II Pourquoi implanter la gestion des risques?
publicité
LES PRATIQUES EXEMPLAIRES EN MATIÈRE DE GESTION DES RISQUES DANS LES SECTEURS PRIVÉ ET PUBLIC, AU NIVEAU INTERNATIONAL RAPPORT FINAL Préparé pour Présenté par Le Secrétariat du Conseil du Trésor Ottawa (Ontario) KPMG s.r.l. Ottawa Le 27 avril, 1999 06-74120/CMC/CC Table des matières Sommaire .................................................................................................................. 1 I II III A. Cadre de l’étude 1 B. Les avantages à l’implantation de la gestion des risques 2 C. Les pratiques exemplaires 3 D. Les observations 6 E. Conclusions 7 Cadre de l’étude ................................................................................................ 9 A. L’objet de l’étude et les objectifs visés B. Le contexte et l’approche A. Les avantages 16 B. État de la mise en œuvre de la gestion des risques 17 Les pratiques exemplaires ............................................................................... 18 B. kpmg 10 Pourquoi implanter la gestion des risques? ..................................................... 16 A. IV 9 L’intégration de la gestion des risques aux autres pratiques de gestion 19 Approches, outils et techniques de mise en œuvre de la gestion des risques 27 Observations et conclusions ............................................................................ 31 A. Observations 31 B. Conclusions 33 i Table des matières V. Annexes Annexe A : Annexe B : Annexe C : Annexe D : kpmg Énoncé des travaux Bibliographie Guide d’entrevues Critères d’évaluation de l’applicabilité des exemplaires au gouvernement fédéral canadien pratiques ii Sommaire Ce sommaire des Pratiques exemplaires en matière de gestion des risques dans les secteurs privé et public, au niveau international résume le cadre de l’étude, les meilleures pratiques ainsi que et les observations et les conclusions de la présente étude. A. Cadre de l’étude La firme KPMG a été retenue pour identifier les pratiques exemplaires du secteur privé et du secteur public au niveau international. Les objectifs de l’étude étaient d’identifier les pratiques exemplaires en matière de gestion des risques, c’est-à-dire les stratégies, les approches, les méthodes, les outils et les techniques utilisés, et la façon dont on pourrait les utiliser au sein du gouvernement fédéral canadien. L’étude a été menée parallèlement à une autre étude sur les pratiques exemplaires au sein des organismes canadiens du secteur privé et du secteur public, effectuée par une autre firme de conseillers. Nos équipes ont travaillé en étroite collaboration pour s’assurer d’avoir une même compréhension des exigences de l’étude et d’être en mesure de présenter un sommaire coordonné. L’étude porte sur les pratiques « exemplaires », soit celles particulièrement efficaces pour aider une organisation à atteindre ses objectifs en matière de gestion des risques et qui représentent aussi un intérêt pour d’autres organisations. L’étude met l’accent sur les pratiques de gestion des risques qui ont été intégrées à d’autres pratiques de gestion, comme celles de la planification et de la prise de décisions. Elle étudie également les stratégies de planification, de développement, de mise en œuvre et de suivi de la gestion des risques. Le tableau 1 illustre l’approche utilisée pour mener l’étude et ses quatre composantes : recherche documentaire et contacts avec les bureaux de la firme KPMG à l’étranger; communiquer avec les organisations pour connaître leur intérêt à participer à notre étude, entrevues et collecte des données, puis analyse et rapport. Nous avons eu recours à notre réseau international de la KPMG pour identifier les organisations dans les pays qui possèdent de bonnes pratiques de gestion des risques. Notre échantillon d’étude s’est composé de 228 publications pertinentes et des entrevues auprès de dix-huit organisations provenant de l’Australie, l’Europe de l’Ouest (France, Allemagne, Suède, Suisse, Royaume-Uni), la Nouvelle-Zélande, l’Afrique du Sud, Taïwan, et les États-Unis. Les organisations provenant de l’Europe de l’Ouest, de l’Australie et de la Nouvelle-Zélande représentent environ 80 p. 100 de notre échantillonnage. Ce dernier inclut douze organisations du secteur privé et cinq du secteur public. Nous avons interviewé des entreprises dans les secteurs d’activités suivants : industries de fabrication, mines et ressources naturelles, services financiers, produits pharmaceutiques, technologie et communications, et services publics. kpmg 1 Tableau 1 Approche Recherche documentaire préliminaire Déterminer les organisations acceptables Communiquer avec les organisations pour connaître leur intérêt à participer Obtenir des renseignements au moyen d'entrevues Analyse et rapport Contacts avec les bureaux de la KPMG de l'étranger Entrevues par téléphone Entrevues en personne Recherche de sélection Guide d'entrevues Lignes directrices Recherche documentaire Objectifs de l'étude B. Les avantages à l’implantation de la gestion des risques Les organisations font état de nombreux avantages découlant de la gestion des risques. Ces avantages sont, dans l’ensemble, reliés aux objectifs de l’organisation et aux pratiques de gestion. L’avantage principal est d’atteindre les objectifs de l’organisme. Les autres avantages rapportés sont une aide accrue à concentrer les énergies sur les priorités opérationnelles, un renforcement du processus de planification et d’aide à la direction relativement à l’innovation. Les avantages reliés à ce processus de gestion incluent : un changement culturel qui favorise une discussion ouverte sur les risques et sur l’information comportant un potentiel de dommages; l’amélioration de la gestion financière et opérationnelle en faisant en sorte que les risques soient adéquatement considérés dans le processus de prise de décisions; et enfin l’accroissement de la responsabilisation de la gestion. kpmg 2 C. Les pratiques exemplaires Le tableau 2 présente une vue d’ensemble des pratiques exemplaires. Le « moyeux », duquel partent toutes les autres pratiques, c’est la philosophie organisationnelle. Toutes les pratiques produisent un mouvement vers l’intégration de la gestion des risques au sein de l’organisation. Les approches, les outils et les techniques constituent le point de contact avec la « route », c’est-à-dire l’orientation et les objectifs de l’organisation. Plusieurs pratiques sont interreliées. Par exemple, les « équipes multidisciplinaires » ont besoin d’une « communication ouverte ». ion mat For En ca dr em mult Equipes idisc iplin aires Tableau 2 Aperçu général des pratiques exemplaires et il n io se ct on e C r di du re ut ship a H er d lea en t Philosophie : chaque personne est gestionnaire Commun ication o uvert de risques et flux d 'informat e ion n tio nce a ic a un rm m rfo m pe Co la de ng La e ag e pl m si Fonction d'ensemble Aide à la vérification interne Objectifs Source : KPMG © KPMG • kpmg Promotion d’une philosophie et d’une culture organisationnelles selon lesquelles tout le monde est gestionnaire de risques : La pratique prédominante d’intégration de la gestion des risques est, de loin, celle qui consiste à édifier une culture organisationnelle dans laquelle tout le monde est gestionnaire de risques. Certaines organisations considèrent que cet aspect était plus important que l’élaboration et la promulgation de politiques et de procédures élaborées. Les employés qui prennent la responsabilité de leurs actions et de leurs résultats deviennent des gestionnaires de risques. Idéalement, les employés ont une compréhension intuitive des buts de l’organisation et ils travaillent dans ce sens. 3 • La haute direction et/ou les organismes de régie se font les champions de la gestion des risques, définissent et communiquent les niveaux de risques acceptables : La responsabilité de diriger la gestion des risques est placée à un niveau élevé dans l’organisation. La haute direction (et/ou des organismes de régie, comme le conseil d’administration) doivent être au courant de la gestion des risques et la comprendre. La haute direction et le conseil diffusent, à l’interne comme à l’externe, le message affirmant l’importance de la gestion du risque. Il est aussi important que les autres gestionnaires, intéressés et employés voient l’implication de ces instances. Certaines organisations ont établi des responsabilités particulières, dans le domaine de la gestion des risques, pour le conseil d’administration et la haute direction. Le conseil d’administration peut offrir des conseils sur la façon d’identifier les principaux risques qui guettent l’entreprise, de s’assurer que les systèmes appropriés soient mis en œuvre pour faire la gestion des risques, de s’assurer de l’intégrité des systèmes de contrôle et de gestion, de définir les responsabilités et d’exercer un suivi des risques les plus importants. La direction est responsable de la coordination de la gestion des risques et de l’identification, de l’évaluation, du contrôle et du rapport des risques. Le conseil d’administration ou la haute direction définissent, élaborent et approuvent une politique en matière de risques. La politique sur les risques établit le niveau de risque qu’une entreprise est prête à accepter. La politique pourrait également énoncer les rôles, les responsabilités et les pratiques relativement à la gestion des risques. kpmg • L’établissement de canaux de communication ouverts : Une communication ouverte est nécessaire au succès de la gestion des risques. Sans communication ouverte, il est impossible à la gestion des risques d’être l’« affaire de chacun ». Les gestionnaires ont besoin de canaux de communication directs vers le haut, vers le bas et à travers leurs unités organisationnelles pour les aider à détecter les risques et à prendre les mesures appropriées. L’information doit se partager. • L’utilisation d’équipes et de comités : Les équipes formelles et informelles constituent un mécanisme auquel, selon les rapports, de nombreuses organisations ont recours pour faire la gestion des risques. La constitution d’équipes fait ressortir la dynamique qui se manifeste entre les disciplines, réunit des attitudes diverses face au risque, et amène une nouvelle façon d’envisager les problèmes et les solutions. Elle est perçue comme une façon d’amener des disciplines diverses à se concentrer sur des objectifs communs. • L’utilisation d’un langage simple et ordinaire pour parler des risques d’affaires : Un langage commun pour traiter des risques d’affaires permet aux gestionnaires de communiquer avec des habitués de la salle de réunion ou de la salle des fournaises en des termes que tous peuvent comprendre. Cet aspect est également important dans les cas où on s’attend à ce que tous et chacun fassent de la gestion de risques. Les concepteurs de ce processus doivent réaliser un équilibre entre la simplicité et l’utilité. 4 kpmg • La mise sur pied d’une fonction de gestion des risques au niveau de l’entreprise : De nombreuses organisations ont mis sur pied un centre responsable de la gestion des risques. Certaines unités sont placées sous un Chef des risques qui définit des moyens uniformes d’aborder la gestion des risques. En tant que champion du risque organisationnel, ce chef a la responsabilité de faire preuve de leadership puis d’établir et de maintenir une sensibilisation aux risques dans l’ensemble de l’organisation. Il pourrait également fixer des objectifs en matière de contrôle des risques, établir un cadre de gestion des risques et concevoir des façons de mesurer les risques. • La communication de la performance de la gestion des risques : Un petit nombre d’organisations font rapport à la direction, aux actionnaires et aux parties prenantes sur les risques et la performance en matière de gestion des risques. Par exemple, dans une organisation, les gestionnaires des unités administratives doivent faire rapport trois fois l’an au sous-comité du conseil d’administration sur les finances et les risques. Les rapports décrivent les dix principaux risques des unités et la façon dont on en fait la gestion. • La vérification interne et/ou le comité de vérification aident à la mise en œuvre de la gestion des risques : La fonction de la vérification interne joue un rôle capital dans la mise en œuvre de la gestion des risques dans l’ensemble d’une organisation. En voici quelques exemples : l’animation d’ateliers d’auto-évaluation; le suivi et les rapports sur la gestion des risques importants; la prestation de conseils; la sensibilisation des gestionnaires à la gestion des risques; l’examen des processus de gestion des risques; et une présence au comité de gestion des risques. • L’encadrement : L’encadrement est offert indirectement (au moyen de documents tels qu’une « trousse d’outils ») ou directement (au moyen de conseils tels que des services internes de consultation). • La formation en matière de gestion des risques : La formation en matière de gestion des risques, placée dans le cadre du programme de formation d’une société, aide à faire l’intégration du risque. Les domaines qui se prêtent à la formation sont, notamment : les évaluations du risque, les pratiques exemplaires, les exigences législatives, la sécurité, les objectifs de gestion des risques, la formation dans le domaine de la sensibilisation aux risques afin de s’assurer que tous les gestionnaires tiennent compte des risques. • Approches, outils et techniques de mise en œuvre de la gestion des risques : Les organisations utilisent différentes approches, outils et techniques afin de gérer les risques. Plusieurs d’entre elles ont élaboré des relevés des risques d’entreprise qui aident l’entreprise à déterminer, comprendre et aborder les risques qui l’affectent. L’utilisation d’un cadre à grande portée peut influencer une discussion sur les sources et les genres de risques, soit, par exemple, les risques externes, économiques, risques de marché, de crédit, risques reliés à l’information et aux ressources humaines, et risques stratégiques. Cette façon d’aborder la question permet d’examiner les risques sous l’angle d’une perspective multidisciplinaire. Les outils de modélisation, tels que l’analyse par scénarios et les modèles prévisionnels, permettent aux gestionnaires 5 de gérer l’incertitude. En utilisant l’analyse par scénarios, les décideurs peuvent voir la gamme des possibilités et également intégrer ces scénarios aux plans d’urgence de l’organisation. Les techniques d’identification et d’évaluation des risques aident les gestionnaires à déterminer les endroits où ils devraient porter leur attention et investir leurs ressources. Ces techniques comprennent les ateliers, les questionnaires, l’auto-évaluation, le balayage des risques et les gabarits d’évaluation. L’Internet et l’Intranet servent de plus en plus à : promouvoir la sensibilisation aux risques et la gestion des risques; obtenir de l’information sur les risques qui existent dans certains domaines précis; communiquer avec les employés; partager l’information sur la gestion des risques à travers les agences et communiquer les objectifs de gestion des risques. D. Les observations À la suite de notre analyse des pratiques exemplaires, voici nos observations concernant la gestion des risques : kpmg • La gestion des risques, tout comme la fonction de contrôleur, est un état d’esprit : Les gestionnaires devraient avoir conscience de la gestion des risques et intégrer celle-ci à leurs autres pratiques de gestion. Les processus trop bureaucratiques et trop complexes vont noyer la gestion des risques sous un flot d’éléments non pertinents. Les gestionnaires ont besoin de flexibilité pour utiliser des techniques qui sont pertinentes pour eux-mêmes et pour leurs opérations. Cependant, la technique doit également permettre la synthèse des données et la comparaison des résultats des unités opérationnelles au niveau de l’entreprise dans son ensemble. Il faut que des spécialistes soient disponibles pour prêter assistance aux gestionnaires. • La gestion des risques et les fonctions éthiques de l’entreprise devraient fonctionner de pair : Les renseignements que nous avons recueillis indiquent que les programmes de gestion des risques et les programmes d’ordre éthique sont étroitement apparentés. Par exemple, un code d’éthique écrit est un mécanisme de communication des valeurs d’une organisation et des risques y afférents. Un code d’éthique destiné aux employés du gouvernement est perçu comme un moyen de sensibiliser les employés aux enjeux d’éthique ou aux risques affectant les valeurs fondamentales de l’entité. • La gestion des risques est un processus dynamique : Au fur et à mesure que changent les besoins et les risques opérationnels, de nouveaux processus ou outils de gestion des risques sont nécessaires. La performance des organisations en matière de gestion des risques doit également faire l’objet d’une surveillance et d’une amélioration continues. Les évaluations des risques ne sont pas des opérations strictement ponctuelles. 