Risk Management Guidelines Directives de gestion des risques
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Risk Management
Guidelines
Directives de
gestion des risques
Version number/Version 2.0
Date submitted to Executive/ 10 May 2010/
Date de soumission à la Direction 10 mai 2010
Approved at Executive Meeting 10 May 2010/
Comments from Executive/
Approuvées lors de la réunion de la direction du
Observations de la Direction
10 mai 2010Contents Sommaire
1.0 Introduction........................................................1 1.0 Introduction..............................................................1
1.1 Overview......................................................................1 1.1 Présentation générale.................................................... 1
1.2 Risk management framework......................................1 1.2 Cadre de gestion des risques........................................... 1
1.3 Principles of risk management 1.3 Principes de gestion des risques (fondés sur la norme AS/
(based on AS/NZS ISO 31000–2009)..................................2 NZS ISO 31000:2009).......................................................... 2
2.0 Risk management context..................................4 2.0 Contexte de gestion des risques.................................4
2.1 Strategic and organisational context............................4 2.1 Contexte stratégique et organisationnel......................... 4
2.2 Risk evaluation criteria.................................................4 2.2 Critères d’évaluation des risques..................................... 4
2.3 Stakeholder identification............................................4 2.3 Recensement des parties prenantes............................... 4
2.4 Some questions to ask when establishing the context.5 2.4 Questions à se poser lors de l’établissement du contexte.5
3.0 Risk management process...................................6 3.0 Processus de gestion des risques...............................6
3.1 Risk identification.........................................................6 3.1 Détermination des risques............................................. 6
3.1.1 Risk areas.............................................................................7 3.1.1 Secteurs de risque..............................................................7
3.1.2 Methods of risk identification......................................7 3.1.2 Méthodes de détermination des risques......................7
3.1.3 Some questions to ask when identifying risks.......8 3.1.3 Questions à se poser lors de la détermination des
risques............................................................................................8
3.2 Risk assessment...........................................................8
3.2.1 Likelihood scale.................................................................8 3.2 Analyse des risques........................................................ 8
3.2.2 Risk likelihood and consequence descriptors..... 10 3.2.1 Échelle de probabilité.......................................................8
3.2.3 Risk impact descriptors............................................... 11 3.2.2 Grille de probabilité et de conséquences du risque...10
3.2.4 Risk calculation table.................................................... 12 3.2.3 Grille d’impact du risque............................................... 11
3.2.5 Evaluation of risks.......................................................... 13 3.2.4 Matrice de criticité.......................................................... 12
3.2.6 Acceptable risks............................................................. 13 3.2.5 Évaluation des risques................................................... 13
3.2.7 Risk criteria....................................................................... 13 3.2.6 Risques acceptables....................................................... 13
3.2.7 Critères de risque............................................................. 13
3.3 Risk treatment............................................................14
3.3.1 Occupational health and safety treatment.......... 15 3.3 Traitement des risques................................................. 14
3.3.2 Risk transfer..................................................................... 15 3.3.1 Traitement des risques en matière d’hygiène et de
sécurité au travail..................................................................... 15
3.4 Risk monitoring and review........................................16 3.3.2 Transfert de risque.......................................................... 15
3.4.1 Risk management structure and responsibilities.16
3.4.2 Risk management at the divisional level.............. 16
3.4 Suivi et évaluation des risques..................................... 16
3.4.1 Structure de gestion des risques et responsabilités.16
3.4.3 Corporate risk management:.................................... 16
3.4.2 Gestion des risques à l’échelon des divisions............ 16
3.4.4 Executive Management Team Review................... 17
3.4.3 Gestion des risques institutionnels............................. 16
3.4.5 Control effectiveness assessment descriptors.... 18
3.4.4 Évaluation de l’équipe de direction............................ 17
3.4.5 Grille d’évaluation de l’efficacité des mesures de
ANNEXES................................................................. 19 maîtrise....................................................................................... 18
Annex A – Risk Assessment and Control Form..................20
Annex B – Risk treatment and action plan worksheet......26 ANNEXES.................................................................. 19
Annex C – Glossary of terms Annexe A– Formulaire d’analyse et de maîtrise des risques....21
(based on AS/NZS 4360:2004).........................................28 Annexe B – Liste des plans d’action et de traitement
des risques......................................................................... 27
Annexe C – Glossaire
(extrait de la norme AS/NZS 4360:2004)........................... 28
Risk Management Guidelines
3 Directives de gestion des risques1.0 Introduction 1.0 Introduction
1.1 Overview 1.1 Présentation générale
Risk is usually defined as an assessment of the Par « risque », on entend généralement l’évaluation de la
possibility of some adverse event occurring and the possibilité de survenue d’un événement indésirable et des
likely consequences of this event. Risk is inherent in the conséquences probables de cet événement. Il existe un risque
functions and activities of the Secretariat of the Pacific inhérent aux opérations et aux activités du Secrétariat général
Community (SPC) and its service providers. Because de la Communauté du Pacifique (CPS) et des prestataires de
the consequences of an adverse event may include an services de l’Organisation. Un événement indésirable pouvant
inability to meet stakeholder and customer requirements, notamment se traduire par une incapacité à répondre aux
exigences des clients et des parties prenantes, des pertes
financial loss, organisational or political embarrassment,
financières, une situation embarrassante pour la CPS ou
operational disruption, and legal problems, it is important au niveau politique, des perturbations du fonctionnement
that management policies, procedures and practices are de l’Organisation, ou des problèmes juridiques, l’adoption
in place to minimise SPC’s exposure to risk. Because the de politiques, de procédures et de pratiques de gestion
environment in which SPC operates changes, risks and est essentielle en vue de réduire l’exposition de la CPS aux
opportunities also change. Effective risk management is a risques. Le monde dans lequel celle-ci intervient évolue et,
means of monitoring those changes. dans le même temps, les risques et les perspectives évoluent.
