La gouvernance résume l’ensemble des pratiques exercées par le conseil d’administration et la direction d’une organisation dans le but de développer une direction stratégique, de s’assurer que les objectifs sont atteints, que les risques sont identifiés et gérés et que les ressources sont correctement utilisées. Dans ce contexte, le conseil d’administration assume une responsabilité de supervision de la gestion des risques organisationnels, tandis que l’exécution est déléguée à la direction de l’organisme et son équipe opérationnelle.
La gestion des risques ayant beaucoup progressé dans la dernière décennie, elle n’en est pas plus pratiquée dans les petites organisations, même à la suite de la pandémie survenue en 2020. Il est donc de mise de voir cet exercice comme un outil stratégique de réussite et de pérennisation d’organisme, sans lequel la survie même de l’organisation peut être en question.
Comment s’y prendre ? Voici un processus visant à simplifier la réflexion et la mise en place d’un plan de gestion des risques.
Essentiellement, l’exercice repose sur quelques étapes, soient la réflexion, l’évaluation, l’établissement de pistes de gestion, et raffinement du plan (souvent en tandem entre le CA et la direction).
La réflexion
Il s’agit tout d’abord de réfléchir aux composantes de l’organisation pour y dégager les risques possibles.
Comme tout exercice stratégique, l’emploi de l’entonnoir est de mise : risques externes d’abord, puis les risques internes.
Les risques externes sont liés à l’environnement dans lequel opère l’organisation : l’économie, le plan politique, le contexte social, la technologie, et l’environnement. Chaque volet aura une importance pondérée selon le type d’organisation qui effectue son audit. Par exemple, un OBNL œuvrant dans le milieu de la santé et des services sociaux aura tendance à regarder de plus près le contexte social, tandis qu’une organisation qui pourrait être impactée de manière importante par un ralentissement de l’économie saura décortiquer ses risques liés à celle-ci d’abord et avant tout.
Les risques internes incluent ceux liés au financement, aux ressources humaines et à la main-d’œuvre, les risques opérationnels (englobant les processus et les lieux physiques), la technologie et la réputation.
La réflexion qui doit être menée sur chacun des risques possibles peut se faire sous forme de question, par exemple, « Quelle serait une tendance sur le plan politique qui pourrait nous affecter ? ». En répondant à cette question, un risque spécifique est dégagé. Pour cet exemple, le plan politique pourrait affecter un organisme qui a pour mission de faire du lobbying auprès des instances gouvernementales lors d’une année d’élection, pendant laquelle les joueurs peuvent changer et les relations doivent être rétablies.
L’évaluation
Une fois les risques identifiés, il s’agit d’évaluer leur impact possible, puis la probabilité que cet enjeu survienne.
Par exemple, une organisation qui traite de données confidentielles de 10 000 membres, comme une banque alimentaire, pourrait identifier le risque de cybersécurité. L’impact possible d’un enjeu de cybersécurité qui pourrait compromettre la confidentialité des données des utilisateurs peut être évalué comme un grand impact. Il s’agit ensuite de déterminer la probabilité que cela survienne, en tenant compte des logiciels et des systèmes de sécurité en place, incluant la formation à jour des employés à ce sujet.
On met alors le risque en question sur une grille, comportant les deux axes « Impact » et « Probabilité ». Voici quelques exemples de matrice à utiliser :
On note un nombre différent de boîtes par matrice, et on choisit la matrice la plus simple correspondant à nos besoins. Dans le cas d’un premier exercice en évaluation et gestion de risques, il est fortement conseillé de choisir la grille 3 par 3, celle qui figure ci-haut à gauche. On divise alors l’impact et la probabilité en trois : faible, moyen, élevé, puis on inscrit le risque dans la case appropriée.
Par exemple, un risque X qui aurait un impact moyen et une probabilité moyenne de se produire se retrouverait dans la case jaune du milieu.
Une fois la matrice complétée avec les risques identifiés, il s’agit de les numéroter pour en identifier la séquence, donc de les prioriser. Ceci permet à tous de mettre l’attention aux risques les plus importants. Les couleurs servent à ce faire : on priorise d’abord les risques se retrouvant dans les cases rouges, puis jaunes, pour terminer l’exercice en se penchant sur les risques figurant dans les cases vertes.
L’établissement des pistes de gestion
En suivant la priorité de chaque risque, tel qu’identifié dans l’étape précédente, on élabore des stratégies pour mitiger, soit pour éviter/éliminer le risque complètement ou en réduire son importance, soit pour avoir des éléments de gestion en main si jamais ce risque devient réalité.
Par exemple, un organisme qui est financé à 80% par une seule source pourrait identifier cette réalité comme étant un risque (financier) à mitiger. La stratégie proposée pourrait être de diversifier le financement; la tactique étant de faire des demandes de subvention.
Un autre exemple serait un organisme qui identifie comme risque la retraite de son DG. La stratégie proposée serait d’établir un plan de relève; la tactique étant la mise en place d’un comité du conseil d’administration qui a pour mandat de recruter un DG adjoint qui saura prendre la relève le moment venu.
Le raffinement
Raffiner le plan de gestion des risques se fait sur une base continue, en tandem entre le conseil d’administration et la DG/l’équipe opérationnelle. Il s’agit de revoir la matrice ainsi que les pistes de gestion sur une base annuelle pour répondre aux questions suivantes, entre autres :
- Y a-t-il de nouveaux risques à ajouter à notre cartographie ? (selon le contexte)
- Y a-t-il des risques à éliminer ? (selon le contexte)
- Les pistes de gestions sont-elles toujours adaptées à notre réalité ?
- Avons-nous eu à faire face à l’un ou l’autre enjeu identifié ? Si oui, nos pistes de gestions ont-elles été en mesure de mitiger l’impact de l’événement ?
Un exercice d’évaluation et de gestion des risques s’inscrit normalement dans le cours des affaires d’un conseil d’administration, tout comme la planification stratégique et l’approbation des budgets annuels. Il relève des administrateurs de s’assurer qu’une politique à cet égard existe et que le processus est ancré dans les pratiques du CA. À titre d’information, un exemple de politique de Gestion des Risques figure ci-après; ce modèle de base peut et doit être modifié et ajusté pour refléter la réalité et la nature de votre organisme. N’hésitez pas à consulter ou vous faire accompagner surtout s’il s’agit d’une première évaluation des risques et mise en place d’une nouvelle politique.
Déposer une demande d’accompagnement
Texte rédigé par Negar Haghighat, bénévole experte et spécialiste en gouvernance des OBNL, accréditée par l’Université Laval.
Référence :
- Ordre des comptables professionnels agréés. « Politique de gestion intégrée des risques », Juin 2018. https://cpaquebec.ca/-/media/docs/lordre/a-propos/gouvernance/politiques/politique-gestion-integree-risques_fr.pdf