6 E. • De nombreux spécialistes fonctionnels joueront un rôle dans la gestion des risques : L’examen que nous avons effectué des pratiques exemplaires indique que de nombreux spécialistes fonctionnels auront un rôle à jouer dans la gestion des risques. Ces spécialistes sont, notamment, les spécialistes en technologie de l’information, ceux des ressources humaines, des communications et des finances. • La gestion des risques doit être appuyée par des ressources adéquates : La haute direction doit s’engager à soutenir cette initiative en y consacrant les ressources nécessaires. Il faudra investir dans les domaines suivants : la formation, le développement des processus et des techniques, les systèmes de gestion et les groupes de spécialistes. Conclusions Nous concluons que les pratiques exemplaires sont généralement applicables dans le contexte du gouvernement fédéral. Le tableau 3 présente l’application des critères d’évaluation aux pratiques exemplaires. Les pratiques sont compatibles avec l’orientation actuelle de la gestion des risques au sein du gouvernement. La plupart de ces pratiques contribueront à l’amélioration de la prestation du service. En faisant la gestion des risques, les gestionnaires ont plus de chances d’atteindre leurs objectifs. Par conséquent, ils auraient de meilleures possibilités d’atteindre les objectifs et les cibles de prestation de services. Des pratiques telles que la philosophie organisationnelle, les canaux de communication ouverts, les équipes et les comités, l’encadrement et la formation contribuent à un environnement de travail opportun. Ces pratiques favorisent aussi l’innovation. Ces pratiques facilitent effectivement la prise de décisions et la planification de la direction, mais le lien avec une saine allocation des ressources est moins fort. Toutefois, les outils permettant de représenter, de modéliser, d’identifier et d’évaluer les risques aident à concentrer les ressources sur les risques les plus menaçants et, de cette façon, les ressources sont allouées dans les domaines les plus critiques. Il peut se dresser d’importants obstacles à la mise en œuvre des pratiques exemplaires qui s’avèrent très différentes du statu quo. La plupart des ministères et organismes fédéraux fonctionnent avec une structure organisationnelle traditionnelle comportant une hiérarchie définie des rapports et de la gestion. Par conséquent, la mise en place d’une philosophie et d’une culture voulant faire de tout le monde un gestionnaire des risques peut être une cible hors d’atteinte. Parallèlement, les milieux actuels ne font pas bon accueil aux mauvaises nouvelles ou aux canaux de communication ouverts. Les ministères et organismes fédéraux auront besoin d’adopter des pratiques qui sont claires pour l’organisation et reliées aux avantages recherchés par cette organisation. Il existe différentes façons d’implanter ces pratiques dans les organisations. kpmg 7 Critères d'évaluation Pratiques exemplaires Philosophie l'effet kpmg que tous et Internet/Intranet chacun organisationnelle à Leadership de la haute direction/du Communication de la performance Assistance de/à la vérification Amé li p. ex ore la pr e ., l'e ffica station d cité, l'effic u servic e; ienc e Amé li ses ore l'acc serv ices ès au go uver nem ent e tà Facil ite la direc prise tion de d écisio ns d e la Fait la ress promo ourc ti es on d'un e sa ine a lloca Facil tion e des ordin à comp rend aire, re et conv à uti ivial li s pour l'utili er (lang a sate Aide ur) ge le conte s gestio nnair xte e e t les impli s à comp catio ns d re ndre le es ri squ e Mon s tre la in tére com mun ssés ic a et le ur pa tion ave c rticip ation les Facil it gesti e les mo on d uvem u ch ange ents cu lture men ls et t la S'ap puie sur le exista s qui s ntes et le connais ont d s s ans leço ns ances l'org anis apprises ation Tien t com pte d es c oûts d'op portu Poss nité ède un c régie adre clair d et se e prêta respons a nt à l'app bilité et d licati Fait on e une u de v érific tilisation ation effic et d'é ace d e valu ation s ressou rces Étab li l'org t des lie anis ation ns horizo ntau x da ns S'intè proc gre b ien essu au c a s et aux dre de g pra ti ques estion, a u d éjà en p x lace Susc e de la ptible de prote s ction 'applique r des bien largeme s et des nt, au-d e pers onne là Stim s ule u n mil ieu d e tra vail fa vora ble Souti en l'in nova tion Tableau 3 Évaluation des pratiques sont gestionnaires de risques Canaux de communication ouverts Équipes et comités Langage simple, ordinaire Fonction de gestion des risques de opérationnels Encadrement Formation Cartographie des risques Outils de modélisation Techniques d'identification et conseil d'administration l'entreprise interne d'évaluation 8 I Cadre de l’étude Ce chapitre résume le but de l’étude et les objectifs qu’elle visait. Nous fixons le contexte de l’étude et décrivons l’approche suivie. Enfin, nous rendons compte de l’échantillon ayant fait l’objet de l’étude. A. L’objet de l’étude et les objectifs visés Cette section décrit l’objet de l’étude et les objectifs qu’elle visait sur la question des pratiques exemplaires en matière de gestion des risques qui ont cours, au niveau international, au sein des organismes du secteur public et du secteur privé. 1. Objet de l’étude Le gouvernement fédéral canadien poursuit la mise en œuvre des recommandations du rapport du Groupe de travail indépendant chargé de la modernisation de la fonction de contrôleur dans l’administration fédérale du Canada. Ce rapport avait relevé quatre éléments essentiels de la fonction moderne de contrôleur : • l’information sur la performance financière et non financière, historique et prospective, • la gestion des risques, • les systèmes de contrôle, • l’éthique, les pratiques d’éthique et un système de valeurs. La création et le maintien d’un environnement mature de gestion des risques constituaient une des composantes névralgiques de l’approche recommandée par le comité. Pour promouvoir un tel environnement, le Secrétariat du Conseil du Trésor (SCT), de concert avec des ministères fédéraux et d’autres parties intéressées, est en train d’élaborer une façon d’aborder la gestion des risques qui puisse aider les employés à mieux comprendre, gérer et communiquer en matière de risques et de choix associés, c’est-à-dire, une approche moderne et intégrée. Le résultat de ces travaux devrait prendre la forme d’une politique générale qui établit le contexte de la gestion des risques au niveau fédéral, ainsi que l’encadrement, les outils, les techniques et la formation, à l’usage des ministères fédéraux. kpmg 9 Cette étude est l’une des quatre études simultanées qui contribuent à la recherche documentaire sur les pratiques exemplaires dans le domaine de la gestion des risques. Elle examine le secteur privé et le secteur public au niveau international. 2. Objectifs et portée de l’étude Le projet avait pour objectif de relever les pratiques exemplaires en matière de gestion des risques, c’est-à-dire les stratégies, les approches, les méthodes, les outils et les techniques utilisés, et la façon dont on pourrait les utiliser au sein du gouvernement fédéral canadien. L’étude est menée simultanément en deux parties, par deux firmes différentes. La firme KPMG a été retenue pour relever les pratiques exemplaires du secteur privé et du secteur public au niveau international. Suivant les paramètres de l’étude, nous avons recueilli des renseignements sur les pratiques exemplaires en Europe de l’Ouest (Royaume-Uni, France, Allemagne, Suisse), en Australie, en Nouvelle-Zélande et aux États-Unis. Nous avons également recueilli des renseignements provenant d’organisations de l’Afrique du Sud et de Taïwan. Notre description des travaux apparaît à l’annexe A. B. Le contexte et l’approche Dans cette section, nous décrivons le contexte et l’approche de l’étude. Il est important de comprendre ces deux dimensions parce qu’elles ont eu une influence sur les renseignements que nous avons recueillis au cours de l’étude et que nous discutons ici. 1. Le contexte Comme il est indiqué plus haut, cette étude sur les pratiques internationales exemplaires a été menée parallèlement à une autre étude sur les pratiques exemplaires au sein des organismes canadiens du secteur privé et du secteur public, étude effectuée par une autre firme de conseillers. Les paramètres de nos études respectives exigeaient de nous une présentation coordonnée du sommaire de nos conclusions et de nos recommandations à notre chargé de projets. C’est ainsi que, depuis le tout début du projet, nos équipes ont travaillé en étroite collaboration pour s’assurer d’avoir une même compréhension des exigences de l’étude, d’être en mesure de réaliser une intégration des renseignements recueillis et de présenter un sommaire coordonné. Par exemple, nous avons défini la « pratique exemplaire » et les éléments de la gestion des risques qui avaient un rapport avec l’étude. kpmg 10 Il est important de noter que l’étude ne fait pas l’inventaire de la gamme complète des pratiques de gestion des risques. • En premier lieu, l’étude porte sur les pratiques jugées « exemplaires », par comparaison à des « bonnes » pratiques. Nous avons défini les « pratiques exemplaires » comme une stratégie, une approche, une méthode, un outil ou une technique particulièrement efficaces pour aider une organisation à atteindre ses objectifs en matière de gestion des risques. Est également pratique exemplaire celle que l’on prévoit avoir une valeur pour d’autres organisations. Par exemple, une pratique qui a été particulièrement utile dans l’établissement d’un encadrement aurait une valeur pour tout autre organisation qui a pour responsabilité de faire de l’encadrement. • En second lieu, l’étude met l’accent sur les pratiques de gestion des risques qui ont été intégrées à d’autres pratiques de gestion, comme celles de la planification et de la prise de décisions. Elle étudie également les stratégies de planification, de développement, de mise en œuvre et de suivi de la gestion des risques. Plus précisément, nous avons relevé les pratiques exemplaires dans trois secteurs : – l’intégration de la gestion des risques aux autres pratiques de gestion, – les outils d’intégration de la gestion des risques, – les principales disciplines et fonctions qui utilisent de la gestion des risques. Nous avons développé davantage sur ces secteurs dans notre guide d’entrevues. Il s’ensuit donc que, même s’il existe de nombreuses autres « bonnes » pratiques dans une organisation, nous n’en faisons pas rapport. Nous ne rendons pas non plus compte d’un processus complet ou d’un système de gestion des risques. kpmg 11 2. L’approche Le tableau I-1 illustre l’approche que nous avons utilisée pour mener l’étude. Tableau I-1 Approche Recherche documentaire préliminaire Déterminer les organisations acceptables Communiquer avec les organisations pour connaître leur intérêt à participer Obtenir des renseignements au moyen d'entrevues Analyse et rapport Contacts avec les bureaux de la KPMG de l'étranger Entrevues par téléphone Entrevues en personne Recherche de sélection Guide d'entrevues Lignes directrices Recherche documentaire Objectifs de l'étude Nous avons abordé la question de la façon suivante : • kpmg Recherche documentaire et contacts avec les bureaux de la KPMG à l’étranger : Au début du projet, nous avons consulté la documentation pertinente pour préparer une liste préliminaire des organisations étrangères qui étaient reconnus comme de bons praticiens de la gestion des risques. Nous avons eu recours à notre réseau international de la KPMG pour déterminer quels étaient ces organisations (grâce à nos bureaux locaux), pour faire les présentations, nous donner les noms de personnes qui peuvent nous ouvrir les portes. Ces bureaux possèdent une vaste connaissance des organisations du secteur public et du secteur privé de leur marché. C’est ainsi qu’ils peuvent être au courant des organisations qui possèdent de bonnes pratiques de gestion des risques. Nous avons ciblé des organisations de l’Europe de l’Ouest, de l’Australie, de la Nouvelle-Zélande et des États-Unis. Nous avons également retenu des organisations situées en Asie. En tout et pour tout, ce fut là la partie la plus difficile de l’étude parce qu’il nous a fallu communiquer par-delà des 12 fuseaux horaires et faire face au problème des absences des bureaux. Nous avons continué notre recherche documentaire à l’extérieur du Canada, pour recueillir les renseignements sur les pratiques exemplaires. Là encore, nous avons utilisé les ressources de nos bureaux de la KPMG situés à l’étranger pour déterminer les publications qui pourraient nous intéresser et nous aider à les obtenir. L’annexe B est la bibliographie des publications examinées pour la présente étude. Nous avons examiné 228 publications provenant de l’extérieur du Canada. 