Une gestion efficace des risques permet d’assurer un suivi de
ces changements.
1.2 Risk management framework
SPC has developed these Risk Management Guidelines
based on Australian and New Zealand Standards on Risk
1.2 Cadre de gestion des risques
Management (AS/NZS ISO 31000–2009 ‘Risk Management Pour élaborer les présentes directives de gestion des risques, la
– Principles and Guidelines’ and AS/NZS 4360–2004 ‘Risk CPS s’est inspirée des normes australiennes et néo-zélandaises
Management’). The aim of this document is to achieve relatives à la gestion des risques (AS/NZS ISO 31000:2009
best practice in controlling all risks to which SPC is exposed. Risk Management – Principles and Guidelines et AS/
NZS 4360:2004 Risk Management). Le présent document vise
The organisation will achieve this by identifying its priority
à atteindre un objectif de meilleures pratiques en matière de
exposures, addressing these, incorporating appropriate
maîtrise de l’ensemble des risques auxquels la CPS est exposée.
risk management strategies, risk improvements and Pour y parvenir, l’Organisation recensera les principaux
contingency planning into its business, monitoring and risques encourus, les traitera, intégrera dans ses activités
reviewing ongoing risk to account for changes in its des stratégies adaptées de gestion des risques, des mesures
operations and enable it to make well-informed decisions d’atténuation des risques et des plans d’urgence, procédera
on risk controls. en continu à un suivi et à une évaluation des risques afin de
tenir compte des modifications intervenues dans ses activités
SPC recognises that all risks cannot be eliminated. It et de lui permettre de prendre des décisions éclairées sur les
mesures de maîtrise des risques.
is committed to managing risk in order to protect the
interests of its:
Si la CPS est consciente de l’impossibilité d’éliminer tous les
risques, elle s’engage à les gérer dans un souci de protection :
• staff, volunteers and their skills;
• donor partners; • des intérêts de ses agents et des bénévoles, et de
leurs compétences ;
• customers, clients and stakeholders;
• des intérêts de ses partenaires bailleurs de fonds ;
• environment;
• des intérêts de ses clients et parties prenantes ;
• quality of service;
• de l’environnement ;
• assets and intellectual property;
• de la qualité de service ;
• contractual and statutory obligations; and
• de ses biens et de sa propriété intellectuelle ;
• image and reputation.
• de ses obligations contractuelles et statutaires ; et
The following diagram illustrates SPC’s risk management
• de son image et de sa réputation.
framework. The framework closely aligns with AS/
NZS4360:2004. Le schéma ci-après représente le cadre de gestion des risques
de la CPS. Ce cadre est en parfaite adéquation avec la norme
AS/NZS 4360:2004.
Risk Management Guidelines
1 Directives de gestion des risquesYes
No
1.3 Principles of risk management (based on AS/NZS ISO
31000–2009) 1.3 Principes de gestion des risques (fondés sur la norme AS/
SPC’s principles of effective risk management consist of NZS ISO 31000:2009)
the following: Pour garantir une gestion efficace des risques, la CPS s’appuie
sur les principes suivants :
i. Risk management creates and protects value.
It contributes to the demonstrable achievement i) La gestion des risques crée de la valeur et la
of objectives and improvement of performance protège. Elle concourt à la réalisation concrète
in, for example human, health and safety, legal, d’objectifs et à l’amélioration des résultats dans
regulatory compliance, public acceptance, différents domaines, tels que les ressources
environmental protection, product and service humaines, l’hygiène et la sécurité, le droit, la
quality, project and programme management, conformité réglementaire, l’acceptation par le
efficiency in operations, governance and grand public, la protection de l’environnement,
la qualité des produits et services, la gestion des
reputation.
projets et programmes, l’efficacité des activités, la
ii. Risk management is an integral part of all SPC’s gouvernance et la réputation.
organisational processes. It is not a stand-alone
activity that is separate from the main activities ii) La gestion des risques fait partie intégrante de
of the organisation. Risk management is part l’ensemble des processus organisationnels de la
of the responsibilities of the management and CPS. Il ne s’agit pas d’une activité indépendante,
distincte des activités principales de l’Organisation.
staff.
Elle est au nombre des responsabilités dévolues à
iii. Risk management is part of decision-making. It la direction et au personnel.
helps decision-makers make informed choices,
prioritise actions and distinguish amongst iii) La gestion des risques est une composante de la
alternative course of action. prise de décision. Elle aide les décideurs à faire des
choix éclairés, à définir les priorités d’intervention
et à sélectionner les mesures les plus appropriées.
