations, le maintien de la qualité des services et la protection des actifs des organisations. Plus formellement, la gestion des risques se définit comme « un processus élaboré et mis en place par la direction et le personnel de l’organisation dans l’optique de déterminer les risques auxquels elle fait face et de gérer ces risques à l’intérieur de sa zone de tolérance afin de fournir une assurance raisonnable quant à l’atteinte de ses objectifs stratégiques1». La présente politique décrit les lignes directrices et les principaux éléments conceptuels relativement à la gestion des risques chez le Vérificateur général du Québec. Énoncé de la politique Cette politique vise à : déterminer les risques menaçant la réputation et la crédibilité de l’institution ainsi que sa capacité à remplir son rôle auprès des parlementaires; évaluer la nature, la portée, l’impact et la probabilité d’occurrence de ces risques; mettre en place les mesures d’atténuation nécessaires afin de réduire ces risques à un niveau acceptable. Définitions et approche générale Détermination des risques Le risque est « la possibilité qu’un évènement survienne et affecte négativement l’atteinte des objectifs de l’organisation 2». La détermination des risques permet de décrire de tels évènements potentiels, d’en trouver la ou les causes ainsi que de prévoir les conséquences à court et moyen terme s’ils se matérialisent. L’exercice doit être 1 Source : COSO Enterprise Risk Management – Integrated Framework, septembre 2004. 2 Nous avons adapté la définition proposée dans la source précédente. -1- Vérificateur général du Québec Politique de gestion des risques répété tous les trois ans afin de maintenir la pertinence et l’intégrité du processus de gestion des risques. Les risques auxquels le Vérificateur général est exposé sont catégorisés selon leur impact sur la crédibilité, la réputation et la capacité de l’organisation. De plus, ils peuvent interagir et ainsi entraîner une réaction en chaîne multipliant leurs répercussions. Le portrait schématique des risques permet d’établir ces liens, de maximiser l’effet des mesures d’atténuation et de faciliter une saine gestion en la matière. Le processus général de détermination et d’évaluation des risques est présenté à l’annexe A. Évaluation préliminaire des risques Chaque risque doit être évalué afin de mesurer l’impact général que ses conséquences peuvent avoir sur l’organisation ainsi que la probabilité qu’il se produise, sans tenir compte des mesures d’atténuation prévues (on obtient dans ce cas l’évaluation du risque inhérent). Le Vérificateur général utilise une échelle à quatre niveaux pour qualifier l’impact et la probabilité des éléments recensés : Probabilité de l’évènement Impact Acceptable Improbable Modéré Possible Important Probable Critique Quasi certain La définition de ces niveaux est présentée à l’annexe B. Cette évaluation permet de « cartographier » les risques et de hiérarchiser les travaux visant à apprécier l’efficacité des mesures d’atténuation actuelles et, s’il y a lieu, de mettre en place de nouvelles mesures plus adéquates et réellement efficientes. Chaque risque est assigné à un « propriétaire », qui est responsable de le gérer afin de le maintenir en deçà du seuil de tolérance de l’organisation. Il doit être assigné à un seul propriétaire, qui peut néanmoins se voir confier plusieurs risques. Maîtrise des risques Les mesures d’atténuation des risques sont composées des différentes politiques, directives et procédures mises en œuvre dans le cadre du fonctionnement normal de l’organisation. Chacune d’entre elles peut toucher un risque en particulier ou se rapporter à plusieurs éléments. Elle est assignée à un « responsable désigné », qui doit s’assurer de son application et évaluer son efficacité. -2- Vérificateur général du Québec Politique de gestion des risques L’efficacité des mesures d’atténuation et le degré de maîtrise des risques y afférents doivent être évalués sur un horizon de trois ans. À cet effet, l’information recueillie est analysée en vue de se prononcer sur le degré de maîtrise de chaque risque. Cette évaluation indique si le niveau de risque résiduel (celui que perdure en tenant compte de l’efficacité des mesures d’atténuation) est maintenu à un niveau qui se situe en deçà du seuil de