Module 2 – Évaluation et gestion des risques
Download
Report
Transcript Module 2 – Évaluation et gestion des risques
Formation du comité de vérification des
conseils scolaires
Module 2
Évaluation et gestion des risques
1
Objectifs de la séance de formation
À la fin de cette séance, vous :
comprendrez les responsabilités du comité de vérification liées à la gestion des risques;
reconnaîtrez et évaluerez les différents types de risques :
•
gouvernance,
•
prestation de services/opérationnel,
•
satisfaction des intervenants/perception du public,
•
ressources humaines,
•
finances,
•
juridique et conformité,
•
gestion de l'information,
•
technologie;
serez en mesure d'évaluer les risques en fonction de leur probabilité et de leur importance;
comprendrez l'évaluation des risques au sein de l'environnement de la vérification du conseil
scolaire;
comprendrez les techniques usuelles de gestion des risques.
2
Terminologie relative aux risques
Définition du terme risque1
Le risque désigne « tout élément
d'incertitude et d'importance variable
interférant avec la mise en œuvre des
stratégies et des objectifs
organisationnels ».
1 Source:
COSO
3
Obligations du comité de vérification relatives à la
gestion des risques
[Règlement de l'Ontario 361/10 9(6)]
•
Se renseigner au sujet des risques importants.
•
Examiner les politiques du conseil en matière d'évaluation et de
gestion des risques et évaluer les mesures prises pour gérer ces
risques, notamment les contrôles internes et le caractère adéquat
de la couverture d'assurance.
•
Exercer, à la demande du conseil, d'autres activités relatives à la
surveillance des questions touchant la gestion des risques du
conseil ou de questions financières qui le concernent.
•
Lancer et superviser des enquêtes, comme il convient.
4
Catégories de risques
•
•
•
Ensemble, les 72 conseils scolaires de
district (CSD) de l'Ontario sont
responsables de l'éducation de plus de
deux millions d'élèves. Les conseils
scolaires doivent composer avec un
large éventail de risques qui doivent être
gérés afin d'atteindre les résultats en
matière d'éducation qu'exigent les
intervenants.
On peut classer ces risques par
catégories pour faciliter le processus de
recensement et de gestion.
Il incombe au comité de vérification de
superviser le processus d'évaluation des
risques et de s'assurer que les risques
importants sont définis et que les
nouveaux risques sont pris en
considération.
Technologie
Juridique et
conformité
Gouvernance
Activités
Ressources
humaines
Risques
Perception du
public
Finances
Gestion de
l'information
Il est essentiel d'adopter une approche intégrée en matière de gestion des risques.
5
Type de risque : gouvernance
•
•
Gouvernance
Risque lié au fait que la structure, les obligations ou les responsabilités de
l'organisation ne soient pas conçues, transmises ou mises en œuvre pour
atteindre les objectifs de l'organisation, et au fait que la culture et
l'engagement de la direction n'appuient pas les structures officielles.
Voici des cas où les risques liés à la gouvernance pourraient avoir une
incidence sur un CSD :
– reddition de comptes et supervision
• risque que les pouvoirs hiérarchiques inefficaces ou mal définis
permettent aux gestionnaires ou aux employés de réaliser des
tâches qu'ils ne devraient pas réaliser et vice-versa.
6
Type de risque : prestation de services/activités
•
•
Activités
Risque lié au fait que des activités inefficaces ou l'interruption de la prestation de
services aient une incidence sur la capacité du conseil scolaire à attendre ses buts et
ses objectifs.
Voici des cas où les risques liés aux activités pourraient avoir une incidence sur un
CSD :
–
atteinte des résultats :
•
–
expérience des élèves
•
–
risque que les objectifs pédagogiques ne soient pas atteints en raison de l'incapacité de fournir le
programme scolaire de manière efficace aux élèves.
risque lié à l'incapacité d'offrir aux élèves des programmes de qualité leur permettant d'acquérir
des compétences relatives à l'apprentissage permanent.
sécurité personnelle
•
risque lié à l'incapacité d'offrir aux élèves, aux éducateurs, aux parents et aux autres membres de
la collectivité scolaire un environnement sûr et sécuritaire.