Risk Management Guidelines
Directives de gestion des risques 2iv. Risk management explicitly addresses iv) La gestion des risques traite explicitement des
uncertainty, the nature of the uncertainty and incertitudes, de la nature de ces incertitudes et de
how it can be handled. l’approche à suivre pour y faire face.
v. Risk management is systematic, structured v) La gestion des risques est systématique,
and timely so as to contribute to efficiency and structurée et conduite en temps utile, dans un
consistent, comparable and reliable results. souci d’efficacité renforcée et d’obtention de
résultats cohérents, comparables et fiables.
vi. Risk management is based on the best
available information. The inputs are based vi) La gestion des risques s’appuie sur les meilleures
on information sources such as historical data, informations disponibles. Ces informations
experience, stakeholder feedback, observations, proviennent de différentes sources telles que les
forecasts and expert judgments. données historiques, l’expérience, le retour des
parties prenantes, les observations, les projections
vii. Risk management takes human and cultural et les avis d’experts.
factors into account by recognising the
capabilities, perceptions and intentions of vii) La gestion des risques tient compte des facteurs
external and internal people who can enhance humains et culturels, considérant les capacités,
or hinder achievement of SPC’s objectives. les perceptions et les intentions des personnes
au sein de l’Organisation comme à l’extérieur,
viii. Risk management is transparent and qui sont susceptibles de favoriser ou d’entraver la
inclusive. Appropriate and timely involvement réalisation des objectifs de la CPS.
of stakeholders and, in particular, decision-
makers at all levels of SPC, ensures that risk viii) La gestion des risques est transparente et
management remains relevant and up to date. inclusive. Les parties prenantes et, en particulier,
les décideurs à tous les échelons de la CPS sont
ix) Risk management is dynamic, iterative, and impliqués de façon appropriée et opportune
responsive to change so that as external and de sorte que la gestion des risques demeure
internal events occurs, context and knowledge pertinente et actualisée.
change, monitoring and review take place, new
risks emerge, some change and others disappear. ix) La gestion des risques est dynamique, itérative
Therefore, risk management continually senses et adaptée au changement. Ainsi, quand se
and responds to change. produisent des événements internes et externes, le
contexte et les connaissances évoluent, un suivi et
x) Risk management facilitates continual une évaluation sont conduits, de nouveaux risques
improvement of the organisation so apparaissent, d’autres changent et d’autres
that SPC can develop and implement encore disparaissent. En conséquence, la gestion
strategies to improve their management des risques est systématiquement sensible au
maturity alongside other developments. changement et y fait face.
x) La gestion des risques favorise l’amélioration
The challenge is to infuse risk management into SPC’s continue de l’Organisation. La CPS est ainsi en
culture, everyday business operations and those of mesure d’élaborer et de mettre en œuvre des
SPC’s contractors and business partners. Everyone’s stratégies destinées à accroître son niveau de
involvement and support is critical to an effective result. maturité en matière de gestion, entre autres
The risk analysis process is to assess both threats and mesures d’amélioration.
opportunities.
La difficulté consiste à intégrer la gestion des risques dans la
culture de la CPS, dans ses activités quotidiennes et dans celles
de ses prestataires et partenaires opérationnels. L’implication
et le soutien de chacun et chacune sont essentiels pour que la
gestion des risques soit efficace. L’analyse des risques vise à
évaluer tant les menaces que les opportunités.
Risk Management Guidelines
3 Directives de gestion des risques2.0 Risk management context 2.0 Contexte de gestion des risques
Establish the strategic, organisational and risk Cartographier le contexte stratégique, organisationnel et de
management context in which the rest of the process will gestion des risques dans lequel s’inscrira le reste du processus.
take place. Internal and external stakeholders and their C’est à ce stade que les parties prenantes internes et externes
objectives are defined at this stage of the process. The ainsi que leurs objectifs sont recensés. Sont également établis
les objectifs globaux de l’activité ou du projet visé, sa portée,
overall objectives of the project or activity are determined
les ressources nécessaires et le calendrier. Les critères à
along with the scope, resources and timeline. Criteria
l’aune desquels les risques seront évalués doivent eux aussi
against which risk will be evaluated should be established être définis, parallèlement à la structure de l’analyse.
and the structure of the analysis defined.
2.1 Strategic and organisational context 2.1 Contexte stratégique et organisationnel
Définir la relation qui existe entre le programme et son
Define the relationship between the Programme and its environnement, en recensant les atouts, les faiblesses, les
environment, identifying the department’s strengths, opportunités et les menaces s’agissant du service concerné.
weaknesses, opportunities and threats. This could include Citons, à titre d’exemple, les pouvoirs publics, l’économie,
government, the economy, financial markets, employer les marchés financiers, les groupements d’employeurs, les
groups, staff association, the physical environment, associations de personnel, l’environnement physique, les
technology, media, customers and providers. technologies, les médias, les clients et les prestataires.
