Guide sur les taxonomies des risques
Formulation des risques principaux
Table des matières
Pour de plus amples renseignements, veuillez communiquer avec :
Pour obtenir de plus amples renseignements, veuillez contacter Demandes de renseignements du SCT.
1.0 Introduction
La taxonomie des risques est un ensemble complet, commun et fixe de catégories de risques utilisé au sein d’une organisation.
- Le caractère complet de l’ensemble de catégories de risques permet aux responsables de l’identification des risques d’envisager tous les types de risques susceptibles d’avoir des répercussions sur les objectifs de l’organisation.
- Le caractère commun de l’ensemble de catégories de risques facilite le regroupement des risques relevés dans l’ensemble de l’organisation.
- Le caractère fixe de l’ensemble de catégories de risques facilite l’analyse comparative des risques de l’organisation au fil du temps.
Le guide présente à l’intention des ministères et organismes divers facteurs à considérer pour l’élaboration et l’utilisation d’une taxonomie des risques. Il décrit une approche destinée à catégoriser et à regrouper les risques qui peut être adaptée aux besoins particuliers d’une organisation.
Il faut noter que la taxonomie des risques n’est pas obligatoire dans le cadre d’une démarche intégrée de gestion du risque. Son utilisation peut cependant renforcer cette démarche et en améliorer l’intégration grâce aux avantages qu’elle offre.
1.1 Élaborer une taxonomie des risques
L’élaboration d’une taxonomie des risques commence par l’établissement d’un ensemble de catégories de risques. Les catégories doivent être assez génériques pour permettre de regrouper les risques relevés dans l’ensemble de l’organisation.
La section 2 présente des exemples de catégories de risques possibles. Les ministères et organismes peuvent adapter cette liste en fonction de leurs besoins. Il pourrait être opportun, par exemple, de personnaliser les catégories de manière à mieux refléter le mandat d’une organisation, d’harmoniser les catégories aux structures ou aux classifications existantes ou d’ajouter des sous-catégories pour les risques qui sont pertinents dans le mandat de l’organisation. Il faut tenter d’établir un nombre de catégories raisonnable: pas trop pour nuire au regroupement des risques, et pas trop peu pour que le regroupement devienne inutile et affaiblisse le caractère particulier de chaque catégorie.
Il faut noter qu’il est possible qu’une organisation dispose déjà d’une taxonomie des risques dans un secteur fonctionnel donné, par exemple, pour l’audit interne ou la gestion de l’information. Il est souhaitable d’en tenir compte dans l’élaboration d’une taxonomie des risques organisationnels, car elle peut contenir des catégories dont l’application à l’échelle de l’organisation est éprouvée.
La taxonomie élaborée devrait être communiquée à l’ensemble de l’organisation afin qu’elle soit utilisée de façon uniforme pour l’identification et le regroupement des risques. De plus, elle peut intégrer la taxonomie des risques dans ses directives et ses modèles de gestion intégrée du risque.
1.2 Utiliser une taxonomie des risques
L’organisation devrait encourager les responsables de l’identification des risques à utiliser la taxonomie des risques pour catégoriser les risques relevés. L’utilisation de la taxonomie des risques dans leur identification permet de s’assurer que tous les types de risques ont été considérés, et elle facilite le regroupement des risques.
Les responsables du regroupement des risques relevés à l’échelle de l’organisation peuvent ensuite classer les risques dans les catégories. Il est possible de présenter l’information de diverses façons, notamment dans un tableau comprenant des colonnes intitulées « catégorie de risques », « facteurs », « événement de risque » et « répercussions du risque ». (Consultez les définitions de ces termes à l’annexe A.)
L’information peut aussi servir de base à un profil de risque ministériel ou d’un instrument semblable, dans lequel il sera possible de relever régulièrement, à tous les trois mois, six mois ou d’année en année, les changements dans les catégories de risques, selon les circonstances.
1.3 Liens avec d’autres guides et outils
Le Guide de gestion intégrée du risque de 2010 contient des directives générales sur l’identification des risques.
On trouve des directives sur l’élaboration des profils de risque organisationnels dans le Guide d’élaboration d’un profil de risque organisationnel 2010.
2.0 Classifier les risques
La présente section fournit une liste des catégories de risques possibles accompagnée d'une brève description des types de risques, de menaces et de occasions pouvant correspondre à chaque catégorie. Comme il est énoncé à la section 1, on s'attend à ce que les organisations utilisent de façon sélective ces catégories pour identifier et regrouper leurs risques; elles peuvent adapter les catégories à leurs besoins.
- Processus opérationnels
- Menaces et occasions associées à la conception ou à la mise en œuvre des processus opérationnels.
- Immobilisations
- Menaces et occasions associées aux immobilisations d'une organisation, y compris les biens durables (p. ex., immeubles, navires, matériel scientifique, parc), mais à l'exclusion de l'infrastructure de la TI.
- Communications
- Menaces et occasions associées à l'approche et à la culture d'une organisation en matière de communication, de consultation, de transparence et de mise en commun des renseignements, tant à l'interne qu'à l'externe.
- Conflit d'intérêts
- Menaces et occasions associées aux conflits perçus ou potentiels en les intérêts privés et l'intérêt public.
- Gestion financière
- Menaces et occasions associées aux structures et aux processus destinés à assurer une saine gestion des ressources financières et la conformité aux politiques et aux normes en matière de gestion financière.
