le 13 février 2025
I: Qu'est-ce qu'un modèle de maturité?
Un modèle de maturité est un cadre structuré utilisé pour évaluer et guider les progrès d'une organisation dans un domaine d'intérêt particulier, tel que la gestion des risques, la cybersécurité, la gestion de projet ou toute autre discipline. Il permet de mesurer et d'évaluer les capacités et les pratiques actuelles d'une organisation, et constitue une feuille de route pour l'amélioration de ces capacités au fil du temps (Chrissis et al., 2011). Les modèles de maturité consistent généralement en une série d'étapes ou de niveaux définis qui représentent des niveaux croissants de capacité, de sophistication ou de maturité dans un domaine spécifique. Chaque niveau décrit les caractéristiques, processus et pratiques qu'une organisation devrait avoir mis en place pour atteindre ce niveau (Abliwi et al., 2014) et (Röglinger et al., 2012).
L'objectif d'un modèle de maturité est :
- d’évaluer l'état actuel des choses, afin de comprendre où se situe actuellement l'organisation en termes de capacités et de pratiques dans le domaine défini.
- de définir les voies d'amélioration, en établissant une feuille de route claire pour la progression d'un niveau à l'autre et en soulignant les actions spécifiques ou les changements nécessaires pour progresser.
- de permettre aux organisations de se comparer aux meilleures pratiques ou normes de l'industrie.
- de faciliter la définition d’objectifs d'amélioration réalistes et réalisables.
- d’aider les gestionnaires à prendre des décisions éclairées sur l'affectation des ressources, l'amélioration des processus et la planification stratégique.
Origine et exemples dans différents domaines
Les modèles de maturité trouvent leur origine dans le domaine du génie logiciel et de la gestion de la qualité. L'un des permiers modèles de maturité et un des plus connus est le modèle de maturité des capacités (CMM), élaboré par le Software Engineering Institute de l'Université Carnegie Mellon à la fin des années 1980. Le CMM a été créé pour aider à évaluer et à améliorer les processus de développement de logiciels des organisations (Humphrey, 1989).
Depuis lors, le concept de modèles de maturité s'est étendu à divers domaines au-delà de l'ingénierie logicielle. Voici des exemples de modèles de maturité dans différents domaines :
Les modèles de maturité les plus répandus incluent les suivants :
- Modèle intégré d’évolution des capacités (Capability Maturity Model Integration, ou CMMI) : utilisé pour l'amélioration des processus dans le développement de logiciels et d'autres domaines d'ingénierie (Paulk et al., 1993).
- Certification du modèle de maturité de la cybersécurité (Cybersecurity Maturity Model Certification, ou CMMC) : Conçu pour les entrepreneurs du ministère américain de la Défense afin de sécuriser les informations sensibles (U.S. Department of Defense, 2022).
- Modèle de maturité de la gestion de projet (Project Management Maturity Model, ou PMMM) : Se concentre sur les pratiques et les capacités de gestion de projet (Kerzner, 2017).
- Bibliothèque d’infrastucture informatique (Information Technology Infrastructure Library, ou ITIL) : Offre un cadre pour la gestion des services informatiques, y compris un modèle de maturité pour la prestation de services (AXELOS, s.d.).
Ces modèles aident les organisations à comprendre où elles en sont dans leur parcours, où elles veulent aller et comment y parvenir, ce qui en fait des outils précieux pour la planification stratégique et les initiatives d'amélioration.
II: Comment un modèle de maturité peut-il s'appliquer au risque?
Les modèles de maturité de la gestion des risques offrent aux organisations un cadre structuré pour évaluer et améliorer leurs pratiques de gestion des risques. Ces modèles facilitent une évaluation approfondie des processus actuels de gestion des risques d'une organisation, depuis la manière dont les risques sont identifiés et évalués jusqu'à la manière dont ils sont surveillés et atténués. En utilisant un modèle de maturité, les organisations peuvent obtenir des informations précieuses sur l'efficacité de leur gestion des risques et comparer leurs pratiques avec les normes et les meilleures pratiques du secteur.