Identify the internal and external stakeholders, and Dresser la liste des parties prenantes internes et externes, et
consider their objectives, taking into account their étudier leurs objectifs, en tenant compte de leurs points de
perceptions, and establish communication policies with vue, et mettre en place des politiques de communication avec
these parties. The department should seek to determine ces parties. Le service concerné doit s’employer à déterminer
les éléments essentiels susceptibles de renforcer ou au
the crucial elements that might support or impair its
contraire d’affaiblir sa capacité à gérer les risques encourus.
ability to manage the risks it faces.
Les buts, les objectifs, les stratégies, la portée et les
The goals, objectives, strategies, scope and parameters paramètres de l’activité ou du programme soumis au
of the activity, or of the programme, to which the processus de gestion des risques doivent être définis. Il
risk management process is being applied, should be convient à cette fin d’effectuer les opérations suivantes :
established. The following should be undertaken:
• définir le programme ou le projet et fixer les
• Define the programme or project and set objectifs ;
objectives.
• définir la portée du programme ou du projet dans
• Define the extent of programme or project in le temps et dans l’espace ;
time and location.
• déterminer les études et les ressources nécessaires.
• Identify any studies and resources required.
2.2 Critères d’évaluation des risques
2.2 Risk evaluation criteria Déterminer les critères à l’aune desquels les risques seront
Decide the criteria against which risk is to be evaluated. évalués lors de la phase d’évaluation des risques. S’il n’est
These criteria will be used during the risk evaluation phase. pas nécessaire à ce stade du processus d’avoir clairement
défini toutes les facettes des risques encourus, les principaux
It is not necessary for all facets to be articulated at this
écueils doivent être dûment notés.
stage; however, major issues should be acknowledged.
2.3 Stakeholder identification 2.3 Recensement des parties prenantes
Pour dresser la liste des parties prenantes, il convient de
When identifying stakeholders, the following should be
s’intéresser aux personnes suivantes :
considered:
• les décideurs ;
• Decision-makers.
• les personnes qui sont, ou qui jugent être,
• Individuals who are, or perceive themselves to
directement concernées par une décision ou une
be, directly affected by a decision or activity.
activité ;
• Individuals within SPC, such as employees,
• les personnes travaillant à la CPS, et notamment les
management, executives, and contractors.
agents, la direction, les cadres et les prestataires
• Staff representative groups. de l’Organisation ;
Risk Management Guidelines
Directives de gestion des risques 4• Partners in the decision, donors, government • les groupements de représentants du personnel ;
agencies, implementing agencies.
• les partenaires intervenant dans la décision,
• Regulators and other government organisations les bailleurs de fonds, les organismes publics
that have authority over activities. nationaux et les organismes d’exécution ;
• Clients and customers. • les autorités de réglementation, entre autres
autorités nationales, dont relèvent les activités ;
• Suppliers and service providers.
• les clients ;
• Media who may either be stakeholders or
conduits of information to other stakeholders. • les fournisseurs et prestataires de services ;
• Individuals or groups interested in issues related • les médias qui peuvent soit être parties prenantes,
to the proposal. soit relayer l’information auprès d’autres parties
prenantes ;
2.4 Some questions to ask when establishing the context • les personnes ou les groupes qui s’intéressent aux
• What is the policy, programme, process or enjeux en lien avec la proposition.
activity?
2.4 Questions à se poser lors de l’établissement du contexte
• Who are the key stakeholders?
• Quel(le) est la politique, le programme, le
• What are the major outcomes expected? processus ou l’activité concerné(e) ?
• What are the dollar values? • Quelles sont les principales parties prenantes ?
• What are the strengths and weaknesses? • Quels sont les principaux effets attendus ?
• What are the major threats and opportunities • Quelle est la valeur financière (en dollars) ?
the programme presents?
• Quels sont les atouts et les faiblesses ?
• What are the significant factors in the internal
and external environment? (This should • Quelles sont les principales menaces qui pèsent
include the geographic, economic, political, sur le programme, ainsi que les principales
environmental, social and technological factors opportunités qu’il offre ?
that could affect the process.)
• Quels sont les grands facteurs au sein de
• What is the best way to structure the risk l’environnement interne et externe ? (Il
identification phase? s’agit notamment de considérer les facteurs
géographiques, économiques, politiques,
• What problems were identified in previous environnementaux, sociaux et technologiques
reviews? susceptibles d’avoir une incidence sur le processus.)
• What risk criteria should be established? • Quelle est la méthode la plus adaptée pour
structurer la phase de détermination des risques ?
• Quels problèmes ont été mis en évidence lors de
précédentes évaluations ?
• Quels sont les critères de risque à retenir ?