7
Type de risque : satisfaction des intervenants/
perception du public
Perception
du public
•
Risque que le conseil scolaire ne réponde pas aux attentes du public, du
ministère de l'Éducation et d'autres intervenants externes et que ses
actions aient une incidence sur son image auprès du public.
•
Voici des cas où les risques liés à la satisfaction des intervenants ou à la
perception du public pourraient avoir une incidence sur un CSD :
– engagement des intervenants
•
le risque que les intervenants ne s'engagent pas suffisamment ou qu'ils n'assurent pas la
surveillance et l'évaluation de l'organisation.
8
Type de risque : ressources humaines
Ressources
Humaines
•
Le risque qu'on embauche ou qu'on maintienne en poste un nombre insuffisant
d'employés ou des employés inadéquats ou non qualifiés et que le roulement de
personnel compétent soit élevé.
•
Voici des cas où les risques liés aux ressources humaines pourraient avoir une
incidence sur un CSD :
–
recrutement et maintien en poste
•
–
gestion des présences
•
–
risque lié à l'incapacité d'attirer et de maintenir en poste des employés détenant les
connaissances, les compétences et l'expérience nécessaires permettant au CSD d'atteindre de
manière efficace les résultats souhaités en matière d'éducation et ses objectifs opérationnels.
risque de nuire à la prestation du programme et d'entraîner des coûts supplémentaires sur le
plan de l'enseignement en raison de l'absence imprévue ou excessive des enseignants.
planification de la relève
•
risque que le CSD n'arrive pas à prévoir et à planifier de manière convenable la relève et le
renouvellement du personnel clé empêchant ainsi la réalisation des activités essentielles ou
entraînant une perte du savoir organisationnel.
9
Type de risque : finances
•
Finances
Risque lié aux pertes financières en raison du vol, de la présentation d'information
financière erronée, de la fraude ou de l'incapacité de respecter les exigences
budgétaires. Voici des cas où les risques liés aux finances pourraient avoir une
incidence sur un CSD :
–
établissement du budget et des prévisions
•
–
comptabilité et rapports financiers
•
–
risque que les transactions ne soient pas traitées, examinées, déclarées ou divulguées de
manière convenable, entraînant ainsi des erreurs et des omissions dans les rapports financiers.
manutention de l'argent
•
–
risque que des renseignements irréalistes, non pertinents ou peu fiables relatifs au budget et à
la planification ou qu'un manque de connaissances relatives au financement par le Ministère
mènent à des conclusions financières et à des décisions opérationnelles inappropriées.
risque que l'argent soit détourné, non comptabilisé ou conservé dans un endroit peu sûr.
fraude
•
risque de fraude (notamment le détournement de biens) commise par la direction, le personnel
administratif, les enseignants ou les élèves, entraînant des pertes.
10
Type de risque : juridique et conformité
Juridique et
conformité
•
Risque que le conseil scolaire ne respecte par les lois, les règlements, les
dispositions des contrats, les lignes directrices et les directives.
•
Voici des cas où les risques sur le plan juridique et de la conformité
pourraient avoir une incidence sur un CSD :
– conformité
• risque que l'organisation ne se conforme pas aux exigences ou aux lignes directrices
du Ministère, donnant ainsi lieu à des mesures correctives ou à de la publicité
négative.
– risque sur le plan juridique
• risque que l'organisation ne se conforme pas à ses obligations juridiques ou aux
exigences de la loi.
