III: Mise en œuvre du MMGR à l'ACIA

Pour soutenir l'analyse de la gestion des risques d'entreprise (GRE) à l'échelle de l'Agence canadienne d'inspection des aliments (ACIA), le Modèle de maturité de la gestion des risques (MMGR) a été élaboré sur la base des cinq domaines clés de la gestion des risques décrits dans le modèle de la capacité en matière de gestion des risques du Secrétariat du Conseil du Trésor (SCT) :

1. Gouvernance, leadership et responsabilisation;
2. Établissement des priorités et prise de décision;
3. Surveillance, rendement et résultats;
4. Formation et apprentissage continu;
5. Mobilisation des intervenants et communication.

Ces domaines clés sont présentés dans le tableau 1 ci-dessous. Ils sont ventilés par niveaux de maturité (c.-à-d. informel, rudimentaire, géré, intégré et optimisé) et liés aux principaux critères appliqués pour les déterminer.

Le MMGR est conforme au cadre stratégique de gestion du risque du SCT ainsi qu'aux politiques et aux pratiques internes de l'ACIA. Il est utilisé pour surveiller et rendre compte du niveau de mise en œuvre de la GRE, afin d'aider l'Agence à mieux évaluer sa performance par rapport à la base de référence actuelle et à atteindre un niveau de maturité plus élevé au fil du temps. L'ACIA a utilisé le MMGR pour réaliser une évaluation interne, fondées sur des données probantes, de la mise en œuvre des pratiques de gestion des risques à l'ACIA. L’objectif était de déterminer le niveau de maturité de la GRE à l'Agence ainsi que les points sur lesquels l'ACIA devait se concentrer pour améliorer ses systèmes et ses pratiques de GRE.

Sous la direction du Chef de la gestion des risques de l'Agence, une deuxième ligne de défense (IIA, 2020) au sein de l'ACIA a réalisé une évaluation, fondée sur des données probantes, de la performance de l'Agence en matière de mise en œuvre de la gestion des risques d’entreprise. Le MMGR a été utilisé pour évaluer l'avancement et l'application de la GRE dans les cinq domaines clés. L’évaluation a mis l’emphase sur l'importance et le poids de la GRE dans différents domaines de l'Agence, y compris le nombre de formations liées au risque achevées chaque année, la discussion de la GRE aux tables de gouvernance et de direction, l'établissement des priorités et la prise de décision fondés sur la GRE, etc.

Les responsables du risque, qui sont des cadres supérieurs responsables de la prise de décisions stratégiques, ont également été sondés, au moyen d’un questionnaire basé sur les critères établis dans le MMGR, afin d’obtenir leur point de vue sur les forces et les faiblesses de l'ACIA en ce qui concerne la mise en œuvre de la GRE. Les questions du sondage demandaient aux responsables du risque de classer l'Agence en fonction de différents aspects : le niveau de communication, de sensibilisation et de mise en œuvre des outils et ressources de gestion du risque, la maturité de la GRE à l'échelle de l'organisation et l'intégration efficace de la GRE dans les pratiques de gouvernance et de prise de décision.

Les résultats de l'évaluation interne et du sondage auprès des responsables du risque ont été évalués par rapport au MMGR afin de s'assurer de leur cohérence. Les résultats finaux ont ensuite été consignés dans le rapport du Chef de la gestion des risques, qui sert de base pour informer le Président de la maturité de l'Agence en matière de GRE et des domaines susceptibles d'être améliorés.

IV: Comment un modèle de maturité de la gestion des risques peut être utilisé par les auditeurs

Selon l'Institut des auditeurs internes (IIA), les modèles de maturité permettent à une organisation de déterminer son état actuel dans son ensemble – ou de toute procédure ou activité au sein de l'organisation – en ce qui concerne le développement des meilleures pratiques. Ces modèles peuvent aider à créer des plans de développement et servir d'outil aux auditeurs internes dans le cadre de leurs évaluations (LogicManager, 2020). Toutefois, pour tirer le meilleur parti des modèles de maturité, les praticiens de l'audit doivent sélectionner ou créer un modèle approprié pour chaque mission et l'appliquer de manière optimale (IIA, 2018).

Lorsqu'ils sont sélectionnés ou conçus de manière appropriée, puis appliqués par la suite, les modèles de maturité peuvent offrir les avantages suivants :

• Un cadre permettant d'envisager l'avenir, l'état des choses souhaité et l'élaboration de plans d'amélioration.
• Des points de référence permettant à l'organisation de comparer ses processus en interne ou en externe.
• Un mécanisme permettant de mieux comprendre les étapes qui mènent d'un processus immature à un processus mature.
• Une méthode disciplinée facile à comprendre et à mettre en œuvre pour la direction (IIA, 2018).