3. • Communiquer avec les organisations pour connaître leur intérêt à participer à notre étude : Tout au long de ces étapes initiales du projet, nous avons respecté les demandes de nos collègues internationaux des bureaux de la KPMG à l’étranger. Par exemple, certains collègues préféraient communiquer directement avec les organisations pour obtenir leur participation. Certains ont également demandé à faire les entrevues en personne, en notre nom. Dans tous les autres cas, nous avons communiqué directement avec les organisations et fixé des entrevues par téléphone. • Obtenir des renseignements au moyen d’entrevues : Pour ce qui est des entrevues que nous avons faites à l’extérieur du Canada, nous avons fait parvenir à l’avance à nos interlocuteurs la documentation sur le contexte général de l’étude et le Guide d’entrevues qui apparaît à l’annexe C. Pour nous assurer que les entrevues réalisées par nos collègues étrangers correspondaient bien à celles que nous faisions par téléphone depuis le Canada, nous avons fourni à ces collègues des documents-guides, ainsi que la documentation d’appui et le guide d’entrevues qu’ils devaient remettre aux contacts avant la rencontre. • Analyse et rapport : Nous avons fait une synthèse de nos entrevues et de notre recherche documentaire approfondie pour relever les pratiques exemplaires et les leçons apprises. Nous avons également effectué une évaluation préliminaire pour déterminer dans quelle mesure les pratiques exemplaires sont applicables au gouvernement fédéral canadien. Applicabilité des pratiques exemplaires au secteur public canadien Le cadre de référence de notre étude nous demandait de documenter les pratiques exemplaires relevées et de faire des recommandations sur leur utilité et leur applicabilité dans le contexte du gouvernement fédéral canadien. De concert avec l’autre firme, nous avons préparé une liste de critères permettant d’évaluer l’applicabilité des pratiques exemplaires au gouvernement fédéral canadien. L’ensemble final des critères, contenu à l’annexe D, intègre les contributions d’un comité consultatif interne composé de représentants de ministères. Dans la mesure du possible, nous avons évalué l’applicabilité des pratiques en fonction de ces critères. kpmg 13 4. Échantillon de l’étude Notre échantillon d’étude s’est composé comme suit : • des entrevues auprès de dix-huit organisations, • un examen de 228 publications pertinentes au sujet. Nous sommes donc sûrs de la base sur laquelle nous nous appuyons pour déterminer les pratiques exemplaires. Les organisations auprès desquelles nous avons tenu des entrevues représentent l’Australie, l’Europe de l’Ouest (France, Allemagne, Suède, Suisse, Royaume-Uni), la Nouvelle-Zélande, l’Afrique du Sud, Taïwan et les États-Unis. Le tableau I-2(a) montre la distribution selon le lieu. L’échantillon se compose surtout d’organisations de l’Europe de l’Ouest, de l’Australie et de la Nouvelle-Zélande. Tableau I-2(a) Distribution des organisations selon le lieu Taiwan 1 Afrique du Sud 1 6% 6% États-Unis 2 38% 11% Europe de l'Ouest 7 22% Australie 4 17 % Nouvelle-Zélande 3 kpmg 14 Douze des organisations proviennent du secteur privé et cinq du secteur public. Le tableau I-2(b) montre la distribution des organisations selon l’industrie. Les organisations du gouvernement fédéral représentent 28 p. 100 de l’échantillon (cinq organisations). Le reste représente une variété d’industries : industries de fabrication, mines et ressources naturelles, services financiers, produits pharmaceutiques, technologie et communications, et enfin, services publics. Nous sommes satisfaits d’avoir réussi à obtenir un équilibre solide de représentation géographique et industrielle dans le temps imparti pour l’étude. Tableau I-2(b) Distribution des organisations selon l’industrie Services publics 1 Ressources naturelles 2 6% Technologie et communications 3 11% 17% Soins de santé 1 6% 32% Gouvernement 6 22% 6% Fabrication 4 Services financiers 1 Nous avons trouvé, dans nos entrevues, que ces organisations du secteur public et du secteur privé faisaient face à des problématiques semblables à celles du secteur public fédéral au Canada : environnements de contraintes, pressions pour l’innovation et cultures organisationnelles en changement. Notre recherche documentaire approfondie nous a renseignés sur les pratiques exemplaires ayant cours dans de nombreuses autres organisations. Une pratique rapportée dans une publication est une « pratique exemplaire » selon la définition utilisée dans la présente étude. Il est clair que la pratique est considérée efficace et avoir de la valeur pour d’autres organisations si elle fait l’objet d’une discussion publique. kpmg 15 II Pourquoi implanter la gestion des risques? Ce chapitre donne un aperçu des avantages découlant de l’implantation de la gestion des risques. Nous discutons aussi, brièvement, de l’état de l’implantation dans les organisations. A. Les avantages Il existe certainement des arguments solides en faveur de l’implantation de la gestion des risques. Voici, selon les rapports, une liste d’avantages découlant de cette pratique : kpmg • Elle permet d’atteindre les objectifs de l’organisation. • Elle aide à concentrer les énergies sur les priorités de l’entreprise. En plus, elle permet aux gestionnaires de concentrer leurs ressources sur les objectifs primaires. Les ressources ne sont pas réorientées pour répondre à des problèmes. Cette pratique a pour résultat d’accroître la confiance des actionnaires et des ministres. Prendre des mesures pour prévenir et diminuer les pertes, plutôt que de ramasser les pots cassés après coup, constitue une stratégie efficace de gestion des risques. • Elle favorise un changement culturel ouvert à la discussion des risques et de l’information offrant un potentiel de dommages. La nouvelle culture tolère les fautes, mais elle n’accepte pas qu’on cache les erreurs. Elle met également l’accent sur les leçons à tirer de ses fautes. • Elle contribue à l’amélioration de la gestion financière et opérationnelle en faisant en sorte que les risques soient adéquatement considérés dans le processus de prise de décisions. L’amélioration de la gestion opérationnelle aura pour résultat une prestation de services plus efficace et plus efficiente. En prévoyant les problèmes, les gestionnaires peuvent avoir de meilleures chances de réagir et de prendre les mesures nécessaires. L’organisation sera capable de livrer la marchandise en fonction des services qu’elle promet. • Elle renforce le processus de planification et la façon d’aider la direction à déceler les perspectives profitables. 16 • Elle accroît la responsabilisation de la gestion, à court terme. À plus long terme, elle accroît les capacités de gestion d’ensemble. • Elle fait accroître la valeur (commentaire du secteur privé). B. État de la mise en œuvre de la gestion des risques Cette section traite brièvement de l’état de la mise en œuvre de la gestion des risques, y compris sa portée et sa définition. 1. La portée de la gestion des risques Toutes les organisations que nous avons interviewées ont toujours pratiqué une forme quelconque de gestion des risques; par exemple, la gestion des risques dans des disciplines particulières comme les finances. Certaines de ces organisations ajoutaient plus de substance à leurs processus en place. Environ un tiers d’entre elles s’intéressaient maintenant à implanter la gestion des risques pour traiter des risques d’affaires ou des risques organisationnels. Les pratiques tirées de la recherche documentaire portaient sur l’implantation de la gestion des risques d’affaires et des risques disciplinaires. L’intérêt envers l’implantation de la gestion des risques va en augmentant. 2. La définition des risques Dans la plupart des cas, les risques sont perçus comme étant toute chose ou tout événement qui pourrait empêcher une organisation de réaliser ses objectifs. Il s’ensuit donc, pour ces organisations, que la gestion des risques n’a rien à voir avec le fait d’être « hostile au risque ». La gestion des risques ne vise pas à éviter les risques. Elle se concentre sur l’identification, l’évaluation, le contrôle et la « maîtrise » des risques. La gestion des risques veut également dire qu’on tire profit des perspectives profitables et qu’on prend des risques sur la base d’une décision informée et d’une analyse des résultats. kpmg 17 III Les pratiques exemplaires Ce chapitre rend compte des pratiques exemplaires que nous avons relevées dans notre recherche documentaire et nos entrevues. Nous les présentons en deux catégories : l’intégration de la gestion des risques aux pratiques de gestion, et les approches, outils et techniques de la gestion des risques. Le tableau III-1 présente une vue d’ensemble des pratiques exemplaires. Le « moyeux », d’où découlent toutes les autres pratiques, c’est la philosophie organisationnelle. Prises comme un tout, toutes les pratiques produisent un mouvement vers l’intégration de la gestion des risques au sein de l’organisation. Les outils et les techniques constituent le point de contact avec la « route », c’est-à-dire l’orientation et les objectifs de l’organisation. ion mat For En ca dr em mult Equipes idisc iplin aires Tableau III-1 Aperçu général des pratiques exemplaires et il n io se ct on e C r di du re ut ship a H er d lea en t Philosophie : chaque personne est gestionnaire Commun ication o uvert de risques et flux d 'informat e ion n tio nce a ic a un rm m rfo m pe Co la de ng La e ag e pl m si Fonction d'ensemble Aide à la vérification interne Objectifs Source : KPMG © KPMG kpmg 18 A. L’intégration de la gestion des risques aux autres pratiques de gestion Cette section rend compte des pratiques exemplaires d’intégration de la gestion des risques aux pratiques de gestion. 1. Promotion d’une philosophie et d’une culture organisationnelles selon lesquelles tout le monde est gestionnaire de risques La pratique prédominante d’intégration de la gestion des risques est, de loin, celle qui consiste à édifier une culture organisationnelle dans laquelle tout le monde est gestionnaire de risques. Certaines organisations ont dit que cet aspect était plus important que l’élaboration et la promulgation de politiques et procédures élaborées. La gestion des risques fait partie intégrante de la philosophie de gestion. Les employés qui prennent la responsabilité de leurs actions et de leurs résultats deviennent des gestionnaires de risques. Idéalement, les employés ont une compréhension intuitive des buts de l’organisation et ils travaillent dans ce sens. Une organisation a noté que la culture avait pris naissance dans les rangs des employés, pour éventuellement se propager jusqu’à l’étage de la haute direction. Voici quelques exemples de cette pratique : • L’installation de miroirs dans les salles de repos, qui rappellent aux employés qu’ils « sont en face de la personne responsable de la sécurité ». • L’injection, dans la culture, d’un « sens d’excellence » qui encourage les gens à chercher des solutions aux problèmes et à parler honnêtement des points où ils ont besoin d’aide. • La participation de tout le personnel aux activités de gestion des risques au moyen de comités et de réunions tenues à différents lieux de travail. Il arrive parfois que la culture doive être développée. Voici quelques pratiques dans ce domaine : kpmg • Mise sur pied du département de la gestion des risques comme centre d’excellence pour répandre les procédures et les pratiques de la gestion des risques à la grandeur de l’organisation. Le but visé est d’encourager les employés à être chacun son gestionnaire des risques, le département de la gestion des risques jouant alors le rôle de soutien. • Recrutement en fonction de l’attitude au lieu de l’expérience, pour être en mesure d’offrir un service hors pair à la clientèle. Cette mesure aide à la gestion des risques reliés à la clientèle. • Mise en vigueur de pénalités. Un gouvernement a instauré un délit de « meurtre institutionnel » conçu pour punir les directeurs de sociétés qui auraient négligé de corriger des pratiques dangereuses qui sont la cause de pertes de vies. 19 • Mise sur pied d’initiatives de reconnaissance et de récompenses qui encouragent les employés à faire la gestion des risques. • Mise en vigueur de programmes de rémunération qui découragent l’excès de prise de risques. Par exemple, certains courtiers en valeurs calculent maintenant la rémunération des courtiers selon une formule qui compare leurs profits à ceux d’une norme de référence qui reflète les rendements du marché dans son ensemble. Dans une autre organisation, on se sert d’un « indice de viabilité » pour calculer les boni de la haute direction. L’indice est calculé en prenant le coût de l’électricité, les résultats atteints en matière d’action positive et la performance technique de l’usine, des lignes de transmission et du réseau. • L’évaluation du rendement des employés en matière de gestion des risques, au moyen du processus d’évaluation du rendement. • Définition de la gestion des risques comme faisant partie des exigences applicables à tous les postes de gestion. • Renforcement de l’éthique et des valeurs soit en publiant un code d’éthique, soient en communiquant la teneur au moyen de cours, de réunions ou d’ateliers. L’avantage d’une culture de gestion des risques, selon les rapports, est que les organisations peuvent changer plus rapidement et peuvent faire la gestion des risques de façon plus efficace. 2. La haute direction et/ou les organismes de régie se font les champions de la gestion des risques, définissent et communiquent les niveaux de risques acceptables La responsabilité de direction de la gestion des risques est placée à un niveau élevé dans l’organisation. C’est également un outil permettant d’intégrer la gestion des risques à la culture. Le soutien de la haute direction (et/ou des organismes de régie, comme le conseil d’administration) est essentiel. Au point de départ, la haute direction et le conseil d’administration doivent être au courant de la gestion des risques et la comprendre. Il existe de nombreuses façons, pour les hauts dirigeants, de prendre part à la gestion des risques. Mais, quelle que soit la façon, le rôle de la haute direction et du conseil d’administration dans la diffusion, à l’interne comme à l’externe, du message affirmant l’importance de la gestion des risques, est à la base de tout. Il est aussi important que les autres gestionnaires, intéressés et employés voient la participation de ces instances. La gestion des risques n’est pas qu’un article de discussion pour comités de gestion siégeant à huis clos. kpmg 20 Voici quelques façons utilisées par la haute direction et les conseils d’administration pour mener des initiatives de gestion des risques : • Le groupe de gestion des risques se place sous l’égide de la haute direction pour s’assurer que le message de gestion des risques soit adopté par ceux qui relèvent directement de celle-ci. • Le chef de la direction a assisté à toutes les réunions de mise en œuvre des processus de gestion des risques. Le chef des finances de l’organisation fut le premier haut dirigeant à élaborer un plan d’action pour un point émanant d’un atelier sur les risques. • La haute direction consacre une journée de son processus de planification stratégique annuelle pour définir et quantifier les risques à un niveau stratégique. • Les hauts dirigeants siègent à un comité de contrôle interne et sont chargés de doter leurs chefs de départements de mécanismes de contrôle interne appropriés. • On a demandé aux membres du conseil d’administration de penser à un risque qui les tenait en éveil la nuit. Puis, on les a chargés de superviser la gestion de ce risque. • Un comité de supervision de la sécurité, organisme auxiliaire du conseil principal de direction, produit des rapports mensuels de performance en matière de santé, de sécurité et d’environnement à l’intention du conseil d’administration. • Le conseil autorise les nouveaux dossiers commerciaux, lesquels doivent comprendre une analyse des risques. • Un conseil (externe) a fixé les paramètres dont se sert l’équipe d’évaluation des risques. Certaines organisations rapportent qu’elles ont établi des responsabilités particulières, dans le domaine de la gestion des risques, à l’intention du conseil d’administration et la haute direction. Le conseil d’administration peut offrir des conseils sur la façon d’identifier les principaux risques qui guettent l’entreprise, de s’assurer que les systèmes appropriés soient mis en œuvre pour faire la gestion des risques, de s’assurer de l’intégrité des systèmes de contrôle et de gestion, de définir les responsabilités et d’exercer un suivi des risques les plus importants. La direction est responsable de la coordination de la gestion des risques et de l’identification, de l’évaluation, du contrôle et du rapport des risques. Le plus important, c’est que le conseil d’administration, ou la haute direction définisse, élabore et approuve une politique en matière de risques. kpmg 21 Le message principal de la politique sur les risques, c’est le niveau de risques qu’une entreprise est prête à accepter. La politique pourrait également énoncer les rôles, les responsabilités et les pratiques relativement à la gestion des risques. Les gestionnaires ont besoin d’une direction claire quant à la tolérance aux risques. Cette direction doit venir de l’organisme de régie ou de la haute direction. Les ateliers constituent une autre façon de communiquer les niveaux de tolérances. 