Politique de gestion des risques

Vérificateur général du Québec
Politique de gestion des risques
Politique de gestion des risques
Objectif de la politique
La gestion efficace des risques vise à assurer la continuité des opérations, le maintien
de la qualité des services et la protection des actifs des organisations. Plus
formellement, la gestion des risques se définit comme « un processus élaboré et mis en
place par la direction et le personnel de l’organisation dans l’optique de déterminer les
risques auxquels elle fait face et de gérer ces risques à l’intérieur de sa zone de
tolérance afin de fournir une assurance raisonnable quant à l’atteinte de ses objectifs
stratégiques1».
La présente politique décrit les lignes directrices et les principaux éléments conceptuels
relativement à la gestion des risques chez le Vérificateur général du Québec.
Énoncé de la politique
Cette politique vise à :
déterminer les risques menaçant la réputation et la crédibilité de l’institution ainsi
que sa capacité à remplir son rôle auprès des parlementaires;
évaluer la nature, la portée, l’impact et la probabilité d’occurrence de ces risques;
mettre en place les mesures d’atténuation nécessaires afin de réduire ces
risques à un niveau acceptable.
Définitions et approche générale
Détermination des risques
Le risque est « la possibilité qu’un évènement survienne et affecte négativement
l’atteinte des objectifs de l’organisation 2». La détermination des risques permet de
décrire de tels évènements potentiels, d’en trouver la ou les causes ainsi que de prévoir
les conséquences à court et moyen terme s’ils se matérialisent. L’exercice doit être
1
Source : COSO Enterprise Risk Management – Integrated Framework, septembre 2004.
2
Nous avons adapté la définition proposée dans la source précédente.
-1-
Vérificateur général du Québec
Politique de gestion des risques
répété tous les trois ans afin de maintenir la pertinence et l’intégrité du processus de
gestion des risques.
Les risques auxquels le Vérificateur général est exposé sont catégorisés selon leur
impact sur la crédibilité, la réputation et la capacité de l’organisation. De plus, ils peuvent
interagir et ainsi entraîner une réaction en chaîne multipliant leurs répercussions. Le
portrait schématique des risques permet d’établir ces liens, de maximiser l’effet des
mesures d’atténuation et de faciliter une saine gestion en la matière.
Le processus général de détermination et d’évaluation des risques est présenté à
l’annexe A.
Évaluation préliminaire des risques
Chaque risque doit être évalué afin de mesurer l’impact général que ses conséquences
peuvent avoir sur l’organisation ainsi que la probabilité qu’il se produise, sans tenir
compte des mesures d’atténuation prévues (on obtient dans ce cas l’évaluation du
risque inhérent). Le Vérificateur général utilise une échelle à quatre niveaux pour
qualifier l’impact et la probabilité des éléments recensés :
Probabilité de l’évènement
Impact
 Acceptable
 Improbable
 Modéré
 Possible
 Important
 Probable
 Critique
 Quasi certain
La définition de ces niveaux est présentée à l’annexe B.
Cette évaluation permet de « cartographier » les risques et de hiérarchiser les travaux
visant à apprécier l’efficacité des mesures d’atténuation actuelles et, s’il y a lieu, de
mettre en place de nouvelles mesures plus adéquates et réellement efficientes. Chaque
risque est assigné à un « propriétaire », qui est responsable de le gérer afin de le
maintenir en deçà du seuil de tolérance de l’organisation. Il doit être assigné à un seul
propriétaire, qui peut néanmoins se voir confier plusieurs risques.
Maîtrise des risques
Les mesures d’atténuation des risques sont composées des différentes politiques,
directives et procédures mises en œuvre dans le cadre du fonctionnement normal de
l’organisation. Chacune d’entre elles peut toucher un risque en particulier ou se
rapporter à plusieurs éléments. Elle est assignée à un « responsable désigné », qui doit
s’assurer de son application et évaluer son efficacité.