tolérance fixé à l’interne. Elle fait également appel à une échelle à quatre niveaux : Maîtrise Adéquate : Les mesures existent et sont efficaces. Le risque résiduel est acceptable. Tolérable : Les mesures existent, mais elles ne sont pas entièrement efficaces (par exemple, elles ne sont pas appliquées de manière systématique). Le risque résiduel est toutefois jugé tolérable. Insuffisante : Les mesures existent, mais elles ne sont pas assez efficaces ou encore elles sont en implantation. Le risque résiduel est jugé trop élevé. Nulle : Les mesures n’existent pas ou celles qui existent présentent des lacunes majeures. Le risque résiduel est important, voire identique au risque inhérent (soit celui déterminé sans considérer les mesures d’atténuation), et il est jugé trop élevé. Les correctifs nécessaires doivent être élaborés et mis en place lorsque l’évaluation conduit à la conclusion que la maîtrise du risque est insuffisante ou nulle. L’objectif est alors de ramener le risque résiduel à un niveau acceptable. Globalement, les risques recensés, leur évaluation préliminaire et les mesures d’atténuation prises à leur égard constituent l’univers de risques du Vérificateur général en la matière. Rôles et responsabilités La gestion des risques implique plusieurs intervenants appartenant à tous les secteurs de l’organisation. Chaque intervenant joue un rôle particulier et assume les responsabilités qui lui sont propres. Ces rôles et responsabilités étant interdépendants, ils doivent s’exercer en concertation afin d’assurer la saine gestion des risques auxquels le Vérificateur général est exposé. -3- Vérificateur général du Québec Politique de gestion des risques 1. Vérificateur général et comité de gestion Le vérificateur général a l’ultime responsabilité de la gestion et de l’évaluation des risques qui menacent l’organisation. Il est secondé à ce propos par le comité de gestion, qui constitue la principale instance décisionnelle et le groupe de discussion privilégié pour traiter des problèmes concernés. Les principales responsabilités du vérificateur général et du comité de gestion sont les suivantes : approuver la politique de gestion des risques; déterminer, pour chacun des risques, le seuil de tolérance de l’institution; tenir à jour le recensement des risques, évaluer l’impact et la probabilité de ceux-ci ainsi que les assigner aux gestionnaires responsables, considérés comme leurs propriétaires; approuver les mesures d’atténuation proposées; procéder tous les trois ans à une nouvelle évaluation du risque global. 2. Propriétaire de risque Le propriétaire d’un risque est tenu de le gérer. Lorsqu’il s’agit d’un comité ou d’un groupe de travail, le président en est d’office le propriétaire. Voici ses principales responsabilités : déterminer les mesures d’atténuation applicables à chaque risque et mettre à jour la documentation visée (fiches); assigner chaque mesure à un membre de l’organisation, qui devient le « responsable désigné » de celle-ci avec l’accord de son supérieur immédiat; conclure sur le niveau de maîtrise du ou des risque dont il est responsable. 3. Responsable désigné d’une mesure d’atténuation Le responsable désigné doit veiller à la conception, à la mise en place et au fonctionnement adéquat de la ou des mesures d’atténuation dont il a la charge. Lorsqu‘il s’agit d’un comité ou d’un groupe de travail, le président en est d’office le responsable désigné. Celui-ci doit : évaluer chaque année l’efficacité d’un certain nombre de ces mesures; le choix des éléments, qui est laissé à sa discrétion, doit être approuvé par le propriétaire du risque; -4- Vérificateur général du Québec Politique de gestion des risques évaluer tous les trois ans l’efficacité de l’ensemble des mesures d’atténuation qui lui ont été assignées; cette autoévaluation doit être appuyée par une documentation suffisante afin de permettre une vérification de la démarche et des résultats obtenus par un tiers; mettre au point et apporter les correctifs nécessaires lorsque l’efficacité des mesures d’atténuation est insuffisante pour réduire le risque à un niveau acceptable. 