3. L’établissement de canaux de communication ouverts Les pratiques rapportées démontrent qu’une communication ouverte est nécessaire au succès de la gestion des risques. Par exemple, les équipes se fient à la communication pour gérer les risques et atteindre leurs objectifs. Également, beaucoup rapportent que la communication ouverte est une façon d’intégrer facilement la gestion des risques aux processus en vigueur. Si la communication est inexistante, il est impossible à la gestion des risques d’être « l’affaire de chacun ». Les gestionnaires ont besoin de canaux de communication directs vers le haut, vers le bas et à travers leurs unités organisationnelles pour les aider à détecter les risques et à prendre les mesures appropriées. De nouvelles structures, fondées sur une information plus ouverte, sont en train de remplacer les structures traditionnelles de l’organisation et leurs relations hiérarchiques définies. L’information doit se partager. Voici des exemples de bonnes communications ouvertes : kpmg • Utilisation de l’Intranet pour communiquer les efforts déployés par l’organisation et faire participer tous les employés à la gestion des risques. L’Intranet sert également à communiquer les objectifs fixés. • Nomination de gestionnaires dont la seule tâche consiste à communiquer aux employés les risques auxquels ils sont exposés. • La tenue de réunions trimestrielles d’un comité de gestion des risques pour examiner et discuter à quel point l’organisation est exposée et les mesures de protection qui sont prises. • L’utilisation de la fonction gestion des risques pour communiquer les objectifs poursuivis. • La promotion d’une sensibilisation aux questions de gestion des risques au moyen de rapports mensuels, trimestriels et annuels. Les rapports mettent l’accent sur les secteurs qui ont besoin de l’aide du groupe de gestion des risques. • Des présentations faites à la haute direction et/ou à l’organisme de régie sur le processus de gestion des risques. • Encouragement à ce que les employés discutent des erreurs commises. 22 4. L’utilisation d’équipes et de comités Les équipes formelles et informelles constituent un mécanisme auquel, selon les rapports, de nombreuses organisations ont recours pour faire la gestion des risques. Les équipes ont été mentionnées dans nombre de situations, comme la gestion des risques financiers, les projets de construction, l’indemnisation des travailleurs, la santé et la sécurité, l’assurance, la gestion des contrats, les transports, la gestion de trésorerie, la gestion de projets, le développement de nouveaux produits. La constitution d’équipes fait ressortir la dynamique qui se manifeste entre les disciplines, réunit des attitudes diverses face au risque, et amène une nouvelle façon de penser les problèmes, les bonnes perspectives, les stratégies et les solutions. Elle est perçue comme une façon d’amener des disciplines diverses à se concentrer sur des objectifs communs, dont l’un est celui qui vise à minimiser les risques. Les équipes sont source d’équilibre. Également, les équipes répandent la préoccupation envers la gestion des risques comme un pollen qui alimente toutes les parties de l’organisation, plutôt que rester la préoccupation d’une seule fonction ou discipline. Alors que la pratique consistant à former des équipes est considérée être une « pratique exemplaire », il n’existe pas de pratique commune concernant la composition de l’équipe. La composition d’équipes formelles de gestion des risques se présentait sous les formes suivantes : kpmg • Professionnels de la gestion hiérarchique, de la trésorerie, de la vérification, de la conformité, des relations publiques, des ressources humaines et de la gestion des risques. • Équipes de gestion des risques particuliers à chacun des secteurs suivants : contrôle de la gestion des contrats, santé et sécurité, assurance, transports et gestion de la trésorerie. • Équipes pluridisciplinaires pour le développement de projets et de produits. • Dotation des équipes de gestion de certains individus possédant diverses attitudes face au risque. • Un comité interdisciplinaire de gestion des risques touchant toutes les fonctions, composé de représentants des unités opérationnelles et du trésor ou des finances, des ressources humaines et de la gestion des risques. • Un groupe de direction de la stratégie de gestion au sein duquel toutes les principales fonctions sont représentées. • Un comité de gestion des risques composé des chefs de divisions. 23 Dans d’autres cas, on encourage diverses disciplines à travailler ensemble, comme, par exemple : • Le groupe de vérification, le chef des finances, la haute direction et le trésor. • Un département de réclamations d’indemnisation des travailleurs, un département médical, un département d’éthique de la société, de la sécurité, des ressources humaines et du département juridique assumant conjointement des responsabilités en matière de gestion des risques. • Un coordonateur des réclamations travaillant en étroit rapport avec le département des ressources humaines. • Une équipe de spécialistes en contrôle des pertes et de responsables des réclamations disponibles pendant les projets de construction. • Une équipe de projet composée de la vérification interne, des finances et du contrôle, et un comptable agréé qui joue le rôle de soutien à l’auto-évaluation des risques effectuée par les gestionnaires. Les équipes offrent une perspective plus large et examinent les risques et les conséquences sous divers angles. Pour pouvoir fonctionner, les équipes ont besoin d’une communication ouverte. 5. L’utilisation d’un langage simple, ordinaire, pour parler des risques d’affaires Pour intégrer la gestion des risques aux autres processus de gestion, il faut que la terminologie soit facile à comprendre pour les gestionnaires. Les approches devraient également être simples à comprendre et à utiliser. En élaborant un langage commun pour traiter des risques d’affaires, les gestionnaires peuvent communiquer avec des habitués de la salle de réunion ou de la salle des fournaises en des termes que tous peuvent comprendre. Cet aspect est également important dans les cas où on s’attend à ce que tous et chacun fassent de la gestion de risques. Les façons d’aborder la gestion des risques et les processus doivent être simples pour être acceptées par les responsables de la gestion des affaires. Des organisations nous ont rapporté que des outils complexes, intellectuels s’étaient avérés infructueux. D’autres nous ont mis en garde à l’effet que les approches doivent aussi avoir la flexibilité suffisante pour rester intelligibles à travers les unités opérationnelles. Même si le processus doit rester simple et utile à travers ces unités, il ne faudrait pas qu’il soit trop simplifié. Les concepteurs de ce processus doivent réaliser un équilibre entre la simplicité et l’utilité. kpmg 24 6. La mise sur pied d’une fonction de gestion des risques au niveau de l’entreprise De nombreuses organisations ont mis sur pied un centre de responsabilités destiné à la gestion des risques. Certaines unités sont placées sous un Chef des risques, qui définit des moyens uniformes d’aborder la gestion des risques. En tant que champion du risque organisationnel, ce chef a la responsabilité du leadership, d’établir et de maintenir une sensibilisation aux risques dans l’ensemble de l’organisation. Il pourrait également fixer des objectifs en matière de contrôle des risques, établir un cadre de gestion des risques et concevoir des façons de mesurer les risques. Ces gestionnaires des risques de haut niveau doivent posséder de fortes capacités de persuasion. Le gestionnaire des risques doit traiter des risques d’affaires et non seulement des risques assurables. Ainsi, son importance va en s’accentuant au sein de l’organisation. 7. La communication de la performance de la gestion des risques Un petit nombre d’organisations font rapport à la direction, aux actionnaires et aux parties prenantes sur les risques et la performance en matière de gestion des risques. En voici quelques modèles : 8. • Le département du contrôle interne présente chaque année deux rapports au président. Ces rapports communiquent les résultats du suivi des risques. Chaque division opérationnelle doit préparer un rapport annuel sur les résultats de son suivi à l’intention du département de contrôle interne. • Les gestionnaires des unités administratives doivent faire rapport trois fois l’an au sous-comité du conseil d’administration sur les finances et les risques. Les rapports décrivent les dix principaux risques des unités et la façon dont on en fait la gestion. • Les gérants offrent des avis au conseil d’administration sur les risques de leurs entreprises, et les principaux actionnaires et parties prenantes ont leur mot à dire. La vérification interne et/ou le comité de vérification aident à la mise en œuvre de la gestion des risques La fonction de la vérification interne joue un rôle capital dans la mise en œuvre de la gestion des risques dans l’ensemble d’une organisation. En voici quelques exemples : kpmg • l’animation d’ateliers d’auto-évaluation, • le suivi et les rapports sur la gestion des risques importants, • la prestation de conseils, • la sensibilisation des gestionnaires à la gestion des risques, 25 9. • l’identification de risques critiques et la préparation de « mandats de surveillance » à leur égard, • le suivi de la conformité dans des domaines d’importance capitale, comme les exigences législatives, • l’examen des processus de gestion des risques, • la communication des objectifs de gestion des risques, • une présence au comité de gestion des risques. L’encadrement L’encadrement est une pratique importante permettant l’intégration de la gestion des risques. L’encadrement est offert indirectement (au moyen de documents) ou directement (par des conseils). En voici quelques exemples : • Un document d’orientation à l’intention des ministères d’un gouvernement qui préparent des projets de construction dans le secteur public. Les « Exigences essentielles de l’acquisition de services de construction » intègrent la gestion de la valeur et des risques à la gestion de projet. • Une trouse à outils destinée aux sociétés d’État. La trousse permet aux sociétés de faire elles-mêmes l’évaluation de leur position par rapport aux pratiques exemplaires. Il les aide également à viser l’adoption de pratiques exemplaires en se servant des stratégies d’amélioration génériques. • Des services internes de consultation offerts par l’unité de gestion des risques. • Un forum de gestionnaires. Les gestionnaires sont capables d’identifier leurs problèmes et leurs risques. Le forum permet le partage des pratiques exemplaires. Des mesures sont proposées pour gérer les risques. Le fait que tous les gestionnaires hiérarchiques sont maintenant conscients des risques et des mesures à prendre constitue un autre avantage. • Une agence législative, qui fait à la direction de l’agence, des recommandations visant la réduction des risques. Ces recommandations se sont avérées efficaces dans d’autres agences. 10. La formation en matière de gestion des risques La formation en matière de gestion des risques, placée dans le cadre du programme de formation d’une société, aide à faire l’intégration de la gestion des risques. Les domaines qui se prêtent à la formation sont, notamment : les évaluations du risque, les pratiques exemplaires, les exigences législatives, la sécurité, les objectifs de gestion des risques, la formation dans le domaine de la sensibilisation aux risques, et ce, pour s’assurer que tous les gestionnaires tiennent compte des risques. kpmg 26 B. Approches, outils et techniques de mise en œuvre de la gestion des risques 1. Relevés des risques d’entreprise Les organisations sont en train d’élaborer des relevés des risques d’entreprise pour déterminer quels sont les principaux risques d’entreprise qui menacent l’organisation. Cette activité aide l’organisation à comprendre et absorber les risques qui l’affectent. La direction doit quantifier l’ampleur des risques et mesurer leur impact potentiel. L’utilisation d’un cadre à grande portée permet de tenir compte de différents genres de risques possibles lors de l’inventaire des risques. L’utilisation d’un cadre peut avoir une influence sur une discussion portant sur les sources et les genres de risques, soit, par exemple, les risques externes, économiques, risques de marché, de crédit, risques reliés à l’information et aux ressources humaines, et risques stratégiques. Cette façon d’aborder la question permet d’examiner les risques sous l’angle d’une perspective multidisciplinaire. Voici quelques exemples de cette pratique : • Dresser une liste des divers risques d’entreprise. Les risques sont ensuite répartis en quadrants en fonction de leur haute ou faible probabilité de se produire et de la gravité plus ou moins importante de la perte qui en résulterait. • Élaborer une carte des risques tenant en une seule feuille de papier. La carte donne une évaluation comparative de tous les risques opérationnels, financiers, aléatoires et stratégiques auxquels l’organisation doit faire face. En comparant les risques sur une seule matrice de gravité et de fréquence, les hauts dirigeants peuvent voir un portrait complet de tous les risques qui menacent la compagnie et les relations qu’ils ont entre eux. • Élaborer une « grande matrice des risques ». Elle prend en compte les menaces les plus dommageables qui se dressent devant l’entreprise. La haute direction et le conseil d’administration peuvent s’en servir pour la prise de décision. La simplicité est un trait sous-jacent de ces approches. 2. Les outils de modélisation Les outils de modélisation permettent aux gestionnaires de gérer l’incertitude. L’analyse par scénarios et les modèles prévisionnels en sont les outils de prédilection. Voici quelques exemples de l’utilisation de ces outils de modélisation : • kpmg En utilisant l’analyse par scénarios, les décideurs peuvent voir la gamme des possibilités et considérer des changements qu’ils auraient autrement ignorés. Ces scénarios peuvent également être intégrés aux plans d’urgence de l’organisation. Les scénarios peuvent être documentés et les analyses peuvent être faites à l’aide d’un logiciel de tableur sur ordinateur. 27 • En se servant de l’analyse statistique et des techniques de valeur à risque, les gestionnaires peuvent estimer la variabilité des pertes futures. Ils mesurent les répercussions d’une perte possible sur les gains ou le flux monétaire et se servent également d’analyse de sensibilité, de vérification des stress et de divers genres de simulation. • Les modèles financiers qui font une simulation dynamique des divers risques financiers et de l’impact de divers scénarios sur les portefeuilles de dettes et de capitaux propres. • Prévoir les risques dans le processus de production, lesquels pourraient être cause de défectuosités dans le produit, puis déterminer les points où ils pourraient être contrôlés. • Évaluer les risques techniques à l’étape du développement des nouveaux produits en identifiant, tôt au cours du projet, les erreurs susceptibles de se produire dans le processus de fabrication. Cette mesure donne le temps de réagir aux conséquences. • Accumuler l’expérience des projets passés et en faire une extrapolation pour servir de synthèse de l’impact possible des risques d’un projet particulier. Certains outils, comme l’analyse par scénarios, la modélisation, l’analyse des risques techniques, peuvent largement s’appliquer aux domaines de la gestion. D’autres, comme les modèles financiers, s’appliquent moins bien à d’autres disciplines. 3. Techniques d’identification et d’évaluation des risques Les techniques d’identification et d’évaluation des risques aident les gestionnaires à déterminer les endroits où ils devraient faire porter leur attention et leurs ressources. Aucune de ces techniques ne l’emporte sur les autres. Les voici : kpmg • Les groupes de remue-méninges. Les employés de plusieurs unités de l’entreprise se rencontrent pour faire un remue-méninges sur certaines questions. • Les ateliers. Les organisations commencent à élaborer des ateliers centrés sur les risques, menés par des animateurs, qui aident le personnel opérationnel à déterminer ses objectifs et à les classer par ordre de priorité, puis à identifier et à évaluer les risques. Les dirigeants qui y participent devraient généralement toucher une variété de secteurs. 