11
Type de risque : gestion de l'information
•
Gestion de
l'information
Risque que l'information relative au conseil scolaire soit incomplète,
désuète, non pertinente, ou divulguée de manière inappropriée. Voici
quelques exemples :
– stratégie en matière de gestion de l'information/technologies de
l'information
• risque qu'un CSD n'arrive pas à élaborer et à mettre en œuvre une stratégie
efficace en matière de gestion de l'information/technologies de l'information visant à
répondre aux besoins et aux exigences des multiples intervenants.
12
Type de risque : technologie
•
•
Technologie
Risque que les technologies de l'information ne soient pas adaptées aux
besoins opérationnels et qu'elles n'appuient pas la disponibilité, l'intégrité, la
pertinence et la sécurité des données ainsi que l'accès aux données.
Voici quelques exemples :
– fiabilité et disponibilité des technologies de l'information
• risque que les systèmes de technologies de l'information, les applications
opérationnelles et les systèmes de télécommunication n'appuient pas les activités.
– confidentialité, qualité et intégrité des données
• risque que les mesures de contrôle en place ne permettent pas de garantir la
confidentialité, la qualité et l'intégrité de l'information électronique d'un CSD.
– sécurité des technologies de l'information
• risque lié à la protection inadéquate des réseaux, des systèmes et des applications
d'un CSD.
13
Discussion – Catégories de risques
Déterminez d'autres risques ayant une incidence sur un CSD dans les
catégories suivantes :
o Gouvernance
o Prestation de services/opérationnel
o Satisfaction des intervenants/perception du public
o Ressources humaines
o Finances
o Juridique et conformité
o Gestion de l'information
o Technologie
Quelle incidence ces risques pourraient-ils avoir sur le conseil?
Quelles mesures peut-on prendre pour empêcher que ces risques aient une
incidence sur l'organisation?
14
Évaluation des risques : probabilité et importance
•
•
Le risque comprend deux aspects — la probabilité et l'importance
Probabilité :
– La probabilité que le risque se concrétise et ait une incidence sur
l'organisation.
•
Importance :
– L'incidence éventuelle du risque sur l'organisation (s'il devait se concrétiser).
– On peut évaluer l'importance en fonction de différents critères. Aux fins de
l'évaluation du risque lié au CSD, on utilise les critères suivants :
• réputation – si le risque se concrétisait, quelle incidence cela aurait-il sur la
réputation de l'école, du CSD ou du Ministère?
• finances – si le risque se concrétisait, quelle incidence financière cela aurait-il?
15
Évaluation des risques : probabilité et importance
Importance du risque
Dommages importants
Probabilité
élevée
Probabilité de concrétisation
16
Exercice – Évaluation du risque
•
•
Au sein de votre groupe, déterminez de 8 à 10 risques qui pourraient
empêcher les travailleurs qui mangent sur le toit d'un gratte-ciel d'atteindre
leur objectif.
Sur un tableau de papier, reproduisez le graphique et inscrivez les risques
à l'endroit approprié.
17
Exercice – Évaluation du risque
L'importance en fonction de la probabilité
Importance
Élevée
Effondrement du gratteciel
Perte d'équilibre
Fort vent
Échapper son repas
Collision entre les
travailleurs et de petits
oiseaux
Faible
Échapper son casque de
protection
Probabilité
Élevée
18
Évaluation des risques : le risque inhérent par rapport
au risque résiduel
•
•
•
•
On peut évaluer le risque en fonction de deux niveaux, inhérent et résiduel.
Le risque inhérent représente le niveau de risque évalué en l'absence des
contrôles internes.
Le risque résiduel représente le niveau de risque évalué en fonction des
contrôles internes.
Les contrôles internes peuvent favoriser la réduction de la probabilité et de
l'importance du risque.
19
Pourquoi devrionsnous évaluer les risques?
•
L'évaluation du risque organisationnel constitue la première étape visant à
déterminer l'objectif de la vérification interne. Elle vise à :
– comprendre les risques présents dans l'environnement au sein duquel le CSD
évolue;
– évaluer la probabilité et l'importance de l'incidence de ces risques sur les
différents processus mis en œuvre par le CSD;
– reconnaître les processus du CSD comportant les risques les plus élevés.