4. Coordonnateur de la gestion des risques Le coordonnateur de la gestion des risques est le gestionnaire responsable de l’application du processus chapeautant les activités visées. Dans ce contexte, il doit préserver son indépendance par rapport à l’évaluation des risques effectuée par l’organisation. Ses principales responsabilités sont de : concevoir les procédures opérationnelles assurant la mise en place et le fonctionnement du processus de gestion des risques, en conformité avec la présente politique; développer et faire connaître les outils nécessaires à la mise en œuvre et au contrôle du processus de gestion des risques; conseiller les propriétaires de risques et les responsables désignés des mesures d’atténuation en ce qui a trait au processus de gestion des risques; compiler et schématiser les risques signalés par les différents intervenants aux fins de révision et d’évaluation par le comité de gestion; analyser les résultats des autoévaluations concernant l’efficacité des mesures d’atténuation afin d’établir le risque global de l’organisation; le cas échéant, assurer le suivi du plan d’action quant aux nouvelles mesures d’atténuation à prendre à la lumière des évaluations; déposer annuellement au comité de gestion un rapport sur la gestion des risques en vue de la révision du processus en cause. 5. Groupes de travail Le Groupe de travail en attestation financière (GTAF) et le Groupe de travail en optimisation des ressources (GTOR) sont les groupes de discussion privilégiés et les instances décisionnelles désignées pour ce qui est des questions touchant de plus près leur champ d’expertise respectif. Ils sont des acteurs particulièrement importants à l’égard des risques relatifs à la méthodologie et à la gestion des missions de vérification. Ils sont chargés de deux responsabilités principales : colliger et analyser les informations provenant de diverses sources; -5- Vérificateur général du Québec Politique de gestion des risques circonscrire et catégoriser les risques à la lumière de ces informations. Ils peuvent également être appelés à agir à titre de propriétaires de risques ou de responsables désignés de mesures d’atténuation. En pareils cas, ils assument les responsabilités associées à ces rôles. 6. Autres intervenants a) Direction des services-conseils en attestation financière (DSCAF), Direction des services-conseils en optimisation des ressources (DSCOR) et Affaires juridiques Les unités administratives fournissant les services-conseils assurent le soutien direct aux équipes de vérification tout en favorisant la qualité et l’efficience des travaux. Elles exercent également une vigie sur la normalisation, la réglementation et la législation concernant les diverses missions. À ce titre, elles occupent une place très importante dans le processus de gestion des risques. La responsabilité première de ces intervenants est de porter à l’attention des groupes de travail toute information ou tout évènement dont ils prennent connaissance au cours de leurs activités en matière d’encadrement des vérifications (conseil, révision a posteriori, etc.) ou de vigie et qui peut représenter un risque pour l’organisation. b) Direction de l’administration (DA) et service de la reddition de comptes (RC) et Direction de la gestion et de la vérification informatiques (DGVI) Ces deux directions regroupent les multiples fonctions permettant la réalisation des travaux au quotidien. Elles sont ainsi à la base de la gestion des risques plus opérationnels, étant placées au cœur même des activités courantes et pouvant dès lors les situer dans une perspective globale. Leurs principales responsabilités sont les suivantes : colliger et analyser les informations provenant de leurs unités administratives; circonscrire et catégoriser les risques à la lumière de ces informations. Elles peuvent également être appelées à agir à titre de propriétaires de risques ou de responsables désignées de mesures d’atténuation. En pareils cas, elles assument les responsabilités associées à ces rôles. c) Gestionnaires et autres employés La gestion efficace des risques doit être une préoccupation partagée par l’ensemble du personnel. De ce fait, il faut que les employés, notamment les cadres et les professionnels, relèvent et notifient à qui de droit (groupes de travail, gestionnaires responsables, etc.) toute information ou tout évènement qui peut représenter un risque pour l’organisation. -6- Vérificateur général du Québec Politique de gestion des risques d) Vérificateur