28 kpmg • Les questionnaires. Les unités opérationnelles doivent remplir des questionnaires sur les objectifs et les risques. Par exemple, les gestionnaires peuvent chaque année faire une mise à jour des risques et des progrès accomplis dans leur gestion. • L’auto-évaluation. Les gestionnaires font leur auto-évaluation avec le soutien de la vérification, des finances et d’un comptable de l’extérieur. • Auto-évaluation de contrôle. Cette technique offre l’assurance qu’à un point final, l’objectif de l’entreprise sera atteint, compte tenu des contrôles et des risques. Des ateliers orientés sur les risques aident les gestionnaires opérationnels à déterminer leurs objectifs et à en établir les priorités. • Les filtres. Les risques sont évalués en regard de quatre filtres : fonction non essentielle, faible impact, risque bien géré, et faible probabilité de se produire. • Les diagrammes « Boston Squares ». Ces outils servent à représenter graphiquement l’impact et la gravité des risques. • Le balayage rapide des risques. Il s’agit d’une technique de présentation des risques (coût, moment, spécifications, etc.) d’une façon telle que ceux-ci peuvent être facilement comparés les uns aux autres en termes de probabilité et de conséquences. Elle est particulièrement utile dans les projets. • La matrice d’évaluation de la capacité des fournisseurs. Cette matrice sert à faire une évaluation d’ensemble de la capacité d’un fournisseur potentiel de livrer avec succès les services ou produits spécifiés dans un contrat. Elle tient compte des éléments suivants : l’histoire et le développement de l’entreprise du fournisseur, l’arrière-plan juridique et la structure du capital, les éléments critiques de performance du contrat, la direction et les employés, l’engagement, les imprévus et le contentieux; la viabilité financière. • La matrice d’évaluation. La matrice consiste en une série de questions couvrant les éléments de gestion des risques et les contrôles internes. Elle comprend aussi des descriptions de pratiques exemplaires. • Les gabarits d’identification des risques. On attribue des gabarits aux unités de l’entreprise. Ces gabarits les aident à identifier et à évaluer les risques dans le cours de leur processus de planification des opérations. • Les évaluations de risques de « bas en haut ». Les gestionnaires des opérations identifient et évaluent les risques. Ceux-ci sont ensuite agglomérés au niveau de l’entreprise toute entière. 29 4. • Le modèle de valeur au risque (VAR) et le modèle au pire. Ces modèles servent à évaluer les risques. Le modèle (VAR) examine les pertes possibles en valeur d’un poste ou d’un portefeuille au cours d’une certaine période basée sur des facteurs du marché. Elle permet la comparaison simultanée des tendances des fluctuations de la monnaie, par exemple. • Établissement des priorités entre les risques. Sur la base de leur classement, les risques sont abordés. L’Internet et l’Intranet L’Internet et l’Intranet servent de plus en plus à la gestion des risques. On s’en sert pour promouvoir la sensibilisation aux risques et la gestion des risques, pour obtenir de l’information sur les risques qui existent dans certains domaines précis, et pour communiquer les objectifs de gestion des risques. kpmg 30 IV Observations et conclusions Ce chapitre fait le résumé de nos observations et conclusions, suite à l’examen que nous avons fait des pratiques exemplaires. A. Observations Nous offrons les observations qui suivent concernant la gestion des risques, observations tirées de notre analyse des pratiques exemplaires. 1. La gestion des risques, tout comme la fonction de contrôleur, est un état d’esprit. Il est possible de sensibiliser les gestionnaires à l’existence des risques et à la gestion des risques. La gestion des risques peut être enseignée et être renforcée. Toutefois, la gestion des risques atteint son maximum d’efficacité lorsque les gestionnaires et les employés sont au diapason de la gestion des risques. La gestion des risques ne s’impose pas. Les gestionnaires devraient être conscientisés au sujet de la gestion des risques et intégrer celle-ci à leurs autres pratiques de gestion. Il faut tenir compte des risques au moment de la prise de décisions. Les gestionnaires sont plus susceptibles d’accepter la pratique si elle est positionnée comme une activité de gestion normale. Les processus trop bureaucratiques et trop complexes vont noyer la gestion des risques sous un flot d’éléments non pertinents. Il faut atteindre un équilibre entre la flexibilité et l’uniformité. Les gestionnaires ont besoin de flexibilité pour utiliser des techniques qui sont pertinentes pour eux-mêmes et pour leurs opérations. Cependant, la technique doit également permettre la synthèse des données et la comparaison des résultats d’unités opérationnelles au niveau de l’entreprise générale. Il faut que des spécialistes soient disponibles pour prêter assistance aux gestionnaires. 2. La gestion des risques et les fonctions d’ordre éthique de l’entreprise devraient fonctionner de pair. Les renseignements que nous avons recueillis indiquent que les programmes de gestion des risques et les programmes traitant de l’éthique sont étroitement apparentés. Par exemple, un code d’éthique écrit est un mécanisme de communication des valeurs d’une organisation et des risques y afférents. Un programme d’éthique destiné aux employés du gouvernement est perçu comme un moyen de sensibiliser les employés aux enjeux d’ordre éthique ou aux risques d’affecter les valeurs de l’entité. Les gestionnaires de risques pourraient être de plus en plus appelés à collaborer avec la fonction éthique pour comprendre et résoudre les risques reliés à l’information. Une autre organisation a également rapporté qu’une initiative d’éthique de fonctionnement a révélé des dangers reliés à l’information qui découlent d’une kpmg 31 « culture du secret ». Les politiques et les normes internes n’étaient pas écrites ou communiquées aux employés de façon uniforme. Le gestionnaire de l’éthique a travaillé avec la fonction de gestion des risques pour élaborer des étapes ayant pour but d’éviter, à l’avenir des infractions aux normes. De nombreuses composantes d’un programme d’éthique de l’entreprise visent à l’amélioration des flux d’information de l’organisation. Ces derniers comprennent les programmes généraux de communication, l’engagement de la haute direction et la communication des valeurs et principes de l’organisation, et le suivi des pratiques opérationnelles. Nous avons déjà dit que les communications et les flux d’information constituent une pratique fondamentale de la gestion des risques. 3. La gestion des risques est un processus dynamique. Au fur et à mesure que changent les besoins et les risques opérationnels, de nouveaux processus ou outils de gestion des risques sont nécessaires. Par exemple, l’usage accru de l’Internet peut être source de risques et peut, en même temps, être un outil de gestion des risques. Les pratiques doivent continuellement s’adapter à un environnement en évolution. La performance des organisations en matière de gestion des risques doit également faire l’objet d’une surveillance et d’une amélioration continues. Les employés et les gestionnaires doivent être informés des changements qui surviennent. Les évaluations de risques devraient être révisées au fur et à mesure que les circonstances changent. Il ne s’agit pas d’une opération strictement ponctuelle et « jetable ». 4. De nombreux spécialistes fonctionnels joueront un rôle dans la gestion des risques. L’examen que nous avons effectué des pratiques exemplaires indique que de nombreux spécialistes fonctionnels auront un rôle à jouer dans la gestion des risques. Ces spécialistes sont, notamment, les spécialistes en technologie de l’information, ceux des ressources humaines, des communications et des finances. Les spécialistes de la technologie de l’information ont (T.I.) toujours eu une préoccupation envers la gestion des risques. Ils ont eu l’occasion de faire la gestion de risques de projets de T.I. Maintenant, leur rôle peut être en expansion pour offrir un soutien de spécialistes aux spécialistes et aux gestionnaires de la gestion des risques. Au fur et à mesure que les nouvelles technologies sont acceptées (p. ex., l’Internet, le commerce électronique), les spécialistes de la T.I. seront appelés à aider les autres à comprendre les risques possibles associés aux opérations de même qu’à la technologie, et à faire face à ces risques. Ils contribueront à l’identification, à l’évaluation et à la gestion des risques là où se trouvera une composante technologique. Ils seront des membres de première importance des équipes et des comités. Les spécialistes de la technologie de l’information seront également appelés à mettre sur pied des systèmes de gestion des risques. Ces systèmes comprennent notamment des logiciels de modélisation, des systèmes de surveillance des risques et des systèmes de suivi de la performance en matière de gestion des risques. kpmg 32 Les spécialistes des ressources humaines seront appelés à concevoir des mécanismes appropriés à l’évaluation du rendement des gestionnaires dans leur gestion des risques. Ils seront également appelés à faire la conception de stratégies d’apprentissage et de programmes de formation. Ils pourront également être invités à participer à la gestion du changement et à des initiatives visant à opérer un changement dans la culture de l’organisation. Les spécialistes des communications auront un rôle à jouer dans l’établissement des canaux de communication appropriés. Ils seront probablement appelés à participer aussi à la production de rapports sur les risques et sur le rendement en matière de gestion des risques. Les spécialistes des finances auront un rôle à jouer dans l’identification et l’évaluation des implications financières de divers scénarios lorsque les gestionnaires dressent des modèles de l’incertitude. 5. La gestion des risques doit être appuyée par des ressources adéquates. La mise en œuvre de la gestion des risques exige des ressources. Il faudra investir dans les domaines suivants : la formation, le développement des processus et des techniques, les systèmes de gestion, les groupes de spécialistes. La haute direction doit s’engager à soutenir cette initiative en y consacrant les ressources nécessaires. B. Conclusions Cette section présente nos conclusions concernant l’applicabilité des pratiques exemplaires au gouvernement fédéral canadien. Le Tableau IV-1 présente l’application des critères d’évaluation aux pratiques exemplaires. Voici ce que nous montre ce tableau : kpmg • Toutes les pratiques sont largement applicables au-delà de la protection des biens et des personnes. Elles conviennent à toute gestion des risques opérationnels. Par conséquent, les pratiques sont compatibles avec l’orientation actuelle de la gestion des risques au sein du gouvernement. • La plupart de ces pratiques contribueront à l’amélioration de la prestation du service. En faisant la gestion des risques, les gestionnaires ont plus de chances d’atteindre leurs objectifs. Par conséquent, ils auraient de meilleures possibilités d’atteindre les objectifs et les cibles de prestation de services. • Un grand nombre de pratiques contribuent à un environnement de travail stimulant. Ce sont : la philosophie organisationnelle, les canaux de communication ouverts, les équipes et les comités, l’encadrement et la formation. • L’innovation est soutenue. Toutefois, ce sont, au tout premier chef, les pratiques « douces » (philosophie, communications, équipes et Internet) qui contribuent à ce besoin parce qu’elles créent un milieu ouvert à la discussion et au brassage des idées. En plus, elles ont une tolérance aux erreurs. 33 • Ces pratiques facilitent effectivement la prise de décisions et la planification de la direction. Toutefois, le lien avec une saine allocation des ressources est moins fort. Toutefois, les outils permettant de représenter, de modéliser, d’identifier et d’évaluer les risques se portent vraiment sur les risques les plus menaçants. De cette façon, les ressources sont allouées là où elles sont d’une importance le plus critique. • Les pratiques s’appuient facilement sur les connaissances et sur les leçons apprises existant dans l’organisation. L’expérience de la gestion et des employés est une composante de l’identification et de l’évaluation des risques. Pareillement, un grand nombre de ces pratiques ont des liens horizontaux dans l’organisation et s’intègrent bien au cadre de gestion. • Seules deux des pratiques possèdent un cadre de responsabilité et de régie clair et susceptible d’application : le leadership de la haute direction ou du conseil d’administration et la performance en matière de communications. • Seules quatre des pratiques exemplaires montrent une communication avec les intéressés et une participation de leur part. Nous concluons que les pratiques exemplaires sont applicables au contexte du gouvernement fédéral, compte tenu des critères selon lesquels elles ont été évaluées. Toutefois, il peut se dresser d’importants obstacles à la mise en œuvre des pratiques exemplaires qui s’avèrent très différentes du statu quo. La plupart des ministères et organismes fédéraux fonctionnent avec une structure organisationnelle traditionnelle. Il y existe une hiérarchie définie des rapports et de la gestion. Par conséquent, la mise en place d’une philosophie et d’une culture voulant faire de tout le monde un gestionnaire des risques peut être une cible hors d’atteinte. Pareillement, les milieux actuels ne font pas bon accueil aux mauvaises nouvelles ou aux canaux de communication ouverts. kpmg 34 Critères d'évaluation Pratiques exemplaires Philosophie l'effet kpmg que tous et Internet/Intranet chacun organisationnelle à Leadership de la haute direction/du Communication de la performance Assistance de/à la vérification Amé li p. ex ore la pr e ., l'e ffica station d cité, l'effic u servic e; ienc e Amé liore ses serv l'accès a ices u go uver nem ent e tà Facil ite la direc prise tion de d écisio ns d e la Fait la pro ress ourc motion es d'un e sa ine a lloca Facil tion eàc des o ordin aire, mprendr e et conv à uti ivial lis pour l'utili er (lang a sate Aide ur) ge les g conte e xte e stionnair e t les impli s à comp catio ns d re ndre le es ri squ e Mon s tre la in tére com mun ssés ic a et le ur pa tion ave c rticip ation les Facil it gesti e les mo on d uvem u ch ange ents cu lture men ls et t la S'ap puie sur le exista s qui s ntes et le connais ont d s s ans leço ns ances l'org anis apprises ation Tien t com pte d es c oûts d'op portu Poss nité ède un c régie a d clair et se re de res pons prêta a nt à l'app bilité et d licati Fait on e u de v ne utilisa érific ation tion effic et d'é ace d e valu ation s ressou rces Étab lit de l'org s li e anis ation ns horizo ntau x da ns S'intè g proc re b ien essu au c a s et aux dre de g pra ti ques estion, a u d éjà en p x lace Susc e de la ptible de prote s ction 'applique r des bien largeme s et des nt, au-d e pers onne là Stim s ule u n mil ieu d e tra vail fa vora ble Souti en l'in nova tion Tableau IV-1 Évaluation des pratiques sont gestionnaires de risques Canaux de communication ouverts Équipes et comités Langage simple, ordinaire Fonction de gestion des risques de opérationnels Encadrement Formation Cartographie des risques Outils de modélisation Techniques d'identification et conseil d'administration l'entreprise interne d'évaluation 35 V Annexes kpmg 36 Annexe A Énoncé des travaux Les travaux dont la liste suit s’appliquent aux parties a) et b) de la portée des travaux et tiendront compte des renseignements disponibles auprès du SCT, comme le travail déjà effectué par la Division des normes de gestion financière lors de la préparation des documents sur la Stratégie de gestion des risques financiers et le Guide de gestion des risques opérationnels. Il en est de même pour le Cadre d’évaluation pour la modernisation de la fonction de contrôleur, préparé par le Bureau de la modernisation de la fonction de contrôleur. kpmg 1. Recherche documentaire : le contractant identifiera et examinera ce qui s’est publié sur les pratiques de gestion des risques, dans le cadre qui convient à la portée du projet a) ou b). 