- Gouvernance et orientation stratégique
- Menaces et occasions associées aux façons de faire en matière de leadership, de prise de décisions et de capacité de gestion.
- Gestion des ressources humaines
- Menaces et occasions associées au roulement de personnel au sein de l'effectif et de la direction, à la culture organisationnelle, au recrutement, à la rétention du personnel et aux processus et aux pratiques de dotation, à la planification de la relève et à la gestion des talents et au perfectionnement, à la formation et au renforcement des capacités des employés.
- Gestion de l'information
- Menaces et occasions associées à la capacité et à la viabilité relativement aux procédures et aux pratiques de gestion de l'information.
- Technologie de l'information
- Menaces et occasions associées à la capacité et à la viabilité en matière de technologie de l'information, dont l'infrastructure et l'utilisation des applications technologiques.
- Gestion du savoir
- Menaces et occasions associées à la consignation et à la gestion du savoir, notamment en ce qui a trait à la propriété intellectuelle, à l'information et aux dossiers organisationnels et opérationnels et aux données scientifiques.
- Risques juridiques
- Menaces et occasions associées à la gestion des activités se rapportant à la législation, aux avis et aux litiges, y compris l'élaboration et le renouvellement des lois, règlements, politiques, traités et accords internationaux selon les normes juridiques établies.
- Transformation organisationnelle et gestion du changement
- Menaces et occasions associées à un changement important de la structure ou du comportement d'une organisation se rapportant à son mandat, à son contexte opérationnel, à son leadership ou à son orientation stratégique.
- Élaboration et mise en œuvre des politiques
- Menaces et occasions associées à l'élaboration, à la mise en œuvre et au respect des politiques gouvernementales et des politiques et procédures internes.
- Confidentialité et gérance de l'information
- Menaces et occasions associées à la protection de la propriété intellectuelle et des renseignements personnels.
- Conception et exécution des programmes
- Menaces et occasions associées à la conception et à l'exécution de programmes particuliers susceptibles d'avoir des répercussions sur les objectifs généraux de l'organisation.
- Gestion de projet
- Menaces et occasions associées aux processus et aux pratiques de préparation et de gestion de grands projets à l'appui du mandat général de l'organisation ainsi qu'à des risques liés à des projets particuliers susceptibles de nécessiter une gestion à long terme.
- Situation politique
- Menaces et occasions associées à la situation politique et au contexte de fonctionnement de l'organisation.
- Réputation
- Menaces et occasions associées à la réputation et à la crédibilité d'une organisation auprès de ses partenaires, des intéressés et de la population canadienne.
- Gestion des ressources
- Menaces et occasions associées à la disponibilité, au niveau et à la gestion des ressources permettant à une organisation de réaliser son mandat ainsi qu'associées à la gestion de ces ressources.
- Parties intéressées et partenariats
- Menaces et occasions associées au profil démographique, aux caractéristiques et aux activités des partenaires et des parties intéressées d'une organisation.
- Valeurs et éthique
- Menaces et occasions associées à la culture d'une organisation et à sa capacité de respecter l'esprit et l'intention du Code de valeurs et d'éthique de la fonction publique.
Annexe A : Définitions et exemples
- Risque
- Le risque se définit comme étant l’effet de l’incertitude sur l’atteinte des objectifs. Il est important de noter que le risque peut représenter une incertitude négative, communément désignée comme une menace, ou une incertitude positive, communément désignée une occasion.
- Catégorie de risque
- La catégorie de risque est un type de risque suffisamment générique pour désigner et regrouper des risques relevés dans diverses entités d’une organisation. Consultez la section 2 pour obtenir des exemples.
- Événement de risque et répercussions du risque
-
L’événement de risque est une situation ayant le potentiel d’exercer une incidence sur l’atteinte des objectifs d’une organisation. L’événement de risque peut être négatif ou positif, c’est-à-dire une menace ou une occasion.
Les répercussions d’un risque sont les conséquences potentielles d’un événement de risque. Comme pour l’événement de risque, les répercussions du risque peuvent être positives ou négatives.
Exemple d’un événement de risque négatif (menace) : « L’organisation peut ne pas avoir la capacité de conserver le nombre actuel d’employés dans des catégories d’emplois scientifiques. »
Exemple de répercussions négatives : « Incapacité à atteindre les objectifs en matière de recherche de l’organisation »
Exemple d’un événement de risque positif (occasion) : « L’organisation peut être en mesure de faire la promotion de ses approches innovatrices à l’occasion d’une prochaine conférence internationale »
Exemple de répercussions positives : « Capacité accrue d’établir des partenariats internationaux »
- Facteur
-
Un facteur est une circonstance interne ou externe qui alimente un risque. Les facteurs de risque sont souvent relevés dans le cadre d’analyses du contexte.
Les organisations confondent souvent les facteurs et les risques. Plus particulièrement, les organisations désignent souvent certaines circonstances externes (sociales, économiques, etc.) comme des « risques externes », alors qu’il s’agit en fait de facteurs de risque. Pour faire la distinction entre les deux concepts, une organisation peut s’interroger sur la raison pour laquelle la circonstance externe représente une difficulté ou une occasion pour l’organisation.
Une organisation pourrait déterminer, par exemple, que le vieillissement de la population canadienne est un facteur de risque qui contribue à la hausse du nombre de demandes et de personnes admissibles à un programme donné, phénomène contribuant au risque que l’organisation ne soit pas en mesure de répondre à la hausse de la demande d’exécution du programme.
Détails de la page
- Date de modification :