La gestion des risques est cyclique. Autrement dit, il s’agit d’une activité continue au lieu d’une tâche ponctuelle sur une liste de choses à faire et qu’on peut oublier une fois cochée. Une organisation qui s’est dotée d’un processus de gestion des risques envoie le signal qu’elle connaît et comprend les risques auxquels elle est exposée, qu’elle a délibérément évalué ces risques et qu’elle a adopté des stratégies visant à réduire la probabilité que ces risques se matérialisent, à limiter le plus possible les dégâts éventuels, ou à éliminer complètement les risques.
À la base, la gestion des risques vous amène à vous poser trois questions fondamentales :
- Qu’est-ce qui pourrait mal aller?
- Que devrions-nous faire pour prévenir une mauvaise tournure des choses?
- Quelle est notre réponse en cas de dommage ou de perte?
Déterminer les risques
Demandez-vous ce qui pourrait mal aller. Quelle que soit l’activité menée par votre organisation, elle comporte des risques. Détectez et documentez-les. Tenez compte à la fois des risques
généraux qui affectent toutes les organisations, et des risques propres à la vôtre.
Il existe plusieurs catégories de risques :
- Risques financiers : relatifs à la rémunération ou à une mauvaise gestion financière par des employé.e.s ou superviseur.e.s.
- Risques en matière de santé et de sécurité : harcèlement; pratiques ou environnement de travail non sécuritaires.
- Risque à la réputation : liés à des pratiques discriminatoires, à une couverture médiatique défavorable ou à des scandales.
- Risques opérationnels : l’incapacité d’une organisation de réaliser son mandat en raison d’un manque de ressources ou d’une mauvaise gestion des ressources.
- Risques technologiques : liés au non-respect des directives sur l’utilisation d’équipements technologiques, ou aux cybermenaces, p. ex. sous forme de logiciels de rançon.
- Risques liés à la disponibilité de ressources : liés à l’incapacité de l’organisation à acquérir ou à retenir des ressources adéquates, qu’elles soient humaines, financières, matérielles ou techniques.
- Risques stratégiques : les objectifs stratégiques ne sont pas communiqués, ne sont pas compris par les employé.e.s, ou ne sont pas intégrés aux indicateurs de rendement.
- Risques liés à la gouvernance : une gestion de l’organisation contraire à l’éthique par le conseil d’administration; non-respect des politiques et des procédures.
- Risques environnementaux : liés à l’environnement politique ou communautaire dans lequel l’organisation travaille.
Invitez les employé.e.s, les bénévoles et les membres du conseil d’administration à participer au processus d’identification des risques afin de dresser un portrait exhaustif des risques existants, fondé sur l’expertise respective des gens dans différentes parties de l’organisation. Vous pouvez également faire appel aux services d’un.e comptable ou d’un.e avocat.e.
Évaluer les risques
Par la suite, pour chacun des risques, évaluez la probabilité avec laquelle il pourrait se produire, ou la fréquence à laquelle il pourrait se matérialiser, et la gravité des conséquences. Une carte des risques sur laquelle vous pouvez indiquer la probabilité et la gravité des conséquences vous aidera à prioriser les mesures à prendre à la prochaine étape. Vous devez réviser cette carte régulièrement : certains risques pourraient diminuer au fil du temps après la mise en place de stratégies d’atténuation efficaces, tandis que d’autres risques pourraient augmenter. Les risques critiques doivent faire l’objet de rapports périodiques au conseil d’administration.
Développer des stratégies de gestion des risques
Vous devez déterminer la meilleure stratégie de gestion pour chaque risque identifié :
- Évitement : arrêter de fournir le service ou de mener l’activité en raison de risques trop élevés.
- Acceptation : certaines activités à risque sont indispensables à la réalisation de la mission d’une organisation qui va alors décider d’accepter ces risques.
- Modification : changer l’activité pour réduire la probabilité que le risque se produise ou la gravité des conséquences. Les politiques et procédures jouent un rôle important dans cette stratégie de gestion des risques, car elles permettent de communiquer des attentes et de définir des limites.
- Transfert ou partage : souscrire une assurance ou transférer le risque à une autre organisation par la signature d’un contrat sur le partage des risques (p. ex. un contrat conclu avec une compagnie d’autobus sur le transport de client.e.s afin que ce ne soit plus les employé.e.s qui les conduisent).
Dans certaines organisations, le conseil d’administration prépare un énoncé sur la tolérance au risque dans lequel ses membres indiquent leur degré de tolérance à certains risques. De manière générale, les conseils d’administration sont peu ou modérément enclins à prendre des risques, particulièrement les risques à la réputation et financiers qui sont étroitement liés aux ressources humaines.
Mettre en place un plan de gestion des risques
Après avoir déterminé les stratégies de gestion des risques les plus efficaces et abordables pour votre organisation, vous devez :
- concrétiser les étapes du plan de gestion des risques et déterminer qui est responsable de chacune des étapes;
- communiquer le plan et vous assurer que tous.tes les intervenant.e.s y adhèrent (employé.e.s, bénévoles, client.e.s, etc.);
- offrir de la formation à tous.tes les employé.e.s et bénévoles pour qu’ils.elles puissent comprendre la logique qui sous-tend le plan de gestion des risques, tout comme les attentes, les procédures et les formulaires connexes.
Surveiller le plan de gestion des risques
Posez-vous les questions suivantes et documentez toute modification apportée au plan :
- Notre plan fonctionne-t-il?
- Nos risques ont-ils changé?
- Avons-nous élargi ou réduit notre offre de programmes et de services?
- Devons-nous faire des changements au plan ou le mettre à jour?
- Nos employé.e.s et bénévoles suivent-ils.elles le plan de gestion des risques?
- Ont-ils.elles besoin de plus de formation sur les détails du plan?
- Faut-il mieux communiquer le plan?
Le domaine de la gestion des risques évolue sans cesse. Il est donc important de rester au fait des plus récents développements et de réévaluer le système de gestion des risques de votre organisation tous les ans.
Qui participe au processus de gestion des risques?
Le conseil d’administration doit s’engager à assurer la disponibilité des ressources financières et humaines requises selon le plan. Les grandes organisations peuvent créer un comité, une équipe ou un service responsable du processus de gestion des risques.
Dans les organisations de petite ou de moyenne taille, la responsabilité de développer et d’exécuter un processus de gestion des risques incombera probablement à la direction générale. Cependant, les employé.e.s rémunéré.e.s, les bénévoles et, possiblement, les client.e.s et d’autres intervenant.e.s peuvent être des partenaires précieux dans l’identification des risques et l’élaboration de stratégies efficaces.
Une fois le processus de gestion des risques mis en place, toutes les personnes dans l’organisation ont un rôle à jouer, p. ex. identifier les risques associés à des politiques et procédures, remplir des formulaires et préparer des rapports.