2. Identification des pratiques exemplaires : le contractant identifiera les compagnies et organisations qui semblent utiliser des approches innovatrices ou des pratiques exemplaires pour faire la gestion des risques. 3. Recherche orientée : Des renseignements supplémentaires seront recueillis sur les stratégies, les approches, les méthodes, les outils et les techniques en usage dans les compagnies et organisations identifiés à l’étape 2 au moyen d’entrevues, d’entrevues en direct, et/ou de demandes de documentation. 4. Rédaction du rapport : Le contractant documentera les pratiques exemplaires identifiées sous la forme d’une ébauche de rapport et d’un rapport final et fera des recommandations quant à l’utilité et à l’applicabilité de celles-ci dans le contexte du gouvernement fédéral canadien. 37 Annexe B Bibliographie 194 A CFO’S View. Vol. 44, Risk Management, New York, September 1997, pp. 21-27. 240 A change at the helm. Vol. 44, Risk Management, New York, April 1997, pp. R26-R28. 146 A Texas-Size. Risk Management, December 1998, pp. 16-17. 188 A World of Risk. Risk Management, January 1998, pp. 11. 287 Abbott, Howard. Food for Thought. Vol. 5, No. 9, International Risk Management, October 1998, p. 31. 270 Abbott, Howard. Taking the Rap. Vol. 5, No. 4, International Risk Management, April 1998, p. 24. 202 Adopting an Enterprise-Wide January 1998, pp. 16-17. 104 Aftermath of Bank Crisis - Better Supervision is Needed. Financial Times, Reuter Textline, March 14, 1997. 199 Age-old problem improving. Vol. 44, Risk Management, New York, August 1997, p. 6. 206 Allen, Anne B. Ghostly tales of opportunities for change: A legislative carol. Vol. 44, Risk Management, New York, December 1997, p. 66. 224 Allen, Anne B. Toward a better standard. Vol. 44, Risk Management, New York, January 1997, p. 54. 315 Anonymous. Job and family in balance. Risk Management, New York, November 1996. 125 Australia: Corporate Treasurers Lack Adequate Systems. Australian Banking and Finance, December 1997. 167 Bagneschi, Linda. Pollution prevention: The best-kept secret in loss control. Vol. 45, Risk Management, New York, July 1998, pp. 31-38. kpmg Approach to Risk. Risk Management, 38 233 Balcer, Georges. A forum for quality. Vol. 44, Risk Management, New York, January 1997, p. 62. 015 Baldry, David. The evaluation of risk management in public sector capital projects. Vol. 16, No. 1, International Journal of Project Management, 1998, pp. 35-41. 308 Barbuti, Jim. A new philosophy: Risk financing for the middle market. Risk Management, New York, Apr. 1996. 166 Barlow, Douglas. The Essence of Risk Management. Risk Management, September 1998, p. 88. 247 Barrett, Pat. Better Practice Principles for Performance Information. Australian National Audit Office. 248 Barrett, Pat. Selecting Suppliers—Managing the Risk. Australian National Audit Office, October 1998. 117 Beer, Stan. Australia: News - Bug-battle Bill Blows Out By Billions. Australian Financial Review, December 2, 1998, p. 1. 227 Bernens, Robert. Establishing January 1997, pp. 14-16. 164 Berry, Andrew and Phillips, Julian. Pulling it together. Vol. 45, Risk Management, New York, September 1998, pp. 53-58. 232 Bieber, Robert. Bridging the Gap: Using Effective Communications to Improve Corporate Risk Management. Risk Management, February 1997, pp. 39-41. 257 Borst, JJ. Value at Risk in the Dutch Steel Industry. Tijdschrift Voor Corporate Finance (The Netherlands), Fall 1997. 034 Bryson, Nancy S. and Donohue, Brian G. Improving risk management decisions: A new road map and some specific destinations of interest. Vol. 6, No. 4, Environmental Quality Management, Summer 1997, pp. 85-89. 303 CBRA Methodology Guide. 173 CFOs on financial hiring. Vol. 45, Risk Management, New York, September 1998, p. 8. 304 Chand, Sooran and James, Sbrolla. A Director’s Nightmare. Ivey Business Quarterly, Winter 1998. kpmg Expected Practices. Risk Management, 39 259 Chapman, C. and Ward, S. Project Risk Management: Processes, Techniques and Insights. John Wiley and Sons, Chichester, 1997. 100 City of Santa Clara Moving Ahead: Silicon Valley Power, Engage Energy From Alliance. BUSINESS WIRE PR Newswire Reuter Textline. 115 Clack, Peter. Australia: Business Declares War on Fraud. Reuters Business Briefing, Jan. 25, 1999. 017 Clayton, Michelle. RMA releases risk survey. Vol. 7, No. 12, UMI, Inc. America’s Community Bankers, 1998, p. 7. 099 Coastal Corporation Re: Joint Venture’s Alliance. Regulatory News Service, BUSINESS WIRE PR Newswire Reuter Textline, Dec. 17, 1997. 180 Collier, Rick. A better approach: Wrap-ups deliver construction savings. Vol. 45, Risk Management, New York, March 1998, pp. 26-30. 105 Company Directors Want Risk Protection. Sydney Morning Herald, Reuter Textline, July 30, 1996. 051 Comptroller General of the United States. Major Management Challenges and Program Risks: A Government wide Perspective. January 1999. Cornford, Andrew. Some recent innovations in international finance: Different faces of risk management and control. Vol. 30, No. 2, Journal of Economic Issues, June 1996, pp. 493-508. 049 Corporate culture a concern for job seekers. Vol. 43, Risk Management, New York, Aug. 1996, p. 9. 044 Country Briefing. BAe rethinks risk management. EIU Country Alerts Economist Intelligence Unit, Sept. 4, 1998. 091 Covello, Dr. Vince. Crims ‘98 New Frontiers: Explore, Chart and Conquer. Risk Communication (Plenary Session), October 4-7, 1998. 242 Crockett, James, Pare, Carolyn, Montanez, William, Anello, Angelo, and et al. The future of employee benefits. Vol. 44, Risk Management, New York, June 1997, pp. 28-34. 228 Curbing sexual harassment complaints. Vol. 44, Risk Management, New York, January 1997, p. 52. 234 Davenport, John A. Loss control technologies. Vol. 44, Risk Management, New York, March 1997, pp. 30-34. kpmg 40 119 Davies, Anthony. New Zealand: Compliance - Keeping up with the Regulators. Independent Business Weekly (NZ), September 30, 1998. 011 Deanna Bellandi. The Expanding Reach of Risk Management: Suburban Heights Medical Center: Judges. 1997 Crain Communications Inc. 033 DePinto, Gary. Managing factory risk to improve customer satisfaction. Semiconductor International, June 1997, pp. 179-186. 212 Dickson, Thomas R. The evolution of risk financing. Vol. 43, Risk Management, New York, August 1996, p. 15. 161 Dorn, Mark. Vendors sell peanuts partners sell solutions. Vol. 45, Risk Management, New York, October 1998, pp. 14-16. 147 Driving change. Vol. 45, Risk Management, New York, December 1998, pp. 56-57. 223 Duden, David P. From data to decisions: Selecting risk management software. Vol. 43, Risk Management, New York, December 1996, pp. 33-35. 126 Edlin, Bob. New Zealand: Luxton Lunges at Red Tape While Business Champs at Bit. Independent Business Weekly (NZ), October 10, 1997. 010 Environmental Risk Management becoming a concern to Hospital Executives. Vol. 13, No. 1, 1998 Information Access Company, a Thomson Corporation Company, IAC (SM) Newsletter Database ™ Business Word, Inc. 058 Ernst & Young. The Hidden Risks of Risk Management. Ernst & Young 1998. 159 Ewing, Lance. How to make a difference. Risk Management, New York, November 1998, Vol. 45, p. 12. 158 Fatal distractions. Vol. 45, Risk Management, New York, October 1998, p. 9. 097 Fed’s Meyer calls for better bank capital Standard. BUSINESS WIRE PR Newswire Reuter Textline, March 2, 1998. 171 Feldman, Paul. Risk Managers’ Global Concerns. Risk Management, June 1998, p. 64. 178 Feldman, Paul. The case for peer review. Vol. 45, Risk Management, New York, April 1998, p. 104. 309 Fenelle, Cheryl. “Partnerships—mirage or reality?”. Risk Management, New York, May 1996. 241 First aid for disaster-struck businesses. Vol. 44, Risk Management, New York, May 1997, p. 8. kpmg 41 204 Fixing broken bucks: Fidelity proposes new captive use. Vol. 44, Risk Management, New York, December 1997, p. 42. 148 From the ground up. Vol. 45, Risk Management, New York, December 1998, pp. 48-52. 260 Gal, T. and H.J. Greenberg (eds) Advances in Sensitivity Analysis and Parametric Programming. Kluwer Academic Press, London, 1997. 165 Gentile, Mary C. Setting the right course: Business ethics. Vol. 45, Risk Management, New York, September 1998, pp. 26-34. 186 Gerber, Joseph A. and Glazer, Richard C. Seeking responsibility: Recovery for risk managers. Vol. 45, Risk Management, New York, February 1998, pp. 40-44. 217 Getting people involved. Vol. 43, Risk Management, New York, September 1996, p. 56. 129 Gluyas, Richard. Australia: Governance Bombshell - Only 1 in 10 Up to Scratch. Australian, April 17, 1997, p. 17. 014 Grabowski, Martha and Roberts, Karlene. Risk mitigation in large-scale systems: lessons from high reliability organizations. Vol. 39, No. 4, 1997 Information Access Company, a Thomson Corporation Company, 1997 Regents of the University of California, California Management Review, p. 152. 197 Grapperhaus, Roberta. Management’s Perspectives on Risk. Risk Management, September 1997, pp. 11-16. 189 Grapperhaus, Roberta. Measuring up: How risk managers apply the cost of risk survey results. Vol. 45, Risk Management, New York, January 1998, pp. 27-29. 149 Group Success. Risk Management, December 1998, pp. 53-54. 300 Guidelines for Managing Risk in the Australian Public Service. Joint publication of the Management Advisory Board and its Management Improvement Advisory Committee, MAB/MIAC Report No. 22, October 1996. 177 Hackett, Lloyd. Mastering disasters in Canada. Vol. 45, Risk Management, New York, April 1998, p. 98. 264 Haines, Joe. Not up to Scratch. Vol. 1, No. 2, Public Sector Risk Management, an Emap Business Publication, Autumn 1996, p. 23. kpmg 42 003 Hallam, Kristen. Healthcare International: Taking a Global Risk; MMI Cos Sees Gold in Foreign Malpractice Insurance. Modern Healthcare, November 2, 1998, p. 40. 271 Hanley, Mike. Assured of a Greener Future. Vol. 5, No. 4, International Risk Management, An Emap Business Publication, April 1998, p. 27. 281 Hanley, Mike. Bespoke Solutions. Vol. 5, No. 8, International Risk Management, An Emap Business Publication, September 1998, p. 27. 291 Hanley, Mike. Chain Reactions. Vol. 6, No. 1, International Risk Management, An Emap Business Publication, December 1998/January 1999, p. 23. 269 Hanley, Mike. Containing the Colossus. Vol. 5, No. 4, International Risk Management, An Emap Business Publication, April 1998, p. 18. 278 Hanley, Mike. Made to Measure. Vol. 5, No. 7, International Risk Management, July/August 1998, An Emap Business Publication, p. 22. 160 Hansen, Larry. Loss Control Strategies for. Risk Management, October 1998, pp. 38-41. 230 Hansen, Mark D. and Kysar, David S. Making the right moves: Implementing effective ergonomics management. Vol. 44, Risk Management, New York, February 1997, pp. 50-54. 193 Harper, Timothy F. Sharing our sandbox: Commonsense advice from an aviation risk manager. Vol. 44, Risk Management, New York, October 1997, pp. 35-40. 145 Harpole, Tom. Weathering the storm. Vol. 46, Risk Management, New York, January 1999, pp. 47-49. 106 Have Financial Institutions put the Development of Better Risk Management Systems on the Back Burner? American Banker, Reuter Textline, March 4, 1996. 002 Hawkins, Kyleen W. and Bill Huckaby. Using CSA to Implement COSO; Control Self-Assessment. Vol. 55, No.3, Institute of Internal Auditors, p. 50. 312 Head, George L. Risk management education goes global. Risk Management, New York, June 1996. 185 Hedging profits…weather or not. Vol. 45, Risk Management, New York, February 1998, p. 9. kpmg 43 306 Hein, Eric P. and O’Malley, Michael J. Two birds with one stone. Risk Management, New York, April 1996. 258 Hendriks, Martien. Project Risk-mapping. No. 19, Projectie (The Netherlands), September 1997. 103 HK Banks Remain Strong Despite Loan Losses - Study. Reuter News Service-Far East, Reuter Textline, May 8, 1997. 102 HM Treasury - Better Value for Money in Public Sector Construction Contracts. Hermes - UK Government Press Releases Reuter Textline, September 26, 1997. 132 Hodges, Alan. Towards a National Disaster-Mitigation Strategy. Australasian Fire Authorities Council 1997 Annual Conference, October 12, 1997. 050 Hohmann, Samuel F. Healthcare Cost of Risk Initiative: Preliminary findings. Vol. 50, No. 6, 1999 UMI., Healthcare Financial Management, June 1996, pp. 60-67. 077 Hopkins, Deborah C. Case Study-Introducing Business Risk Management, Global Council on Risk Management. General Motors Corporation, June 5, 1997. 176 How the damage is done. Vol. 45, Risk Management, New York, May 1998, p. 32. 279 Hunt, Ben, and Peto, Hugh. Forward Thinking. Vol. 5, No. 7, International Risk Management, An Emap Business Publication, July/August 1998, p. 32. 284 Hunt, Ben. Balancing Risk and Reward. Vol. 5, No. 9, International Risk Management, October 1998, An Emap Business Publication, p. 22. 296 Hunt, Ben. Colin Witheat. Vol. 6, No. 2, International Risk Management, An Emap Business Publication, February 1999, p. 30. 265 Hunt, Ben. On the Crest of a Global Wave. Vol. 4, No. 13, International Risk Management, March 1998, An Emap Business Publication, p. 21. 286 Hunt, Ben. Profile: Ray Matholie. Vol. 5, No. 9, International Risk Management, October 1998, An Emap Business Publication, p. 28. 294 Hunt, Ben. Staying out of Court. Vol. 6, No. 2, International Risk Management, An Emap Business Publication, February 1999, p. 20. 170 Improving ethical standards. Vol. 45, Risk Management, New York, June 1998, p. 9. kpmg 44 153 Increasing the odds. Vol. 45, Risk Management, New York, December 1998, pp. 32-34. Institute of Interal Auditors-Australia, Australian Control Criteria: Effective Internal Control to Achieve Business Objectives within an Acceptable Degree of Risk. Exposure draft, March 1998. 209 Integrating. Risk Management, December 1997, pp. 48-49. 238 Investing in employee’s futures. Vol. 44, Risk Management, New York, April 1997, p. 14. 020 Irvine, Julia. Taking a calculated risk. Vol. 122, No. 1263, 1998 UMI, Inc., Institute of Chartered Accountants in England & Wales 1998, Accountancy, pp. 42-43. 142 Jegher, Simon. Flexible Structure: Managing Financial Risk. Risk Management, January 1999, pp. 29-33 182 Jorgensen, Lori. Connection to risk? Managing the exposures of cyberspace. Vol. 45, Risk Management, New York, February 1998, pp. 14-19. 203 Kelly, William J. The role of management consultant. Vol. 45, Risk Management, New York, January 1998, p. 50. 266 Kelly, William. Policies for the Real World. Vol. 4, No. 13, International Risk Management, March 1998, An Emap Business Publication, p. 25. 235 Kirby, Anne. Controlling Comp Costs? Risk Management, March 1997, pp. 37-44. 122 Kirkwood, Don. Australia: Smaller Companies Risk Financial Loss. Business Queensland, 1998 Business Newspapers Australia Pty Ltd., April 20, 1998. 047 Knight, Curtis. Statement on best practices. Vol. 80, No.6, Journal of Lending & Credit Risk Management, Feb. 1998, p. 79. 175 Knight, Rory F. and Pretty, Deborah J. Value at risk: The effects of catastrophes on share price. Vol. 45, Risk Management, New York, May 1998, p. 39-41. 087 Knowledge Management: Leveraging Information. Gartner Group, Conference Presentation, 1998. 006 Kroll, Karen M. Integrated Risk - Corporate Insurance. Vol. 247, No.2, Industry Week, p. 77. 196 Lam, James C. and Kawamoto, Brian M. Emergence of the Chief Risk Officer. Risk Management, September 1997, pp. 30-35. kpmg 45 174 Lange, Scott. Disaster planning: The challenge within. Vol. 45, Risk Management, New York, May 1998, pp. 34-37. 280 Larner, Digby. Benchmark or Impediment? Vol. 5, No. 7, International Risk Management, An Emap Business Publication, July/August 1998, p. 35. 195 Levin, Michael R. and Rubenstein, Michael L. A Unique Balance: The Essence of Risk Management. Risk Management, September 1997, pp. 37-40. 019 Liethhead, Barry S. Managing “people” risks. Vol. 55, No. 6, 1998 UMI, Inc., Institute of Internal Auditors Inc. 1998, Internal Auditor, pp. 66-67. 