20
Comment évaluer les risques?
•
•
•
•
Dans le cadre du processus d'évaluation des risques, on doit recenser
l'ensemble des risques auxquels fait face le CSD afin de comprendre leur
incidence potentielle sur l'organisation.
En s'appuyant sur les catégories de risques, on peut définir les
sous-risques dans chaque catégorie et en évaluer l'applicabilité.
Comme les risques ont une incidence sur différents secteurs de
l'organisation, on doit adopter une approche descendante.
Cette approche descendante appliquée à l'organisation se nomme l'univers
des processus.
21
Univers de vérification du conseil scolaire
Conseil scolaire de district:
CSD du Grand Nord de l'Ontario
Pour la période:
1er septembre 2009 au 31 août 2010
Niveau de risque à l'échelle de l'entité:
Niveau de risque à l'échelle des processus:
Processus
Instruction et écoles
P
IF
IR
%
Processus
P
IF
IR
%
Processus
IF
IR
%
Processus
P
IF
IR
%
Processus
P
IF
IR
%
Processus
Planification et
développement des
programmes
Planification et offre de
services de soutien
Inscription
Fréquentation scolaire
Gestion des journées
d’enseignement
Éducation de l’enfance
en difficulté
Besoins élevés relatifs
à l’éducation de
l’enfance en difficulté
Coordination des
organisations étudiantes
et sportives
Perfectionnement
professionnel
Gestion des
suspensions et des
expulsions
Planification, élaboration
et contrôle budgétaire
Analyse et rapports de
gestion
Rapports au Ministère
Gestion des revenus
(subventions et
autres)
Collecte de fonds
Trésorerie
Approvisionnement des
établissements
Approvisionnement et
comptes créditeurs
Cartes d’achat
Rapports de dépenses
Gestion des risques
Paie
P révisio n des beso ins des
établissements, planificatio n
des immo bilisatio ns
Procédures relatives
aux règlements sur les
RAS
Gestion de l’exploitation
des établissements
Réparations et
entretien
Services d'entretien
Suivi et gestion des
travaux de construction
Recrutement et maintien
de l’effectif
Embauche
Dotation en personnel
enseignant
Dotation en personnel
non enseignant
Soutien à l’assiduité
Rémunération et
avantages sociaux
Cessation d’emploi et
retraite
Gestion des relations de
travail
Santé et sécurité
Enseignants
suppléants
Élaboration de la
stratégie en matière de
TI
Développement et
déploiement
d’applications
Gestion de l’accès aux
réseaux et aux
applications
Gestion de la sécurité
des TI
Gestion des données
Gestion des documents
Sauvegarde
Gestion du système de
communication
Déploiement des
ressources non liées
aux TI
Définition des
paramètres des
services de transport
Suivi des relations avec
le consortium
Gestion de la prestation
des services
Services des affaires
Établissem ents
P
P
IF
IR
%
Suivi des résultats et
production de rapports
Respect de la LPHO
Ressources hum aines
Technologies de
l’inform ation et
com m unications
Transport des écoles
provinciales
Transport
Légende:
P - la probabilité de la réalization d'une risque basé sur l'évaluation des risques (après considérations pour facteurs atténuants)
IF - l'impacte financier au conseil scolaire si le risque est matérialisé
Légende des couleurs:
Risque faible
IR - l'impacte sur la réputation du conseil scolaire si le risque est matérialisé
Risque modéré
% - Niveau de risque (en pourcentage) par processus basé sur l'évaluation combinée de la probabilité et de l'impacte
Risque élevé
22
Évaluer les risques
Définir l'univers des
processus
Élaborer un cadre
relatif aux risques
Évaluer les risques
liés aux processus
Objectif
• Définir les principales
activités du CSD
relatives à
l'enseignement et au
soutien.