interne Le vérificateur interne a le pouvoir de vérifier que l’autoévaluation de la maîtrise des risques, réalisée par les responsables désignés, est adéquate et qu’elle favorise le maintien ou la prise de mesures d’atténuation efficaces. La nature, la portée et la fréquence de cette vérification sont laissées à la discrétion du vérificateur interne. Principaux risques dont doit tenir compte le Vérificateur général Risques pouvant mettre en cause notre crédibilité Manque d’indépendance Impossibilité de répondre aux besoins des parlementaires Non-respect de la Loi sur le vérificateur général Analyse inadéquate des sujets de VOR Opinion erronée sur la fidélité des états financiers Sélection inappropriée des sujets de VOR Absence de valeur ajoutée pour ce qui est de l’amélioration de la gestion des entités du secteur public Risques pouvant mettre en doute notre réputation Fuite d’informations confidentielles Action non conforme aux directives gouvernementales ou non éthique Communication déficiente avec les médias Communication insuffisante avec les entités vérifiées Risques pouvant influencer notre capacité organisationnelle Pénurie de personnel en vérification financière Pénurie de personnel en vérification de l’optimisation des ressources Manque de personnel compétent -7- Vérificateur général du Québec Politique de gestion des risques Insuffisance de ressources financières ou technologiques Baisse de motivation au travail de la part du personnel Pénurie de personnel en soutien administratif et informatique Atteinte à la disponibilité et l'intégrité des systèmes d'information Gestion non efficiente des ressources Application La présente politique s'applique à l’ensemble des activités et du personnel du Vérificateur général du Québec. Mise à jour : Juillet 2011 Approuvée par le comité de gestion : 29 janvier 2009 -8- Vérificateur général du Québec Politique de gestion des risques Annexe A – Processus de gestion des risques Ensemble du personnel Coordonnateur de la gestion des risques Responsables désignés de mesures d'atténuation Propriétaires de risques Vérificateur interne Comité de gestion Identifier les risques 1. Signalisation et classification préliminaire 3. Évaluation des risques (impact et probabilité) et désignation des propriétaires 2. Recensement et schématisation 4. Choix des mesures d'atténuation* et des responsables désignés Documentation 5. Autoévaluation des mesures d'atténuation 6. Conclusion relative à la maîtrise des risques Vérification des autoévaluations 8. Révision et approbation concernant l' évaluation du risque global 7. Recensement et schématisation * Les mesures choisies devront être approuvées par le comité de gestion. -9- Vérificateur général du Québec Politique de gestion des risques Annexe B – Évaluation de l’impact et de la probabilité Impact Niveau Définition Acceptable : Les conséquences sont considérées comme tolérables à moyen terme (pas plus de trois ans). Modéré : Les conséquences nuisent à la réalisation de la mission à moyen terme (pas plus de trois ans). Important : a) Les conséquences nuisent aux relations avec les parlementaires ou les entités, mais elles ne menacent pas l’existence de l’organisation. b) Les conséquences nuisent à la réalisation de la mission à court terme (la prochaine année). Critique : Les conséquences peuvent entacher de manière significative la réputation, la crédibilité ou la capacité de l’organisation. Probabilité de l’évènement Niveau Définition Improbable : a) Les conséquences se réfèrent à un évènement fortuit, pratiquement impossible à prévoir (par exemple, la perte des locaux à cause d’un incendie). b) La matérialisation du risque dépend de la conjugaison de plusieurs évènements, repose sur un scénario comportant une longue série d’hypothèses, etc. Possible : Rien ne favorise la matérialisation du risque, mais il est inhérent aux activités de l’organisation (par exemple, la perte d’indépendance ou la formulation d’une opinion erronée). Probable : a) Les « conditions favorables » à la matérialisation du risque sont en place (par exemple, difficultés en matière de dotation du personnel). b) Le risque s’est matérialisé à quelques reprises au cours des dernières années. Quasi certain : La matérialisation du risque est quasi certaine sur un horizon de trois ans. - 10 -