157 Limperis, John. EDI Bringing workers’ comp up to speed. Vol. 45, Risk Management, New York, October 1998, pp. 29-30. 118 Logue, Dennis. Australia: Supplement - Managing Currency Risk in a Volatile World. Australian Financial review, November 25, 1998, p. 6. 221 Mair, David L. Quality through diversity. Vol. 44, Risk Management, New York, November 1997, p. 68. 136 Managing risk, FNB, p. 67. 101 Managing Risks - Top-down Coordination is Crucial. Business Times (Singapore) Reuter Textline, October 22, 1997. 163 Matheson, David and Matheson, Jim. Get Smart About Big Risks. Risk Management, September 1998, pp. 73-76. 285 McGahern, Rachael. Super Highway Bandits. Vol. 5, No. 9, International Risk Management, An Emap Business Publication, October 1998, p. 25. 001 McGuaig, Bruce. Auditing, Assurance, & CSA; Control Self-Assessment. Includes Related Articles on CSA Approaches, Assurance Strategies and Definition of Controls, Vol. 55, No. 3, Institute of Internal Auditors, p. 43. 133 McNamee, David. Risk Management Today and Tomorrow, Management Control Concepts. 013 McNamee, David. Risk-based auditing. Includes related article on risk-based audits at Royal Bank of Canada, 1997 Information Access Company, a Thomson Corporation Company, 1997 Institute of Internal Auditors. 213 Meet the risk manager. Vol. 43, Risk Management, New York, August 1996, p. 41. 226 Meltzer, Susan. Limits on a company’s ability to manage risk. Vol. 44, Risk Management, New York, January 1997, pp. 18-20. kpmg 46 302 Mendzela, Elisa. Managing Customer Risk. Chartered Accountants Journal, April 1998, p. 27-29. 305 Miccolis, Jerry A. and Quinn, Timothy P. What’s your appetite for risk? Determining the optimal retention. Risk Management, New York, April 1996. 215 Millonzi, Kay and Passannante, William G. Beware of the pirates: How to protect intellectual property. Vol. 43, Risk Management, New York, August 1996, p. 39. 181 Mills, Evan, Deering, Ann and Vine, Edward. Energy Efficiency: Proactive Strategies for Risk Managers. Risk Management, March 1998, pp. 12-16. 220 Nichols, David. A changing landscape: Construction risk management. Vol. 43, Risk Management, New York, November 1996, pp. 17-20. 183 Norton, Phillip N. D&O: Past, present and future. Vol. 45, Risk Management, New York, February 1998, pp. 21-27. 275 Parry, John. Profile: Endesa’s Vincente Martin. Vol. 5, No. 6, International Risk Management, An Emap Business Publication, June 1998, p. 23. 045 Paul-Choudury, Sumit and Alison. Firm-wide risk management: summing it all up - EIU/SPECIAL REPORT, Corporate Research. Report, September 1998 225 Pearson, Judith. Preventing sexual harassment: Risk management tools. Vol. 44, Risk Management, New York, January 1997, pp. 25-28. 231 Pelland, Dave. Emerging markets, emerging risks. Vol. 44, Risk Management, New York, February 1997, p. 60. 191 Pelland, Dave. Extortion risk awareness increasing: Exporting products, importing risk. Risk Management, New York, October 1997, Vol. 44, p. 10. 179 Pelland, Dave. Globalization Changing Roles, Shrinking Industries. Risk Management, April 1998, p. 96. 239 Pelland, Dave. Greater emphasis on financial skills: Changing face of risk management. Vol. 44, Risk Management, New York, April 1997, p. 108. 216 Pelland, Dave. Planning to survive. Vol. 43, Risk Management, New York, September 1996, p. 10. 245 Pelland, Dave. Resources for international risk managers: Global guidance. Vol. 44, Risk Management, New York, August 1997, p. 12. kpmg 47 208 Pelland, Dave. Risk manager applies quality: Litigation management. Vol. 44, Risk Management, New York, December 1997, p. 68. 210 Pelland, Dave. Several Trends Influencing Risk Management: Future Success Stories? Risk Management, December 1997, p. 72. 187 Pelland, Dave. Standing guard against fraud. Vol. 45, Risk Management, New York, February 1998, p. 6. 267 Perkins, Pia. An Integrated Solution. Vol. 4, No. 13, International Risk Management, An Emap Business Publication, March 1998, p. 28 292 Perkins, Pia. Break for the Border. Vol. 6, No. 1, International Risk Management, An Emap Business Publication, December 1998/January 1999, p. 26. 273 Perkins, Pia. Leading Lights. Vol. 5, No. 5, International Risk Management, An Emap Business Publication, May 1998, p. 18. 277 Perkins, Pia. What Do You Think Chief? Vol. 5, No. 7, International Risk Management, An Emap Business Publication, July/August 1998, p. 22. 272 Perkins, Pia. You keep me hanging on. Vol. 5, No. 4, International Risk Management, An Emap Business Publication, April 1998, p. 30. 297 Perkins, Pia. Profile: Judith Hanratty. International Risk Management, July/August 1998. 295 Peto, Hugh. Customised Solutions. Vol. 6, No. 2, International Risk Management, An Emap Business Publication, February 1999, p. 25 207 Pittsburgh gives it their best. Vol. 44, Risk Management, New York, December 1997, p. 50. 192 Promoting healthy living. Vol. 44, Risk Management, New York, October 1997, p. 8. 005 Pryor, Shepard. Balancing the Extremes of the Credit Process with a ‘Best Practices’ Orientation. Vol. 85, No. 4, Credit World, pp. 24-28. 156 Public Cost of Risk Rising. Risk Management, November 1998. 154 Putting words to work. Vol. 45, Risk Management, New York, November 1998, p. 18. 162 Rahardjo, Kay and Dowling, Mary Ann. A Broader Vision: Strategic Risk Management. Risk Management, September 1998, pp. 44-50. kpmg 48 243 Recognizing excellence. Vol. 44, Risk Management, New York, June 1997, pp. 24-25. 027 Risk management activities found lacking. Vol. 55, No. 3, 1998 UMI, Inc., Copyright Institute of Internal Auditors Inc. 1998 Internal Auditor, p. 14. 229 Risk Management Communications. Risk Management, February 1997, p. 40. 111 Risk Management in the Australian Customs Service, Australian Customs Service. 092 Risk Management, Australian/New Zealand Standard, AS/NZS 4360:1995. 012 Risk Management: The role of the internal audit. Vol. 75, No. 8, 1997 UMI, Inc. and Chartered Institute of Management Accountants 1997, pp. 42-43. 137 Risk Monitoring: Is the Process of Ensuring That Risks are Competently Managed within Approved Structures, Policies, Parameters and Authorities. NedBank - Annual Report, 1997. 150 Risk Report. Risk Management, December 1998, p. 8. 263 Rolin, Gary. Nuclear Fusion. Vol. 1, No. 2, Public Sector Risk Management, an Emap Business Publication, Autumn 1996, p. 12. 088 Rosser, Bill. Knowledge Management: Applying and Leveraging Information. Gartner Group, October 1998. 031 Sanderson, Scott. Taking stock of your risks, includes related article. Vol. 13; No. 4, 1997 Information Access Company, a Thomson Corporation Company, 1997 Financial Executives Institute Financial Executive, p. 42. 041 Sanderson, Scott. Taking stock of your risks; includes related article. Vol. 13; No. 4, 1997 Information Access Company, a Thomson Corporation Company; 1997 Financial Executives Institute Financial Executive, p. 42. 172 Sandri, Praveen, Guin, Jayanta and Richardson, Beth. Catastrophe Modeling: A New Tool for Risk Managers. Risk Management, May 1998, pp. 29-31. 262 Sandwell risk manager makes full use of internet; Government information services. Vol. 1, No. 2, Public Sector Risk Management an Emap Business Publication, Autumn 1996, p. 6. 276 Saul, Jonathan. Tools or Toys. Vol. 5, No. 6, International Risk Management, June 1998, An Emap Business Publication, p. 29. 282 Saul, Jonathan. Trade Doubt for Certainty. Vol. 5, No. 8, International Risk Management, An Emap Business Publication, September 1998, p. 33. kpmg 49 024 Sawyer, Lawrence B. When the problem is management. Vol. 55, No. 4, 1998 UMI, Inc., Institute of Internal Auditors Inc. 1998, Internal Auditor, pp. 33-38. 314 Saylor, Richard. Meet the risk manager. Risk Management, New York, October 1996. 022 Scherzer, Martin H. and Mackay, Robert. Risky business. Vol. 14, No. 5, 1998 UMI, Inc., Financial Executives Institute 1998, Financial Executive, pp. 30-32. 008 Schneier, Robert and Jerry Miccolis. Enterprise Risk Management. Vol. 26, No. 2, Strategy & Leadership, p. 10. 169 Schroeder, Stephanie. Alternative dispute resolution resources. Vol. 45, Risk Management, New York, June 1998, p. 10. 143 Schroeder, Stephanie. Risk management key notes. Vol. 46, Risk Management, New York, January 1999, p. 56. 144 Schroeder, Stephanie. The human factor. Vol. 46, Risk Management, New York, January 1999, p. 1. 074 Scott Lange. Going Full Bandwidth at Microsoft, Microsoft Corporation, Presented to the Global Council on Risk Management, The Conference Board, November 21, 1996. 016 Serb, Chris. Uncalculated risks. Vol. 71, No. 13, 1997 UMI, Inc. American Hospital Publishing Inc. 1997 Hospitals & Health Networks, pp. 28-30. 289 Sharman, Richard. Revealing Risk Patterns. Vol. 5, No. 10, International Risk Management, An Emap Business Publication, November 1998, p. 29. 249 Shelley, Suzanne, David L. Russell and P.E., Global Environmental Operations. Getting a Handle On Risk Management. Vol. 105, No. 13; Engineering Practice; p. 114. 098 Sime Bank CEO Leaves, Sparking Talk of Friction. Business Times (Singapore), Reuter Textline, January 20, 1998. 222 Skilled, trained workers in short supply. Vol. 43, Risk Management, New York, October 1996, p. 9. 218 Small, Sheila L. What you can expect. Vol. 43, Risk Management, New York, October 1996, pp. R11-R13. 293 Smit, Barbara. Ahead of the Game. Vol. 6, No. 1, International Risk Management, An Emap Business Publication, December 1998/January 1999, p. 30. kpmg 50 283 Smit, Barbara. Profile: Alain Lemaire. Vol. 5, No. 8, International Risk Management, September 1998, An Emap Business Publication, p. 39. 274 Smit, Barbara. Profile: Pierre Sonigo. Vol. 5, No. 5, International Risk Management, An Emap Business Publication, May 1998, p. 35. 301 Sparrow, Adrian. Business Risk Management. Chartered Accountants Journal, April 1998, pp. 11-13. 236 Spies, John A. Advice from a risk manager. Vol. 44, Risk Management, New York, March 1997, pp. C3-C4. 032 Spinner, Karen. Institutions put value on risk practices; software for risk management and valuation methods; Industry Trend or Event. Vol. 15, No. 6, 1997 Information Access Company, Thomson Corporation Company, 1997 Miller Freeman Inc. Wall Street & Technology, p. 56. 128 Strickland, Katrina. Australia: CBA Criticism of Wallis Report “Almost Absurd”, Australian, April 28, 1997, p. 19. 237 Study backs supports. Vol. 44, Risk Management, New York, April 1997, p. 14. 246 Study: Work pressures prompt unethical acts. Vol. 44, Risk Management, New York, September 1997, p. 6. 290 Terry Paradine. All Systems Go. Vol. 5, No. 10, International Risk Management, An Emap Business Publication, November 1998, p. 32. 042 The Auditor General. Comment by the Auditor General. Australian National Audit Office. 073 The Boston Consulting Group. Scenario Planning, Noranda Inc. 198 The business meeting is alive and well…for now. Vol. 44, Risk Management, New York, September 1997, p. 6. 007 The Changing Face of Risk Management. Vol. 55, No.5, Internal Audit, pp. 11-12. 116 Thomas, Tony. Australia: A Treasury of Cost-Efficiency. Business Review Weekly, December 7, 1998, p. 46. 256 Toxopolis, S. Risk Management in New Product Development: The Case of DAF Trucks. Vol. 6, Sigma (The Netherlands), December 1998, pp. 20-24. 311 Vaughan, Patricia C. Risk managers: Creating public policy and influencing legislation. Risk Management, New York, June 1996. kpmg 51 168 Vitale, Lou. The invisible threat. Vol. 45, Risk Management, New York, July 1998, pp. 42-45. 255 Wansink, Drs DE and Thijssen, VJ Integral Risk Management: Beyond V.A.R. No. 3, Controllers Magazine (The Netherlands), June/July 1997. 268 Waring, Dr. Alan. Iran: Facts and Fables. Vol. 4, No. 13, International Risk Management, An Emap Business Publication, March 1998, p. 35. 085 Warning Signs Diagnostic Exercise, 1996 Arthur Andersen LLP 252 Weinstein, Edward A. and Dennis C. Carey. 10 Best Practices. Vol. 22, No. 4, 1999 UMI., Directors & Boards, Summer 1998, p. 40. 307 West, Kathryn Z. Can they afford not to? Risk Management, New York, April 1996. 313 West, Kathryn Z. Part-time risk managers full-time risks. Risk Management, New York, June 1996. 219 West, Kathryn Z. Unlock the Power of Global Risk Management. Risk Management, October 1996, p. 4. 155 When in doubt, simulate. Vol. 45, Risk Management, New York, November 1998, pp. 44-49. 152 When Things Go Bad, Fast. Risk Management, December 1998, pp. 22-24. 120 White, Earl. New Zealand: Letter - Diary Board Defends its Forex Management. Independent business Weekly (NZ), September 9, 1998. 200 Williams, Todd L. An integrated approach to risk management. Vol. 43, Risk Management, New York, July 1997, p. 22. 095 World’s Seventh Largest Electric Utility Selects Infinity’s Panorama for Trading and Risk Management. BUSINESS WIRE PR Newswire Reuter Textline, July 2, 1998. 310 Zomer, Heather. The education of a rookie risk manager. Risk Management, New York, June 1996. kpmg 52 Annexe C Guide d’entrevues Les pratiques exemplaires en matière de gestion des risques Nous vous remercions sincèrement d’avoir bien voulu participer à cette importante étude. Le présent document décrit l’étude et les domaines que nous aimerions discuter avec vous. A. Toile de fond de l’étude Le gouvernement fédéral du Canada a récemment lancé un projet visant à offrir aux ministères fédéraux des conseils sur les outils, les techniques et les pratiques de gestion des risques. En fin de compte, cette démarche aidera les employés du gouvernement à mieux comprendre, gérer et communiquer les risques (et les choix qui s’y rattachent) auxquels ils font face dans le domaine de la prestation de services aux Canadiens. Le Secrétariat du Conseil du Trésor a retenu les services de la firme KPMG Canada pour relever les pratiques exemplaires de la gestion des risques qui ont cours dans les organisations du secteur privé et du secteur public d’autres pays. L’étude porte principalement sur les pratiques de gestion des risques qui ont été intégrées aux processus de gestion, de planification et de prise de décisions d’une organisation. Elle s’intéresse également aux stratégies servant à la planification, au développement, à la mise en œuvre et au suivi de la gestion des risques. Les pratiques de gestion des risques ne sont pas toutes des « pratiques exemplaires ». Une « pratique exemplaire » de la gestion des risques est une stratégie, une approche, une méthode, un outil ou une technique qui s’est avéré particulièrement efficace pour aider une organisation à atteindre ses objectifs de gestion des risques. Une pratique exemplaire en est également une qu’on prévoit avoir de la valeur pour d’autres organisations. Par exemple, une pratique qui a été particulièrement utile pour établir un encadrement aurait de la valeur pour toute autre organisation qui a pour responsabilité d’offrir un encadrement. kpmg 53 Nous recueillons présentement des renseignements sur les pratiques exemplaires dans trois domaines : • l’intégration de la gestion des risques aux autres pratiques de gestion, • les outils qui permettent l’intégration de la gestion des risques, • les principales disciplines et fonctions qui utilisent la gestion des risques. Nous ne nous attendons pas à ce que votre organisation ait des pratiques exemplaires dans tous les domaines décrits ci-dessus et développés dans la section B. Il peut exister de nombreuses autres « bonnes pratiques ». Mais nous aimerions nous concentrer sur les « pratiques exemplaires » de votre organisation. Nous sommes également à la recherche des « leçons apprises » de pratiques qui se sont avérées plus difficiles que d’abord prévues au départ. Nous vous poserons quelques questions touchant la façon générale d’aborder la gestion des risques dans votre organisation, pour pouvoir être en mesure de comprendre le contexte qui entoure ces pratiques exemplaires. Les renseignements que vous nous fournirez concernant vos opérations resteront confidentiels. Notre rapport porte d’abord sur les pratiques, et non pas sur les organisations. Nous aimerions obtenir votre permission de mentionner le nom de votre organisation comme participant à cette étude. Même si vous préférez garder l’anonymat, nous apprécions votre participation à cette étude. B. Les pratiques exemplaires possibles Nous avons dressé ci-dessous une liste de certaines pratiques dans chacun des domaines qui serait d’un intérêt commun. Il peut exister d’autres pratiques que nous n’avons pas relevées et qui pourraient aider votre organisation à faire la gestion des risques ou à atteindre ses objectifs. Même si la pratique ne semble pas s’insérer dans la structure définie ci-dessous, vous nous obligeriez à nous en faire part quand même. En fin de compte, une pratique exemplaire est une pratique qui peut avoir quelque valeur pour une autre organisation dans la gestion des risques. 