Risk Management Guidelines
5 Directives de gestion des risques3.0 Risk management process 3.0 Processus de gestion des risques
Risk identification Détermination des risques
Identify the main SPC risks: Recenser les principaux risques encourus par la CPS :
• programme funding
• les financements du programme
• products and services
• les produits et services
• business practices and delivery methods
• les pratiques et méthodes d’exécution de l’Organisation
• member countries
• les pays membres
• main regulatory risks
• les principaux risques réglementaires
Risk assessment/neasurement
Analyse/Mesure des risques
Measure the size and importance of risk: Mesurer l’ampleur et la gravité des risques :
• likelihood – the chance of the risk occurring • probabilité : possibilité que le risque se réalise
• impact – the amount of loss or damage if the risk occurs • impact : pertes ou préjudice subis en cas de réalisation du
• likelihood X impact = level of risk (risk score) risque
• probabilité x impact = niveau de risque (note de risque)
Risk treatment
Traitement des risques
Manage business risk
Gérer les risques encourus par l’Organisation :
• minimise and manage the risks
• apply strategies, policies and procedures • réduction et gestion des risques
• manage the regulatory risks • mise en œuvre de stratégies, politiques et procédures
• put in place systems and controls • gestion des risques réglementaires
• carry out the risk plan • mise en place de systèmes et mesures de maîtrise
• exécution du plan de gestion des risques
Risk monitoring and review
Suivi et évaluation des risques
Monitor and review risk plans
Suivre et évaluer les plans de gestion des risques :
• develop and carry out monitoring process
• keep necessary records • élaboration et mise en œuvre d’un processus de suivi
• review risk plan • consignation des informations nécessaires
• do internal audit or assessment • examen du plan de gestion des risques
• prepare compliance report • réalisation d’un audit ou d’une évaluation interne
• préparation d’un rapport de conformité
3.1 Risk identification
3.1 Détermination des risques
Risk identification
Détermination des risques
Identify the main SPC risks:
• Programme funding Recenser les principaux risques encourus par la CPS :
• products & services
• business practices/delivery methods • les financements du programme
• Member Countries • les produits et services
• Identify the main regulatory risks • les pratiques et méthodes d’exécution de l’Organisation
• les pays membres
• les principaux risques réglementaires
Risk Management Guidelines
Directives de gestion des risques 6Identify what, why and how things can arise as the basis Déterminer ce qui est susceptible de se produire, en analysant
for further analysis. This step should identify any risks les causes et les modalités de survenue, pour pouvoir par la
arising from the operating environment identified in the suite approfondir la réflexion. Cette étape devrait permettre de
previous step and generate a comprehensive list of risks mettre en évidence les risques découlant de l’environnement
that could impact on those objectives. opérationnel qui a été cartographié à l’étape précédente,
et de dresser une liste exhaustive des risques susceptibles
d’avoir une incidence sur les objectifs définis.
3.1.1 Risk areas
• Commercial and legal risks 3.1.1 Secteurs de risque
• Economic/financial risks • Risques commerciaux et juridiques
• Technological risks • Risques économiques/financiers
• Operational risks • Risques technologiques
• Political risks • Risques opérationnels
• Management activities and control risks • Risques politiques
• Human resource risks • Risques en lien avec les dispositifs de contrôle et
les activités de gestion
• Occupational health and safety, environmental,
disability access risks; and • Risques liés aux ressources humaines
• Natural events. • Risques en matière d’hygiène et de sécurité au
travail, d’environnement et d’accessibilité aux
personnes en situation de handicap
3.1.2 Methods of risk identification
• Catastrophes naturelles
To reduce the probability of inadvertently missing a
potential risk, it is recommended to systematically identify
3.1.2 Méthodes de détermination des risques
risks under each of the above headings for your activity
or project. Afin de réduire la probabilité d’omission involontaire d’un
risque éventuel, il est recommandé de procéder de manière
systématique et de recenser les risques relevant de chacun des
Some recommended methods for identifying risks include:
secteurs énumérés ci-dessus pour l’activité ou le projet visé.
• Audits or physical inspections Voici quelques méthodes recommandées pour déterminer les
• Accident or incident reports risques :
• Brainstorming • Audits ou inspections physiques
• Decision trees • Rapports de notification des accidents ou incidents
• History • Exercice de réflexion collective
• Interview or focal groups • Arbres de décision
• Personal or organisational experience. • Historique
• Scenario analysis • Entretiens ou groupes de réflexion
• Strengths, weaknesses, opportunities and • Expérience personnelle ou au niveau de
threats (SWOT) analysis l’Organisation
• Survey or questionnaires. • Analyse de scénarios
• Analyse des atouts, faiblesses, opportunités et
menaces (AFOM)
• Enquêtes ou questionnaires
Risk Management Guidelines
7 Directives de gestion des risques3.1.3 Some questions to ask when identifying risks 3.1.3 Questions à se poser lors de la détermination
des risques
• When, where, why, and how are the risks likely
to occur? • Quand, où, pourquoi et comment les risques sont-
ils susceptibles de se réaliser ?
• What is the source of each risk?
• Quelle est la source de chaque risque ?
• What are the stakeholder’s expectations?
• Quelles sont les attentes de la partie prenante ?
• What is the potential cost in time, money and
disruption to customers of each risk? • Quel est le coût potentiel de chaque risque en
termes de temps, d’argent et de dérangement
pour les clients ?