-2-
Vérificateur général du Québec
Politique de gestion des risques
L’efficacité des mesures d’atténuation et le degré de maîtrise des risques y afférents
doivent être évalués sur un horizon de trois ans. À cet effet, l’information recueillie est
analysée en vue de se prononcer sur le degré de maîtrise de chaque risque. Cette
évaluation indique si le niveau de risque résiduel (celui que perdure en tenant compte de
l’efficacité des mesures d’atténuation) est maintenu à un niveau qui se situe en deçà du
seuil de tolérance fixé à l’interne. Elle fait également appel à une échelle à quatre
niveaux :
Maîtrise
Adéquate :
Les mesures existent et sont efficaces. Le risque
résiduel est acceptable.
Tolérable :
Les mesures existent, mais elles ne sont pas
entièrement efficaces (par exemple, elles ne sont
pas appliquées de manière systématique). Le
risque résiduel est toutefois jugé tolérable.
Insuffisante :
Les mesures existent, mais elles ne sont pas assez
efficaces ou encore elles sont en implantation. Le
risque résiduel est jugé trop élevé.
Nulle :
Les mesures n’existent pas ou celles qui existent
présentent des lacunes majeures. Le risque
résiduel est important, voire identique au risque
inhérent (soit celui déterminé sans considérer les
mesures d’atténuation), et il est jugé trop élevé.
Les correctifs nécessaires doivent être élaborés et mis en place lorsque l’évaluation
conduit à la conclusion que la maîtrise du risque est insuffisante ou nulle. L’objectif est
alors de ramener le risque résiduel à un niveau acceptable.
Globalement, les risques recensés, leur évaluation préliminaire et les mesures
d’atténuation prises à leur égard constituent l’univers de risques du Vérificateur général
en la matière.
Rôles et responsabilités
La gestion des risques implique plusieurs intervenants appartenant à tous les secteurs
de l’organisation. Chaque intervenant joue un rôle particulier et assume les
responsabilités qui lui sont propres. Ces rôles et responsabilités étant interdépendants,
ils doivent s’exercer en concertation afin d’assurer la saine gestion des risques auxquels
le Vérificateur général est exposé.
-3-
Vérificateur général du Québec
Politique de gestion des risques
1. Vérificateur général et comité de gestion
Le vérificateur général a l’ultime responsabilité de la gestion et de l’évaluation des
risques qui menacent l’organisation. Il est secondé à ce propos par le comité de
gestion, qui constitue la principale instance décisionnelle et le groupe de discussion
privilégié pour traiter des problèmes concernés.
Les principales responsabilités du vérificateur général et du comité de gestion sont
les suivantes :
approuver la politique de gestion des risques;
déterminer, pour chacun des risques, le seuil de tolérance de l’institution;
tenir à jour le recensement des risques, évaluer l’impact et la probabilité de
ceux-ci ainsi que les assigner aux gestionnaires responsables, considérés
comme leurs propriétaires;
approuver les mesures d’atténuation proposées;
procéder tous les trois ans à une nouvelle évaluation du risque global.
2. Propriétaire de risque
Le propriétaire d’un risque est tenu de le gérer. Lorsqu’il s’agit d’un comité ou d’un
groupe de travail, le président en est d’office le propriétaire. Voici ses principales
responsabilités :
déterminer les mesures d’atténuation applicables à chaque risque et mettre à
jour la documentation visée (fiches);
assigner chaque mesure à un membre de l’organisation, qui devient le
« responsable désigné » de celle-ci avec l’accord de son supérieur immédiat;
conclure sur le niveau de maîtrise du ou des risque dont il est responsable.
3. Responsable désigné d’une mesure d’atténuation
Le responsable désigné doit veiller à la conception, à la mise en place et au
fonctionnement adéquat de la ou des mesures d’atténuation dont il a la charge.
Lorsqu‘il s’agit d’un comité ou d’un groupe de travail, le président en est d’office le
responsable désigné. Celui-ci doit :
évaluer chaque année l’efficacité d’un certain nombre de ces mesures; le
choix des éléments, qui est laissé à sa discrétion, doit être approuvé par le
propriétaire du risque;
-4-
Vérificateur général du Québec
Politique de gestion des risques
évaluer tous les trois ans l’efficacité de l’ensemble des mesures d’atténuation
qui lui ont été assignées; cette autoévaluation doit être appuyée par une
documentation suffisante afin de permettre une vérification de la démarche et
des résultats obtenus par un tiers;
mettre au point et apporter les correctifs nécessaires lorsque l’efficacité des
mesures d’atténuation est insuffisante pour réduire le risque à un niveau
acceptable.