1. L’intégration de la gestion des risques aux pratiques de gestion Il s’agit de pratiques d’intégration de la gestion des risques aux pratiques de gestion de votre organisation. Par exemple, il s’agirait notamment de pratiques visant à s’assurer : kpmg • que les objectifs et les avantages de la gestion des risques soient définis et communiqués à l’ensemble de l’organisation; • qu’il y ait partage des responsabilités en matière de gestion des risques et stimulation de l’engagement, à chacun des niveaux d’administration de l’organisation et au niveau de son organe de régie; 54 • que les risques de l’ensemble de l’organisation soient déterminés et évalués pour soutenir les processus de gestion (planification, allocation des ressources et prise de décisions); • que la gestion des risques soit réalisée au moyen d’une série de stratégies couvrant la gamme suivante : • – dans le cas des risques qui peuvent être directement contrôlés, diminution des risques au moyen d’un système interne de contrôle (et de l’amélioration continue de ce système de contrôle); – dans le cas des risques auxquels on ne peut s’attaquer que de façon indirecte, en influençant indirectement les risques, par le partage ou le partenariat; – dans le cas des risques qui échappent au contrôle ou à l’influence, en les assumant et en les tenant sous surveillance. que la gestion des risques fasse l’objet d’un suivi et qu’il existe une communication et des rapports adressés à la haute direction, aux organes de régie et aux principaux intéressés. L’annexe A présente davantage de détails sur ces pratiques. 2. Les outils d’intégration de la gestion des risques à l’organisation Les outils sont généralement utilisés pour intégrer la gestion des risques à une organisation. Voici quelques exemples d’outils qui pourraient être d’intérêt commun : kpmg • La conceptualisation et la définition des sources des principaux risques d’affaires de l’organisation. Elle sert d’outil de communication et d’établissement des rapports pour l’organisation. Cet outil mène à une compréhension commune du contexte de risques d’une organisation, ce qui encourage ensuite une analyse et une communication uniformes et cohérentes des risques. • L’établissement d’une politique de gestion des risques (ou un outil de communication de nature analogue) pour définir l’approche d’ensemble de l’organisation vis-à-vis la gestion des risques, les responsabilités, les structures hiérarchiques et les examens périodiques. • L’identification d’un « Champion du risque » qui peut faire preuve de leadership envers les initiatives de gestion des risques. • L’utilisation de groupes de travail, de projets pilotes et de conseillers. 55 3. • La publication de lignes directrices, la mise sur pied de programmes de formation et perfectionnement de moniteurs pour aider les employés et les équipes de travail locales à faire la gestion de leurs risques. • La création de votre propre norme ou l’utilisation d’une norme existante, comme celle du Conseil canadien des normes (CSC) Q850/97 Risk Management: Guideline for Decision-Makers. • L’utilisation d’outils automatisés (logiciel) qui peuvent aider à faire l’analyse des risques. • La définition des paramètres d’entreprise concernant les concepts de risques, comme la probabilité et la gravité. Les disciplines et les fonctions qui font la gestion des risques Il existe de nombreuses disciplines et fonctions spécialisées qui font la gestion des risques à un niveau opérationnel. Les pratiques utilisées pour intégrer la gestion des risques à ces disciplines et fonctions spécialisées (et, par là, à l’ensemble de l’organisation) sont d’intérêt commun. Voici quelques exemples de ces disciplines et fonctions : • • • • • • • • • • • • • • • • Planification Vérification Gestion de projets Finances Sécurité Assurance et gestion des actifs Protection de l’environnement Gestion des déchets dangereux Gestion du matériel Gestion immobilière Technologie de l’information Conseiller juridique Ressources humaines Intangibles (par ex., achalandage) Surveillance de la conformité et contrôles d’application Prestation de services L’étude s’intéresse au processus de gestion qui sert à mettre sur pied et à implanter une gestion spécialisée des risques au sein d’une fonction donnée, mais pas aux détails de la pratique spécialisée telle qu’elle se pratique. kpmg 56 C. Guide d’entrevues Voici les questions que nous aimerions discuter avec vous concernant les pratiques exemplaires de votre organisation en matière de gestion des risques. 1. 2. Aperçu général et contexte de la gestion des risques 1. Quelle définition votre organisation donne-t-elle du risque dans le contexte de son environnement d’affaires? 2. Votre organisation a-t-elle un objectif général de gestion des risques qui guide les activités de gestion des risques de la direction? 3. Les objectifs et les valeurs associés à la gestion des risques représentent-ils une nouvelle façon de faire dans votre organisation? 4. Quels sont les avantages de la gestion des risques pour votre organisation? (Pensez aux éléments suivants : la communication pour obtenir des engagements, l’amélioration de la valeur pour les parties prenantes ou l’atteinte des objectifs, la mesure de l’amélioration de la gestion, le soutien accordé à la responsabilisation et à la régie, le renforcement du processus de planification et de prise de décisions (comme la communication ou la synergie), l’amélioration de la confiance des parties prenantes, les rendements mesurables sur les investissements). L’intégration de la gestion des risques au sein des pratiques de gestion de votre organisation Y a-t-il certaines pratiques exemplaires ou des leçons tirées (des obstacles renversés) dont vous aimeriez nous faire part, en gardant à l’esprit les éléments que nous avons définis dans la section B1 ci-dessus, et dans les composantes de la gestion des risques (voir p. 67), ou toute autre pratique d’intégration. 1. Pouvez-vous décrire, à grands traits, la façon dont votre organisation définit les objectifs et les valeurs qui se rattachent à la gestion des risques, et comment elle les communique dans l’organisation? 2. Votre organisation possède-t-elle une politique formelle de gestion des risques? 3. Quels sont les grands traits ou les messages principaux véhiculés par celle-ci? (Pensez aux éléments suivants : kpmg les objectifs/principes, les opportunités et la prise de risques, la couverture des risques, la tolérance face au risque et les limites du risque, 57 l’existence d’un milieu de travail favorable (c’est-à-dire, tolérance des erreurs), l’intégration de la gestion des risques aux autres processus de gestion. 4. De quelle façon les tolérances au risque sont-elles établies et gérées (c’est-à-dire, au niveau d’ensemble de l’organisation ou au niveau local)? 5. Pouvez-vous décrire en termes généraux la façon dont votre organisation reflète un partage des responsabilités de gestion des risques et favorise l’implication de la régie et les organes administratifs de votre organisation? 6. Quelles sont les responsabilités des organes de régie de votre organisation (par ex., le conseil d’administration, les comités de la haute direction, les ministres, etc.) et de la haute direction en matière de gestion des risques? Sont-ils tenus responsables? Dans l’affirmative, comment? 7. Comment la responsabilité en matière de gestion des risques se répand-elle à travers l’organisation (par ex., à travers les niveaux de la gestion et de l’administration, à tous les employés)? De quelle façon les personnes sont-elles tenues responsables? 8. Les risques importants sont-ils communiqués aux parties prenantes? Dans ce cas, à quelle cadence, et dans quel contexte? Qui est chargé de ces communications avec les parties prenantes? 9. a) Pouvez-vous décrire, en termes généraux, de quelle façon votre organisation identifie et évalue les risques qui touchent l’ensemble de l’organisation? 9. b) Une fois les risques identifiés, comment cette information sert-elle de support au processus de gestion (planification, allocation de ressources et prise de décision)? 10. Quelles techniques et méthodes sont utilisées pour identifier et évaluer les risques? (Pensez aux éléments suivants : 11. kpmg les genres de risques, la façon dont ils sont cernés, la façon dont ils sont quantifiés, la façon dont ils sont classés par priorités). Les techniques et les méthodes sont-elles faciles à comprendre et à utiliser par les gestionnaires? (Pensez à : l’utilisation du langage ordinaire et à la convivialité). 58 kpmg 12. Les résultats de l’évaluation sont-ils intégrés aux processus de gestion en place (par ex., planification, allocation des ressources et prise de décisions)? De quelle façon? 13. L’évaluation tient-elle compte du point de vue des parties prenantes quant au risque et aux coûts d’opportunité d’un risque qu’on n’a pas pris? 14. Dans quelle mesure la gestion des risques a-t-elle soutenu le changement et les virages culturels survenus dans votre organisation? 15. Pouvez-vous décrire, dans les grandes lignes, de quelle façon votre organisation gère ou réduit les risques au moyen d’un système interne de contrôle et d’autres stratégies? 16. Vos stratégies ou processus de gestion du risque ont-ils changé? De quelle façon? 17. Les parties prenantes, les clients, fournisseurs ou autres organismes externes font-ils partie de votre processus de gestion des risques? Comment? 18. Pouvez-vous décrire, dans les grandes lignes, de quelle façon votre organisation exerce une surveillance sur le processus de gestion des risques et de quelle façon elle communique et fait rapport, à ce sujet, à la haute direction, à l’organisme de régie et aux principales parties prenantes? 19. Le succès obtenu dans l’atteinte des objectifs de gestion des risques fait-il l’objet d’un suivi et est-il mesuré? 20. Votre organisation se sert-elle d’une structure ou d’un support particuliers pour faire ses rapports sur la gestion des risques? 21. Quel est le rôle de la vérification interne dans votre programme de gestion des risques? (Pensez aux éléments suivants : surveillance de la conformité, conformité et offre d’amélioration ou de conseils de pratiques exemplaires, pratiques exemplaires, méthodes, etc.) 59 3. L’implantation de la gestion des risques dans votre organisation Y a-t-il certaines pratiques exemplaires ou des leçons tirées (des obstacles renversés) dont vous aimeriez nous faire part, en gardant à l’esprit les pratiques dont nous avons dressé une liste dans la section B2 ci-dessus, et dans les composantes de la gestion des risques (v. p. 67), ou toute autre pratique d’implantation? Avez-vous des exemples d’outils qu’on ne devrait pas utiliser? 4. 1. Pouvez-vous décrire, dans les grandes lignes, de quelle façon votre organisation implante la gestion des risques? (Reportez-vous aux outils décrits à la Section B). 2. Y a-t-il certains outils qui ont été particulièrement efficaces? Pourquoi? Les disciplines et fonctions de la gestion des risques 1. Existe-t-il des disciplines et des fonctions qui, au sein de votre organisation, font la gestion des risques à un niveau opérationnel? Quelles sont-elles? 2. Y a-t-il des pratiques exemplaires et les leçons tirées (les obstacles renversés) associés au processus de gestion qui ont servi à établir et à implanter la gestion des risques dans ces disciplines et fonctions? Existe-t-il des documents que vous pourriez nous remettre pour nous aider à comprendre vos pratiques de gestion des risques? Pouvons-nous vous rappeler si nous avons besoin d’éclaircissements ou de détails sur vos réponses? Y a-t-il des articles ou des publications que vous avez trouvés particulièrement utiles dans vos activités de gestion des risques? (Liste) kpmg 60 Les composantes de la gestion des risques La présente apporte des précisions sur les pratiques d’intégration de la gestion des risques aux pratiques de gestion d’une organisation. Ces pratiques devraient faire en sorte que : • les objectifs et les avantages de la gestion des risques soient définis et communiqués dans l’ensemble de l’organisation : – – – – • Qu’il existe un partage des responsabilités de gestion des risques et de stimulation de l’engagement à chaque niveau administratif de l’organisation et au niveau de son organisme de régie : – – – • la portée : genres de risques, l’identification des risques, l’évaluation de la probabilité de fréquence et d’impact, la quantification et le classement par priorités. Que le système interne de contrôle et son amélioration continue serve à atténuer ou à gérer les risques : – – – – kpmg le rôle et les responsabilités, la régie, l’engagement. Que les risques qui s’étendent à l’ensemble de l’organisation soient identifiés et évalués de façon à servir de soutien aux processus de gestion (planification, allocation des ressources et prise de décision) : – – – – • la tolérance au risque et ses limites l’opportunité et la prise de risques, la couverture du risque, l’intégration aux processus de gestion. le cadre de contrôle (ex., CoCo, COSO, etc.), les stratégies visant à mitiger directement les risques tout en poursuivant les opportunités qui se présentent, les stratégies visant à influencer indirectement ou à partager les risques par des partenariats, de l’assurance, etc., les décisions d’accepter les risques échappant au contrôle ou à l’influence, et de simplement améliorer la surveillance et la fréquence des rapports, tout en mettant en place des plans d’urgence, 62 – • Que la gestion des risques fasse l’objet d’une surveillance et qu’il y ait communication et rapports destinés à la haute direction, à l’organe de régie et aux principales parties prenantes : – – – – kpmg la réévaluation continue des risques résiduels, ajoutée à la mise à jour continue des stratégies. la qualité de l’information, la communication, la vérification interne et externe, les rapports : à la haute direction, à l’organe de régie, aux parties prenantes externes. 63 Annexe D Critères d’évaluation de l’applicabilité des pratiques exemplaires au gouvernement fédéral canadien kpmg • Susceptible de s’appliquer largement, au-delà de la protection des biens et des personnes • Stimule un milieu de travail favorable • Appuie l’innovation • Améliore la prestation du service; p. ex., l’efficacité, l’efficience • Améliore l’accès au gouvernement et à ses services • Facilite la prise de décisions de la direction • Fait la promotion d’une saine allocation des ressources • Facile à comprendre et à utiliser (langage ordinaire, convivial pour l’utilisateur) • Aide les gestionnaires à comprendre le contexte et les implications des risques • Montre la communication avec les intéressés et leur participation • Facilite les virages culturels et la gestion du changement • S’appuie sur les connaissances existantes et les leçons tirées dans l’organisation • Tient compte des coûts d’opportunité • Possède un cadre de responsabilité et de régie clair et facile d’application • Fait une utilisation efficace des ressources de vérification et d’évaluation • Établit des liens horizontaux dans l’organisation • S’intègre bien au cadre de gestion, aux processus et aux pratiques déjà en place. 64
