Informations de base sur la gestion des risques et des incertitudes centrée sur les objectifs

J'ai effectué des recherches sur la manière dont le secteur public canadien a répondu aux attentes de plus en plus grandes des organes de gouvernance (c'est-à-dire les comités d'audit et les comités des comptes publics (CCP), équivalents aux conseils d'administration dans le secteur privé) pour superviser la planification stratégique et la gestion des risques de l'entreprise (GRE) – en somme, les éléments fondamentaux d'une bonne gouvernance moderne.

Mes recherches indiquent que les progrès au Canada ont été lents et que le type de GRE axé sur le risque largement mis en œuvre dans le secteur public canadien n'a pas produit les avantages promis par un consortium du secteur privé américain appelé le Committee of Sponsoring Organizations (COSO) ou l'Organisation internationale de normalisation (ISO). Peu d'entités du secteur public canadien sont passées à une GRE et à un audit interne modernes, axés sur la stratégie et les objectifs, comme le préconise l'Institute of Internal Auditors (IIA) dans son modèle des trois lignes de défense de 2020¹. Les entités du secteur public canadien qui ont mis en œuvre une certaine forme de GRE ont généralement créé et mis à jour périodiquement des registres de risques - j'appelle cette approche la "GRE par liste de risques". La GRE par liste de risques, une approche fondée sur la création d'un inventaire de tous les risques possibles (également appelé "univers de risques"), renseigne peu la haute direction et les organes de gouvernance sur le risque, défini comme l'effet composite de l'incertitude, sur les principaux objectifs stratégiques et opérationnels ainsi que sur la performance, selon la définition de la norme ISO².

Bien qu'il n'existe pas de données fiables, le nombre d'entités du secteur public où la direction est le principal évaluateur/rapporteur des risques (PREMIÈRE LIGNE FORTE) et où les risques sont liés à des objectifs clés est encore faible, bien que la direction soit la mieux placée pour évaluer, gérer et rendre compte aux organes de gouvernance de l'état des risques et de l'incertitude. Compte tenu de la manière dont la GRE a été mise en œuvre dans de nombreuses organisations du secteur public canadien, la direction et les organes de gouvernance ne pensent pas que cette approche les aidera à gérer l'incertitude concernant les objectifs clés. Des changements majeurs sont nécessaires.

La gestion des risques et des incertitudes axée sur les objectifs est une approche de la gestion des risques qui s'articule autour des objectifs et des buts de l'organisation. Selon cette méthodologie, les risques sont évalués et gérés en mettant l'accent sur leur impact potentiel sur la réalisation des objectifs stratégiques, opérationnels et autres objectifs clés. Le processus consiste à identifier et à analyser les risques par rapport à des objectifs spécifiques, à les classer par ordre de priorité en fonction de leur impact potentiel et de leur probabilité, et à mettre en œuvre des mesures visant à atténuer ou à exploiter ces risques afin de garantir la réalisation des objectifs de l'organisation.

La gestion des risques et des incertitudes axée sur les objectifs intègre les considérations relatives aux risques dans la planification stratégique globale et les processus décisionnels, en alignant étroitement les activités de gestion des risques sur la mission et la vision de l'organisation. Cette approche vise à renforcer la capacité de l'organisation à relever de manière proactive les défis et les incertitudes dans la poursuite de ses objectifs, tout en optimisant l'affectation des ressources.

Les avantages qui pourraient découler d'une gestion des risques axée sur les objectifs sont nombreux. Ils comprennent, entre autres, l'amélioration des processus de prise de décision, le renforcement de la capacité à atteindre les objectifs stratégiques, l'amélioration de l'efficacité opérationnelle et de la gouvernance, et le renforcement de la confiance des parties prenantes³.

Un aperçu de cinq étapes simples pour mettre en œuvre cette nouvelle approche est présenté ci-dessous :

À propos de l’auteur

Tim J. Leech, FCPA FCA
Founder and CEO, Risk Oversight Solutions

Tim est fondateur et PDG de Risk Oversight Solutions. Au cours des 30 dernières années, il s'est concentré sur la promotion d'une solide gestion des risques axée sur les objectifs et les incertitude et sur le soutien aux organisations pour sa mise en œuvre. Il a reçu des prix pour ses contributions exceptionnelles de CPA Ontario, de l'IIA, de l'ACFE et de l'OCEG. Son travail dans le domaine de la stratégie et de la gouvernance des risques a été reconnu par des articles publiés par les universités Harvard et Columbia, la London School of Economics, l'IIA, le Conference Board et bien d'autres. En décembre 2019, Richard Chambers a nommé Tim sur sa liste des 10 meilleurs leaders d'opinion en matière d'audit interne et de risque de la décennie à l'échelle mondiale.

Écrivez à l’auteur :

timleech@riskoversightsolutions.com

Cet article présente quatre facteurs de changement importants qui soutiennent la mise en œuvre d'une nouvelle forme de gouvernance, de gestion des risques et d'audit interne : la gestion des risques et des incertitudes centrée sur les objectifs.

¹ https://www.theiia.org/globalassets/documents/resources/the-iias-three-lines-model-an-update-of-the-three-lines-of-defense-july-2020/three-lines-model-updated-french-canadian.pdf

² https://www.iso.org/obp/ui/fr/ - iso:std:iso:31000:ed-2:v1:fr

³ Albarraq A, Alkayyal A, Bawareth R, et al. (2023). “Risk Management Framework Analysis”. International Journal on Engineering Technologies and Informatics, 4(1):1‒8. Disponible (en anglais seulement) à l’adresse suivante : https://skeenapublishers.com/journal/ijeti/IJETI-04-00047.pdf