More details

Gouverner l’incertitude : se doter d’une politique de gestion intégrée des risques

Dans un monde où l’imprévisibilité n’est plus l’exception, mais plutôt la règle, comment prioriser les multiples dangers qui guettent une organisation ? Comment une organisation peut-elle devenir plus résiliente aux imprévus ? Quelles mesures doit-on mettre en place pour se prémunir contre d’éventuelles menaces ? Comment s’assurer qu’on couvre bien tous les « angles morts » avant qu’ils ne se transforment en crise ? Et si un événement malheureux se produisait, l’organisation serait-elle en mesure d’y faire face ?

Une saine gouvernance des risques[1], articulée autour d’une politique claire et d’une évaluation constante des mesures d’atténuation, permet de traiter efficacement ces questions.

Rappel de la démarche permettant de gérer les risques

Un précédent blogue résume les étapes à suivre pour gérer les risques[2] :

  • L’identification des risques externes et internes pouvant affecter notre organisation ;
  • L’évaluation de la probabilité que chacun des risques se concrétise et les conséquences éventuelles si cela se produisait ;
  • L’établissement des pistes de gestion des risques prioritaires selon l’une des quatre approches suivantes :
    1. accepter le risque et se préparer à y faire face s’il se concrétise
    2. mettre en place des moyens d’en réduire la probabilité ou les conséquences,
    3. transférer le risque à un tiers,
    4. l’éviter ou l’éliminer complètement lorsque possible.

Le résultat de la démarche mène à l’établissement du registre des risques organisationnels. Pour éviter d’exposer publiquement les vulnérabilités de l’organisation, ce registre est généralement considéré comme confidentiel.

Une problématique fréquente liée à la gestion des risques

L’erreur la plus commune en matière de gestion de risque est de réaliser les étapes ci-dessus une fois par année et de n’en faire aucun suivi. Or, pour qu’une organisation acquière la résilience qui lui permettra de faire face aux incertitudes d’un monde de plus en plus instable, un certain nombre d’activités doivent en effet être réalisées en continu tout au long de l’année, notamment :

  • S’assurer que les pistes de gestion des risques ont été mises en place et que celles-ci contribuent réellement à diminuer la probabilité et la conséquence éventuelle de chacun ;
  • Ajuster la priorité des risques identifiés, retirer les risques qui ne constituent plus une menace, déterminer si de nouveaux risques peuvent affecter notre organisation ;
  • Reconnaître qu’un risque s’est concrétisé et prendre les actions appropriées (cellule de crise, mesures correctives, activité alternative, etc.)

L’importance de la gouvernance des risques

Pour le CA d’une organisation, les risques doivent être perçus comme un élément stratégique à gouverner. La mise en place d’une gouvernance robuste des risques assure que l’organisation a mis en place les moyens de prévention appropriés, ce qui permet alors de se concentrer sur l’essentiel de la mission de l’organisation.

Selon une enquête récente, seuls 10,5 % des OBNL ont un comité permanent sur la gestion des risques[3]. Cette même étude constate qu’une « attention insuffisante est accordée à certains risques par les CA, ce qui expose les organisations à des conséquences importantes au niveau stratégique, réputationnel, financier, et pourrait même menacer leur pérennité à court, moyen ou long terme »[4].

La gouvernance des risques transforme l’incertitude en levier de performance durable et devient ainsi un accélérateur de décision.

Mise en place d’une politique de gestion intégrée des risques

Une bonne pratique pour assurer une saine gouvernance des risques consiste à mettre en place une Politique de gestion intégrée des risques. Sans elle, la gestion des risques reste une initiative ad hoc, dépendante de la bonne volonté de quelques personnes. Cette politique n’est pas un manuel technique des procédures à appliquer, mais bien une déclaration d’intention stratégique du CA. Et contrairement au registre des risques considéré comme confidentiel, la politique de gestion intégrée des risques est largement diffusée à l’ensemble des parties prenantes de l’organisation.

On parle de gestion « intégrée » des risques parce que cette pratique s’applique à l’ensemble des activités de l’organisation, de la gouvernance aux opérations, en passant par les projets et les relations avec les partenaires.

La politique de gestion intégrée des risques dépend du contexte de chaque organisation. Elle devrait minimalement couvrir les éléments suivants :

  • La position de l’organisation par rapport à la prise de risque. Certaines organisations sont très prudentes alors que d’autres se montrent très ouvertes à la prise de risque. Cette position peut également varier selon différents aspects de l’organisation. Par exemple, on pourrait ainsi être ouvert aux nouvelles technologies, mais ne vouloir prendre aucun risque pouvant affecter le financement de l’organisation.
  • La composition et le rôle d’un comité sur la gestion des risques, si pertinent pour l’organisation.
  • Les rôles et responsabilités plus précis en matière de gestion des risques.
    • Qui identifie les risques ? Qui détermine si un risque est prioritaire ?
    • Qui décide de la stratégie de gestion applicable à chacun ?
    • Qui est responsable de suivre l’évolution des risques ?
    • Qui détermine qu’un risque se concrétise et que le plan d’action approprié doit être activé ?
  • La fréquence de réévaluation des risques et les personnes à impliquer dans ces revues.
  • L’évaluation de l’efficacité des mesures d’atténuation mises en place pour chacun des risques prioritaires. Si une mesure de réduction du risque s’avère trop coûteuse ou inefficace par rapport au résultat à atteindre, la gouvernance doit en être informée pour qu’une décision appropriée soit prise.

Gabarit de politique

Comme mentionné sur le site Educaloi, « le Conseil d’administration d’un OBNL devrait examiner tous les risques auxquels l’organisme est confronté pour mieux les prévenir ou les minimiser ainsi que mettre en place des politiques en lien avec la gestion de risques » [5].

Pour vous soutenir, nous avons développé un gabarit de politique de gestion des risques adapté aux OBNL. De multiples exemples peuvent également être consultés sur Internet[6].

Bénévoles d’Expertise dispose également de ressources bénévoles pouvant accompagner les organismes qui souhaitent établir un registre des risques organisationnels ou encore mettre en place d’une politique de gestion intégrée des risques.

Devenir membre
Autre demande d’accompagnement

Ce texte a été rédigé par Daniel Tremblay, bénévole expert en gouvernance.

[1] Une norme internationale, ISO 31000, fournit des principes et des lignes directrices pour le management du risque.

[2] Negar Haghighat, « Étapes à suivre pour gérer les risques », Bénévoles d’Expertises (blogue), 17 février 2023, 

[3] Collège des administrateurs de sociétés en collaboration avec le Centre universitaire d’expertise en gouvernance de sociétés, « Gouvernance au Québec – Portrait et Perspectives 2026 », à la page 50.

[4] Ibid., à la page 11.

[5] ÉducaLoi, « OSBL : Liste de vérifications de vos responsabilités récurrentes »

[6]  Un exemple : Ordre des comptables professionnels agréés. « Politique de gestion intégrée des risques », Juin 2018. 

1800 1200 Bénévoles expertise
Partager
Article précédent
Comment bien intégrer les recrues ?
Close
Devenir
bénévole expert
Demander
un accompagnement
Contacter
Bénévoles d’Expertise

Pour nous joindre

Facebook Linkedin Youtube

5000, 3e Avenue Ouest
Bureau 205
Québec (Québec) G1H 7J1

418 914-5589

Faire un don