• Élaborer un cadre
d'évaluation des risques
importants, réels et
éventuels pouvant avoir
une incidence sur les
processus opérationnels
du CSD.
• Évaluer les risques
inhérents à chaque
processus faisant partie de
l'univers des processus du
CSD afin d'orienter les
documents relatifs aux
contrôles internes.
Activités
• Réaliser des
entrevues, examiner
les documents et
valider auprès des
intervenants.
• Tirer avantage des
connaissances relatives
aux risques internes et
externes en fonction des
discussions, de la
recherche et des
expériences antérieures.
• Évaluer les risques liés
aux processus en fonction
de la probabilité, de
l'incidence financière et
des conséquences sur la
réputation.
Produits
livrables
• Univers des processus
du CSD
• Cadre du CSD relatif aux
risques
• Univers des processus du
CSD classé en fonction
des risques
23
Univers de vérification du conseil scolaire
Conseil scolaire de district:
CSD du Grand Nord de l'Ontario
Pour la période:
1er septembre 2009 au 31 août 2010
Niveau de risque à l'échelle de l'entité:
Modéré
Niveau de risque à l'échelle des processus:
Instruction et écoles
Processus
P
IF
IR
Planification et
développement des
programmes
E
F
Éducation de l’enfance
en difficulté
F
Planification, élaboration
et contrôle budgétaire
%
Processus
P
IF
IR
M 52.00%
Planification et offre de
services de soutien
F
M
E
E 66.50%
Besoins élevés relatifs
à l’éducation de
l’enfance en difficulté
E
M
E
E 89.67%
Analyse et rapports de
gestion
Approvisionnement des
établissements
F
E
M 60.28%
P révisio n des beso ins des
établissements, planificatio n
des immo bilisatio ns
F
M
M 49.84%
Respect de la LPHO
F
M
E 60.17%
Recrutement et maintien
de l’effectif
M
M
Cessation d’emploi et
retraite
M
Élaboration de la
stratégie en matière de
TI
%
Processus
P
IF
IR
F 42.12%
Inscription
E
M
M
M 74.34%
Coordination des
organisations étudiantes
et sportives
F
M
M
M 65.84%
Rapports au Ministère
Approvisionnement et
comptes créditeurs
M
M
E 77.17%
Procédures relatives
aux règlements sur les
RAS
F
F
F 37.17%
Embauche
M
M
M 57.46%
Gestion des relations de
travail
F
F
F 24.83%
Sauvegarde
F
F
Définition des
paramètres des
services de transport
F
E
%
Processus
P
IF
IR
F 68.50%
Fréquentation scolaire
E
M
F
F 38.00%
Perfectionnement
professionnel
F
M
F
F 35.33%
Gestion des revenus
(subventions et
autres)
Processus
P
IF
IR
M 72.60%
Gestion des journées
d’enseignement
F
M
M 48.96%
E
M 59.67%
Gestion des
suspensions et des
expulsions
M
M
F 57.13%
M
M
M 53.72%
Collecte de fonds
E
F
Cartes d’achat
E
M
F 68.00%
Rapports de dépenses
F
E
E 67.00%
Gestion des risques
F
M 44.59%
Gestion de l’exploitation
des établissements
M
E
F 59.45%
Réparations et
entretien
E
E
E 86.17%
Services d'entretien
M
M 65.45%
Dotation en personnel
enseignant
E
E
M 88.50%
Dotation en personnel
non enseignant
E
L
L 36.00%
E
F
E 72.83%
Santé et sécurité
F
M
M 51.62%
Enseignants
suppléants
E
M
L 68.50%
Développement et
déploiement
d’applications
F
M
F 43.28%
Gestion de l’accès aux
réseaux et aux
applications
M
F
E 56.28%
Gestion de la sécurité
des TI
E
M
M 76.95%
M 49.67%
Gestion du système de
communication
F
M
F 34.95%
Déploiement des
ressources non liées
aux TI
F
M
F 33.17%
F 50.33%
Suivi des relations avec
le consortium
M
M
M 57.34%
Gestion de la prestation
des services
F
M
E 58.17%
Transport des écoles
provinciales
F
F
E 49.83%
Services des affaires
Établissem ents
%
%
Processus
P
IF
IR
%
Suivi des résultats et
production de rapports
M
F
M 59.96%
E 72.40%
Trésorerie
E
M
M 65.00%