3.2 Risk assessment
Risk assessment /measurement 3.2 Analyse des risques
Measure the size and importance of risk: Analyse/Mesure des risques
• likelihood – chance of the risk occurring Mesurer l’ampleur et la gravité des risques :
• impact – the amount of loss or damage if the risk occurs • probabilité : possibilité que le risque se réalise
• likelihood X impact = level of risk (risk score) • impact : pertes ou préjudice subis en cas de réalisation du
risque
• probabilité x impact = niveau de risque (note de risque)
Once the risks involved have been identified, they must be
assessed or measured in terms of the chance (likelihood)
Une fois les risques encourus établis, il convient de les analyser
they will occur and the severity or amount of loss or
ou de les mesurer en se fondant sur la possibilité (probabilité)
damage (impact) that may result if they do occur. The risk qu’ils se réalisent et sur la gravité ou le montant des pertes
associated with an event is a combination of the chance ou du préjudice (impact) susceptible d’être subis en cas de
(likelihood) that the event will occur and the seriousness réalisation. Le risque lié à un événement associe la possibilité
of the damage (impact) it may do. (probabilité) que l’événement en question ait lieu à la gravité
du préjudice (impact) qu’il est susceptible d’entraîner.
Each risk element can be rated by:
Chaque élément de risque peut être quantifié par les facteurs
• the chance of the risk happening (i.e. the suivants :
‘likelihood’)
• la possibilité de réalisation du risque (la
• the amount of loss or damage if the risk occurs « probabilité ») ;
(’impact’ or consequence).
• les pertes ou le préjudice subis en cas de réalisation
du risque (l’ « impact » ou la conséquence).
RISK LEVEL/
LIKELIHOOD + IMPACT =
SCORE
NIVEAU/
PROBABILITÉ + IMPACT = NOTE DE
RISQUE
3.2.1 Likelihood scale
A likelihood scale refers to the potential of a risk occurring.
3.2.1 Échelle de probabilité
For each risk identified, determine the existing controls L’échelle de probabilité détermine l’éventualité de réalisation
and analyse the risk in terms of consequence and d’un risque.
likelihood in the context of those controls. The analysis
should consider the range of potential consequences and Pour chaque risque recensé, déterminer les mesures de
how likely they are to occur. Consequence and likelihood maîtrise existantes et analyser le risque en termes de
are combined to produce an estimated risk level. Refer to conséquence et de probabilité dans le contexte de ces
the consequence and likelihood table (3.2.4) below. mesures. Aux fins de l’analyse, il convient de prendre en
considération l’ensemble des conséquences éventuelles ainsi
que leur probabilité de survenue. C’est la combinaison de
ces deux paramètres qui permet d’obtenir une estimation du
niveau de risque. Se reporter à la grille de calcul du risque
(3.2.4) plus bas.
Risk Management Guidelines
Directives de gestion des risques 8Some general examples of potential sources of risk by risk area include:
Risk areas
OH&S /
Commercial Economic/
Technology Operational Political Management controls Human Resources Natural events Environmental/
and legal financial
disability access
1 Fraud Regional instability E-commerce Inappropriate client Political decisions Inappropriate project Loss of key staff Earthquake Inadequate safety
advice effecting business objectives measures
activity
2 Outsourcing Delegations IT infrastructure Security of personnel Ongoing scrutiny by Breach of procedure Employee relations Storm / tempest Poor safety
media management
3 Negligence Devolved Information security Reduction in client Terrorist activity Inappropriate use of Performance Flood Inadequate
responsibilities service resources management equipment/ facilities
4 Breach of Misuse of funds Innovation Commercial espionage Community Mismanagement Violence Bushfires Contamination
contract perceptions
5 Breach of Currency Obsolescence Pollution
statute fluctuations
6 Misappropriation Noise
of funds
OH&S = occupational health and safety
9
Voici quelques exemples généraux de sources potentielles de risques classées par secteur de risque :
Secteurs de risque
Hygiène et sécurité
Commercial et Économique et Catastrophes au travail/ Env./
Technologique Opérationnel Politique Contrôle de la gestion Ressources humaines
juridique financier naturelles Accessibilité
handicapés
1 Fraude Instabilité régionale E-commerce Conseils client Décisions politiques Objectifs de projet Défection de membres Séisme Mesures de sécurité
inadaptés ayant une incidence inadaptés importants du insuffisantes
sur l’activité de personnel
l’Organisation
2 Externalisation Délégation de Infrastructure Sécurité du personnel Surveillance Non-respect des Relations de travail Tempête Mauvaise gestion de
pouvoirs informatique persistante des médias procédures la sécurité
3 Négligence Transfert de Sécurité de Diminution du service Activité terroriste Utilisation abusive des Gestion de la Inondation Matériel/installations
responsabilités l’information client ressources performance inadaptés
4 Rupture de Utilisation abusive de Innovation Espionnage Perceptions du grand Irrégularités de Violence Feux de brousse Contamination
contrat fonds commercial public gestion
5 Violation de Fluctuations de Obsolescence Pollution
la loi change
6 Détournement de Bruit
Directives de gestion des risques
Risk Management Guidelines
fondsThe table below can be used for assessing the consequence Le tableau ci-dessous permet d’évaluer les conséquences et
and likelihood. While the numeric rating scale should be leur probabilité. S’il convient d’appliquer systématiquement
applied consistently for each activity or project evaluated, la grille de notation numérique à chaque activité ou projet
detailed descriptions contained in the table are provided évalué, les descriptions détaillées qui sont présentées dans le
as examples only and will need to be altered to suit the tableau ne sont fournies qu’à titre d’exemple et devront être
adaptées en fonction de l’activité ou du projet en question.
specific activity being assessed
3.2.2 Risk likelihood and consequence descriptors 3.2.2 Grille de probabilité et de conséquences du
risque
Ratings Description Likelihood of occurrence
Note Description Probabilité de survenue
1 Rare Highly unlikely, but it may occur in
1 Rare Hautement improbable, mais
exceptional circumstances. It could
susceptible de se produire dans des
happen, but probably never will. circonstances exceptionnelles. Même
2 Unlikely Not expected, but there’s a slight s’il pourrait se réaliser, ce ne sera
possibility it may occur at some time. probablement jamais le cas.