V: Leçons apprises

A. Il est impératif d’obtenir l’aval de la haute gestion

Obtenir l'approbation et le soutien de la haute gestion, le plus tôt possible, sera le principal facteur de réussite de la mise en œuvre de la GRE et de l'évaluation de son succès.

Avant d'élaborer le MMGR, l'accord sur le processus et les critères a été discuté avec les auditeurs internes et les cadres supérieurs. Une fois le MMGR de l'Agence élaboré, il a été présenté à la haute gestion pour commentaires et approbation. Avant l'achèvement de l'évaluation fondée sur des éléments probants, les cadres supérieurs ont été invités à indiquer comment ils évalueraient l'Agence selon les critères définis dans le MMGR. Enfin, une fois l'évaluation terminée, les résultats préliminaires ont été communiqués aux cadres supérieurs avant la rédaction du rapport final, afin que ceux-ci aient le sentiment d'avoir participé à l'élaboration de l'instrument et à l'évaluation finale. En conséquence, le rapport d’évaluation final a été bien accueilli et apprécié, et les recommandations d'amélioration ont été approuvées et mises en œuvre afin de continuer à améliorer les pratiques et les processus de gestion des risques.

B. Il est essentiel d'identifier les principales parties prenantes, qui sont souvent transversales à l'organisation

Il convient d'identifier les principales parties prenantes qui ont la responsabilité d'assurer le succès de la GRE sur la base du MMGR, et de communiquer avec elles à un stade précoce, soit avant que les critères du modèle MMGR ne soient finalisés. Derrière chaque constatation d’une évaluation, il y a souvent un groupe de personnes qui partagent une part de responsabilité pour la déficience identifiée. Toutefois, en raison du risque de résistance culturelle ou de résistance du leadership, la création d'un changement dans une organisation ne peut reposer sur les épaules d'une seule personne ou même d'un groupe de personnes. Un leadership fort de la part de la direction sera essentiel (comme expliqué ci-dessus). La compréhension de chacun des domaines clés évalués et des critères utilisés pour évaluer la réussite de la GRE aidera l'évaluateur à trouver les personnes qui ont le pouvoir et la capacité d'apporter des changements positifs, même si elles n'en sont pas encore conscientes. Il est essentiel de reconnaître que ces personnes peuvent se trouver dans de nombreuses parties de l'organisation et qu'elles peuvent avoir besoin de mieux comprendre pourquoi elles devraient se préoccuper des risques. Une fois ces parties prenantes identifiées, on est mieux en mesure de tirer avantages des contrôles que ces personnes ont mis en place et qu'elles souhaiteraient voir mis en place, afin d'atteindre l'objectif global de chacun : obtenir des résultats de manière efficace et efficiente.

C. Comprendre l’histoire derrière les résultats facilite la communication et l’acceptation des résultats

Pour comprendre l'histoire de l'organisation, il est possible de s'appuyer sur des documents facilement accessibles : Le classement des risques d’entreprise, les documents de planification et de suivi, ainsi que les apports sur le rendement (par exemple, les Plans ministériels et Rapports sur les résultats ministériels), ainsi que les récents rapports d'audit et d'évaluation internes. Bien que l'évaluation ait révélé que des changements devaient être apportés et de quelle manière, il était essentiel pour les évaluateurs de comprendre l'histoire derrière la situation actuelle afin de mieux comprendre comment communiquer efficacement les résultats, en se concentrant sur ce qui devait concrètement être fait pour s'assurer que les parties prenantes disposent du soutien dont elles ont besoin pour mettre en œuvre la gestion des risques d'entreprise. Toutes les parties prenantes avec lesquelles nous avons travaillé étaient dévouées, expérimentées et respectées. Elles ont mérité ce respect grâce à leur leadership et aux résultats obtenus. Faire la promotion des contrôles mis en place par ces personnes hautement qualifiées a permis de communiquer des recommandations d'amélioration équilibrées et justes, et d'aider la haute gestion à comprendre où les contrôles étaient solides et où une attention particulière n'était pas nécessairement nécessaire.

Un rapport écrit sur les résultats devrait se concentrer sur les prochaines étapes à franchir (souvent collectivement) pour faciliter des changements stratégiques critiques qui feront progresser l'organisation sur l'échelle du MMGR. Comprendre l'histoire derrière les résultats favorise la présentation d’un rapport juste et équilibré à la haute gestion. Le soutien des parties prenantes concernées sera bénéfique, mais pas impératif. Au final, la crédibilité du MMGR dépendra de sa capacité à refléter la réalité.