4. Coordonnateur de la gestion des risques
Le coordonnateur de la gestion des risques est le gestionnaire responsable de
l’application du processus chapeautant les activités visées. Dans ce contexte, il doit
préserver son indépendance par rapport à l’évaluation des risques effectuée par
l’organisation. Ses principales responsabilités sont de :
concevoir les procédures opérationnelles assurant la mise en place et le
fonctionnement du processus de gestion des risques, en conformité avec la
présente politique;
développer et faire connaître les outils nécessaires à la mise en œuvre et au
contrôle du processus de gestion des risques;
conseiller les propriétaires de risques et les responsables désignés des
mesures d’atténuation en ce qui a trait au processus de gestion des risques;
compiler et schématiser les risques signalés par les différents intervenants
aux fins de révision et d’évaluation par le comité de gestion;
analyser les résultats des autoévaluations concernant l’efficacité des
mesures d’atténuation afin d’établir le risque global de l’organisation;
le cas échéant, assurer le suivi du plan d’action quant aux nouvelles mesures
d’atténuation à prendre à la lumière des évaluations;
déposer annuellement au comité de gestion un rapport sur la gestion des
risques en vue de la révision du processus en cause.
5. Groupes de travail
Le Groupe de travail en attestation financière (GTAF) et le Groupe de travail en
optimisation des ressources (GTOR) sont les groupes de discussion privilégiés et les
instances décisionnelles désignées pour ce qui est des questions touchant de plus
près leur champ d’expertise respectif. Ils sont des acteurs particulièrement
importants à l’égard des risques relatifs à la méthodologie et à la gestion des
missions de vérification. Ils sont chargés de deux responsabilités principales :
colliger et analyser les informations provenant de diverses sources;
-5-
Vérificateur général du Québec
Politique de gestion des risques
circonscrire et catégoriser les risques à la lumière de ces informations.
Ils peuvent également être appelés à agir à titre de propriétaires de risques ou de
responsables désignés de mesures d’atténuation. En pareils cas, ils assument les
responsabilités associées à ces rôles.
6. Autres intervenants
a) Direction des services-conseils en attestation financière (DSCAF), Direction des
services-conseils en optimisation des ressources (DSCOR) et Affaires juridiques
Les unités administratives fournissant les services-conseils assurent le soutien direct
aux équipes de vérification tout en favorisant la qualité et l’efficience des travaux.
Elles exercent également une vigie sur la normalisation, la réglementation et la
législation concernant les diverses missions. À ce titre, elles occupent une place très
importante dans le processus de gestion des risques.
La responsabilité première de ces intervenants est de porter à l’attention des
groupes de travail toute information ou tout évènement dont ils prennent
connaissance au cours de leurs activités en matière d’encadrement des vérifications
(conseil, révision a posteriori, etc.) ou de vigie et qui peut représenter un risque pour
l’organisation.
b) Direction de l’administration (DA) et service de la reddition de comptes (RC) et
Direction de la gestion et de la vérification informatiques (DGVI)
Ces deux directions regroupent les multiples fonctions permettant la réalisation des
travaux au quotidien. Elles sont ainsi à la base de la gestion des risques plus
opérationnels, étant placées au cœur même des activités courantes et pouvant dès
lors les situer dans une perspective globale.
Leurs principales responsabilités sont les suivantes :
colliger et analyser les informations provenant de leurs unités administratives;
circonscrire et catégoriser les risques à la lumière de ces informations.
Elles peuvent également être appelées à agir à titre de propriétaires de risques ou
de responsables désignées de mesures d’atténuation. En pareils cas, elles
assument les responsabilités associées à ces rôles.
c) Gestionnaires et autres employés
La gestion efficace des risques doit être une préoccupation partagée par l’ensemble
du personnel. De ce fait, il faut que les employés, notamment les cadres et les
professionnels, relèvent et notifient à qui de droit (groupes de travail, gestionnaires
responsables, etc.) toute information ou tout évènement qui peut représenter un
risque pour l’organisation.