3 Possible The event might occur at some time as 2 Improbable Non escompté, mais il existe une
there is a history of casual occurrence faible possibilité de survenue à un
at SPC or a similar institution. moment ou un autre.
4 Likely There is a strong possibility the 3 Possible L’événement est susceptible de se
produire à un moment ou un autre,
event will occur as there is a
car il est déjà survenu de façon
history of frequent occurrence at ponctuelle à la CPS ou dans une
the Organisation and/or a similar organisation similaire.
institution.
4 Probable Il est fort possible que l’événement
5 Almost Very likely. The event is expected to se produise, car il est déjà survenu à
certain occur in most circumstances as there plusieurs reprises à la CPS ou dans une
is a history of regular occurrence at organisation similaire.
the Organisation and/or a similar 5 Quasi Hautement probable. L’événement
institution. certaine devrait se produire dans la plupart
des cas, car il est déjà survenu
régulièrement à la CPS ou dans une
organisation similaire.
Risk Management Guidelines
Directives de gestion des risques 103.2.3 Risk impact descriptors
Ratings Risk consequence criteria-impact rating
Business interruption and
Description Financial, legal, commercial Human resources Environmental and community Political, reputation and image
infrastructure
5 Severe Above US$1,000,000 Multiple deaths Critical service loss for more than Long-term harm Reputation and standing of
one month SPC affected nationally and
internationally
4 Major US$100,000–1,000,000 Single death Critical service loss for up to one Significant harm Embarrass-ment to SPC,including
month adverse media coverage
3 Moderate US$30,000–100,000 Injury or hospital Critical service not back in agreed Moderate harm Staff and or community concern,
on time heavy local media coverage
2 Minor US$1,000–30,000 Injury/treatment Local only, service loss for Transient harm Issue raised by staff and/or local
minimum period press
1 Negligible impact, brief loss of Issue resolved promptly by day-to-
Insignificant Up to US$1,000 First aid Brief pollution
service day management processes
11
3.2.3 Grille d’impact du risque
Note Évaluation de la gravité des conséquences du risque
Aspects financiers, juridiques, Interruption d’activité et
Description Ressources humaines Environnement et populations Politique, réputation et image
commerciaux infrastructures
5 Très grave > 1 000 000 dollars É.-U. Plusieurs décès Perte de services essentiels Dommages durables Incidence négative sur la
pendant plus d’un mois réputation et l’image de la
CPS à l’échelle nationale et
internationale
4 Grave entre 100 000 et 1 000 000 Un décès Perte de services essentiels Dommages importants Situation embarrassante pour
dollars É.-U. pendant un mois max. la CPS, couverture médiatique
négative notamment
3 Moyenne Entre 30 000 et 100 000 dollars Blessure ou Non-respect des délais convenus Dommages moyens Inquiétudes du personnel ou des
É.-U. hospitalisation de reprise des services essentiels populations, large couverture
dans les médias locaux
2 Modérée Entre 1 000 et 30 000 dollars Blessure ou Impact local uniquement, perte Dommages transitoires Problème soulevé par le
É.-U. soins de santé de services pendant une courte personnel ou la presse locale
période
1 Faible Jusqu’à 1 000 dollars É.-U. Premiers soins Impact négligeable, Pollution de courte durée Problème résolu rapidement
Directives de gestion des risques
Risk Management Guidelines
brève perte de service dans le cadre des processus de
gestion courants3.2.4 Risk calculation table
As per AS/NZ 4360: A combination of likelihood and consequence generates an initial risk.
Consequence
Risk ranking Table
Insignificant Minor Moderate Major Severe
L
Risk Management Guidelines
1 2 3 4 5
Directives de gestion des risques
I
K Almost certain 5 6 7 8 9 10
E
L Likely 4 5 6 7 8 9
I
H Moderate 3 4 5 6 7 8
O
O Unlikely 2 3 4 5 6 7
D
Rare 1 2 3 4 5 6
12
3.2.4 Matrice de criticité
Conformément à la norme AS/NZS 4360:2004, le risque initial découle du facteur de probabilité conjugué aux conséquences.