F
F 26.83%
Paie
M
E
F 66.83%
F
M
M 49.84%
Suivi et gestion des
travaux de construction
F
F
F 33.75%
Soutien à l’assiduité
M
E
E 78.00%
Rémunération et
avantages sociaux
M
L
L 39.17%
Gestion des données
M
F
M 56.57%
Gestion des documents
F
F
M 41.17%
Ressources hum aines
Technologies de
l’inform ation et
com m unications
Transport
Légende:
P - la probabilité de la réalization d'une risque basé sur l'évaluation des risques (après considérations pour facteurs atténuants)
IF - l'impacte financier au conseil scolaire si le risque est matérialisé
Légende des couleurs:
Risque faible
IR - l'impacte sur la réputation du conseil scolaire si le risque est matérialisé
Risque modéré
% - Niveau de risque (en pourcentage) par processus basé sur l'évaluation combinée de la probabilité et de l'impacte
Risque élevé
24
Comment utiliser les résultats de l'évaluation des
risques?
•
•
Dans le cadre de la vérification interne, on doit concentrer les efforts et les
ressources sur le risque que l'on considère comme le plus élevé.
On doit examiner les secteurs présentant les risques les plus élevés afin
de :
– recenser et d'évaluer les contrôles internes en place au sein des processus
actuels du CSD;
– recenser et de corriger les lacunes existantes en matière de contrôles internes;
– favoriser l'atteinte des objectifs du CSD par le renforcement des processus et
des contrôles.
25
Techniques de gestion des risques
Techniques de gestion des risques
Évitement
Prévention ou
modification
Atténuation
Maintien
Transfert
(échange)
Éliminer un service ou une activité qu'on estime trop risqué.
Modifier l'activité pour que les contrôles internes permettent de réduire la
probabilité de matérialisation d'un risque (et les pertes connexes).
Accepter le risque tout en réduisant l'incidence des pertes, si le risque devait
se concrétiser, au moyen de contrôles internes existants et supplémentaires.
Accepter le risque tel quel (et ses conséquences). Certains risques sont
inhérents aux activités de votre organisation.
Transférer le risque réel ou les conséquences financières d'une perte à une
autre partie.
26
Pratiques exemplaires en matière de gestion des
risques
•
•
•
•
•
•
•
•
•
Utiliser la gestion des risques pour assurer la gestion des questions relatives à la
transformation.
Adapter la planification stratégique à la gestion des risques.
Se concentrer sur l'intégration de la gestion des risques aux processus ou aux initiatives
opérationnels existants.
Regrouper les rôles dispersés relatifs à la gestion des risques au sein d'une structure de
gouvernance claire.
Élaborer des indicateurs de risque clés visant à établir une relation entre la gestion des
risques et la mesure du rendement.
Examiner ou vérifier les contrôles afin d'évaluer les risques financiers et les contrôles.
Mener des examens opérationnels.
Réaliser des évaluations et des examens des technologies de l'information.
Inculquer une culture d'éthique et d'ouverture par la promotion de la gestion des risques et
le renforcement du lien avec la déclaration des incidents.
Certaines techniques de gestion des risques existent malgré l'absence d'un contrôle interne.
27
Discussion – Risque
1. En groupe, choisissez un processus opérationnel de l'organisation que les
membres de votre groupe connaissent.
2. Définissez les risques les plus importants ayant une incidence sur ce
secteur.
3. Si ces risques n'étaient pas gérés, évaluez la probabilité qu'ils se
concrétisent et l'importance de leur incidence sur l'organisation.
28