À propos des l’auteurs
Martha Genest
Martha est Analyste principale au sein de l'équipe centrale de la diversification des modes de prestation des services (DMPS) de l'Agence canadienne d'inspection des aliments (ACIA) et possède plus de 25 ans d'expérience au sein du gouvernement fédéral. Elle a dirigé des projets d'audit, de gestion des risques, de planification et d'établissement de rapports, dont dix ans en audit de performance au Bureau du vérificateur général. À l'ACIA, elle a mis en place la première fonction de surveillance des risques au niveau de l'organisation et a constitué une équipe de pratiques d'audit professionnelles. Martha a également dirigé des initiatives en matière de risques, de planification et de rapports au niveau de l'entreprise et a récemment dirigé la division des risques et de l'analyse, en soutenant le chef de la gestion des risques (CGR) et en produisant le rapport annuel du CGR à l'intention du Président.
Écrivez à l’auteure :
martha.genest@inspection.gc.ca
Amani Ali
Amani est Analyste et dirige des projets clés au sein de l'équipe centrale de la DMPS de l’ACIA. Elle est titulaire d'une maîtrise en développement international et mondialisation et a acquis une expérience précieuse en travaillant avec Affaires mondiales Canada, l'Agence de la santé publique du Canada et à Services publics et Approvisionnement Canada. Spécialisée dans l'analyse quantitative et qualitative, les politiques publiques et la gestion des risques, elle a récemment apporté d'importantes contributions à l'ACIA. Ses travaux les plus récents comprennent l'élaboration de critères d'évaluation de la gestion des risques, la réalisation d'évaluations fondées sur des données probantes, la corédaction du rapport annuel du CGR et la direction des communications et analyses qui en découlent pour le président.
Écrivez à l’auteur :
L'un des principaux avantages d'un modèle de maturité de la gestion des risques est sa capacité à fournir une feuille de route pour l'amélioration. Ces modèles décrivent généralement une série de niveaux de maturité, chacun représentant des pratiques de gestion des risques de plus en plus sophistiquées. Les organisations peuvent utiliser ces niveaux pour fixer des objectifs réalisables afin d'améliorer leurs capacités de gestion des risques. Par exemple, elles peuvent se concentrer sur l'amélioration des processus d'identification des risques avant de passer à des stratégies plus complexes de surveillance et d'atténuation des risques.
Au fur et à mesure qu'elles progressent dans les niveaux de maturité, les organisations peuvent élaborer des politiques et des procédures complètes de gestion des risques. Il s'agit notamment de définir clairement les rôles et les responsabilités, d'établir des niveaux de tolérance au risque et de créer de solides cadres de gestion des risques. Par ailleurs, l'utilisation d'outils et de technologies spécialisés dans la gestion des risques devient plus faisable et plus efficace à mesure que les organisations mûrissent dans leurs pratiques de gestion des risques.
L'amélioration continue est un principe fondamental des modèles de maturité de la gestion des risques. En évaluant régulièrement leurs progrès à l'aide du modèle, les organisations peuvent suivre les améliorations au fil du temps et ajuster leurs stratégies en connaissance de cause. En outre, à mesure que les organisations gagnent en maturité, elles tendent à favoriser une culture de sensibilisation aux risques et d'atténuation proactive des risques. Cette évolution culturelle aide la gestion des risques à s’intégrer aux activités de l'organisation, les employés à tous les niveaux devenant capables d'identifier et de traiter les risques dans leurs domaines respectifs.
Le guide d'audit du programme ERM : Risk Maturity Model est un cadre universel qui évalue l'adoption par les organisations des meilleures pratiques de gestion des risques d’entreprise (Enterprise Risk Management, ou ERM, en anglais) à partir des normes de gestion des risques les plus largement utilisées. Parmi les modèles de maturité de la gestion des risques bien connus, on peut citer le cadre COSO ERM, le modèle de maturité des risques (MMR) et la norme ISO 31000 sur la gestion des risques. Bien que ces modèles varient dans leurs spécificités, ils visent tous à guider les organisations dans l'amélioration systématique de leurs capacités de gestion des risques. Au final, en progressant dans les niveaux de maturité, les organisations peuvent améliorer leur résilience aux risques et accroître leur capacité à atteindre leurs objectifs stratégiques tout en gérant efficacement l'incertitude.
LinkedIn
Twitter