-6-
Vérificateur général du Québec
Politique de gestion des risques
d) Vérificateur interne
Le vérificateur interne a le pouvoir de vérifier que l’autoévaluation de la maîtrise des
risques, réalisée par les responsables désignés, est adéquate et qu’elle favorise le
maintien ou la prise de mesures d’atténuation efficaces. La nature, la portée et la
fréquence de cette vérification sont laissées à la discrétion du vérificateur interne.
Principaux risques dont doit tenir compte le Vérificateur
général
Risques pouvant mettre en cause notre crédibilité
Manque d’indépendance
Impossibilité de répondre aux besoins des parlementaires
Non-respect de la Loi sur le vérificateur général
Analyse inadéquate des sujets de VOR
Opinion erronée sur la fidélité des états financiers
Sélection inappropriée des sujets de VOR
Absence de valeur ajoutée pour ce qui est de l’amélioration de la gestion des
entités du secteur public
Risques pouvant mettre en doute notre réputation
Fuite d’informations confidentielles
Action non conforme aux directives gouvernementales ou non éthique
Communication déficiente avec les médias
Communication insuffisante avec les entités vérifiées
Risques pouvant influencer notre capacité organisationnelle
Pénurie de personnel en vérification financière
Pénurie de personnel en vérification de l’optimisation des ressources
Manque de personnel compétent
-7-
Vérificateur général du Québec
Politique de gestion des risques
Insuffisance de ressources financières ou technologiques
Baisse de motivation au travail de la part du personnel
Pénurie de personnel en soutien administratif et informatique
Atteinte à la disponibilité et l'intégrité des systèmes d'information
Gestion non efficiente des ressources
Application
La présente politique s'applique à l’ensemble des activités et du personnel du
Vérificateur général du Québec.
Mise à jour : Juillet 2011
Approuvée par le comité de gestion : 29 janvier 2009
-8-
Vérificateur général du Québec
Politique de gestion des risques
Annexe A – Processus de gestion des risques
Ensemble
du personnel
Coordonnateur
de la gestion
des risques
Responsables
désignés
de mesures
d'atténuation
Propriétaires
de risques
Vérificateur
interne
Comité
de gestion
Identifier les
risques
1. Signalisation
et classification
préliminaire
3. Évaluation
des risques
(impact
et probabilité)
et
désignation
des propriétaires
2. Recensement
et
schématisation
4. Choix
des mesures
d'atténuation*
et
des responsables
désignés
Documentation
5.
Autoévaluation
des mesures
d'atténuation
6. Conclusion
relative
à la maîtrise
des risques
Vérification
des
autoévaluations
8. Révision
et
approbation
concernant
l' évaluation
du risque global
7. Recensement
et
schématisation
* Les mesures choisies devront être approuvées par le comité de gestion.
-9-
Vérificateur général du Québec
Politique de gestion des risques
Annexe B – Évaluation de l’impact et de la probabilité
Impact
Niveau
Définition
Acceptable :
Les conséquences sont considérées comme tolérables à moyen terme
(pas plus de trois ans).
Modéré :
Les conséquences nuisent à la réalisation de la mission à moyen terme
(pas plus de trois ans).
Important :
a) Les conséquences nuisent aux relations avec les parlementaires ou les
entités, mais elles ne menacent pas l’existence de l’organisation.
b) Les conséquences nuisent à la réalisation de la mission à court terme
(la prochaine année).
Critique :
Les conséquences peuvent entacher de manière significative la
réputation, la crédibilité ou la capacité de l’organisation.
Probabilité de l’évènement
Niveau
Définition
Improbable :
a) Les conséquences se réfèrent à un évènement fortuit, pratiquement
impossible à prévoir (par exemple, la perte des locaux à cause d’un
incendie).
b) La matérialisation du risque dépend de la conjugaison de plusieurs
évènements, repose sur un scénario comportant une longue série
d’hypothèses, etc.
Possible :
Rien ne favorise la matérialisation du risque, mais il est inhérent aux
activités de l’organisation (par exemple, la perte d’indépendance ou la
formulation d’une opinion erronée).
Probable :
a) Les « conditions favorables » à la matérialisation du risque sont en
place (par exemple, difficultés en matière de dotation du personnel).
b) Le risque s’est matérialisé à quelques reprises au cours des dernières
années.
Quasi certain :
La matérialisation du risque est quasi certaine sur un horizon de trois ans.
- 10 -