Conséquence
Indice de risque Grille
Insignifiante Faible Moyenne Grave Très grave
P 1 2 3 4 5
R
O Quasi certaine 5 6 7 8 9 10
B
A Probable 4 5 6 7 8 9
B
I Moyenne 3 4 5 6 7 8
L
I Improbable 2 3 4 5 6 7
T
É Rare 1 2 3 4 5 63.2.5 Evaluation of risks 3.2.5 Évaluation des risques
Compare estimated risk levels against pre-established Comparer les niveaux de risque estimés à l’aune des
criteria, and consider the balance between potential critères prédéfinis, et mettre en balance les avantages et
benefits and adverse outcomes. This enables decisions effets négatifs possibles. Ce travail de réflexion permet de
to be made about the extent and nature of treatments déterminer l’ampleur et la nature des actions requises pour
traiter le risque, ainsi que de décider des priorités.
required and about priorities.
Une évaluation de chaque risque doit à présent être menée
An evaluation of each risk is now undertaken to determine
pour distinguer les risques qui sont acceptables de ceux qui
those risks that are acceptable and those that require doivent être traités. Cette étape vise à apprécier le niveau de
further treatment. This step should evaluate the risk level risque constaté à la lumière des critères définis (établissement
found with the criteria established (establish the context). du contexte).
3.2.6 Acceptable risks 3.2.6 Risques acceptables
Some reasons why a risk may be acceptable include: Un risque peut être jugé acceptable pour plusieurs motifs, et
notamment pour les raisons suivantes :
• The level of risk is so low that specific treatment
in not suitable given the available resources. • Le niveau de risque est si faible que le traiter
ne serait pas pertinent au vu des ressources
• There is no treatment available. disponibles.
• The cost of treatment outweighs the benefit. • Aucune mesure de traitement n’existe.
• Opportunities presented outweigh the threats • Le coût des mesures de traitement est supérieur
to such an extent that the risk is acceptable. aux avantages retirés.
• Les opportunités offertes sont supérieures aux
3.2.7 Risk criteria menaces encourues de sorte que le risque est
SPC has five criteria for setting its risk management acceptable.
priorities: risks affecting:
3.2.7 Critères de risque
• SPC’s reputation, ability to perform, or trust La CPS a défini cinq critères pour décider des risques qu’elle
in SPC, particularly in regard to the quality of gère en priorité. Il s’agit de ceux qui ont une incidence sur :
policy advice.
• SPC’s management of and accountability for • la réputation de la CPS, sa capacité à s’acquitter de
SPC’s performance, including its service delivery son mandat ou la confiance qui lui est accordée,
obligations, its regulatory framework and s’agissant notamment de la qualité de ses conseils
business relationships. stratégiques ;
• SPC’s performance against strategic priorities. • la gestion de la performance de la CPS et les
responsabilités de l’Organisation à cet égard,
• The integrity of SPC’s decisions, processes and notamment ses obligations de prestation de
information. services, son cadre réglementaire et ses relations
d’affaires ;
• The safety, security and health of SPC personnel
and visitors to its premises. • la performance de la CPS au regard de ses priorités
stratégiques ;
Further risk identification, risk assessments and risk
• l’intégrité des décisions, des processus et des
treatment need to be carried out bearing these in mind.
données de la CPS ;
• la sûreté, la sécurité et la santé du personnel de
la CPS et des visiteurs qu’elle accueille dans ses
locaux.
Tout exercice supplémentaire de détermination, d’analyse et
de traitement des risques doit être réalisé en tenant compte
de ces critères.
Risk Management Guidelines
13 Directives de gestion des risquesSummary of SPC’s risks Synthèse des risques encourus par la CPS
• Risque résiduel. Niveau de risque qui subsiste une
• Residual risk. The remaining level of risk after
fois appliquées toutes les mesures de traitement
all risk treatment measures have been taken.
du risque.
• Under action. A plan in place showing Action
• Risque en cours de traitement. Plan d’action établi.
to be done, Action officer, Resource needs,
Y figurent notamment les mesures à prendre, la
Resource cost, Timing targets.
personne responsable, les besoins en ressources,
• Controlled. A reasonable assurance that existing le coût des ressources et le calendrier visé.
risk controls satisfy the achievement of SPC’s
• Risque maîtrisé. Assurance raisonnable que les
risk management objectives and will continue
mesures existantes de maîtrise du risque sont
to maintain the risk at an acceptable level.
conformes aux objectifs de gestion des risques de
la CPS et permettent de maintenir le risque à un
It is anticipated that this initial scope would be refined as niveau acceptable.
SPC’s risk management process proceeds.
Cet exercice de cadrage initial devrait normalement être
précisé au fur et à mesure de la mise en œuvre du processus
3.3 Risk treatment de gestion des risques de la CPS.
Risk treatment
3.3 Traitement des risques
Manage business risk
• minimise and manage the risks Traitement des risques
• apply strategies, policies and procedures
• manage regulatory risks Gérer les risques encourus par l’Organisation :
• put in place systems and controls
• réduction et gestion des risques
• carry out the risk plan.
• mise en œuvre de stratégies, politiques et procédures
• gestion des risques réglementaires
Develop and implement specific cost-effective strategies • mise en place de systèmes et mesures de maîtrise
and action plans for increasing potential benefits and • exécution du plan de gestion des risques
reducing potential costs.
Élaborer et mettre en œuvre des stratégies et plans d’action
Accept and monitor low priority risks. For other risks, ad hoc et raisonnables financièrement en vue d’accroître les
avantages potentiels et de réduire les coûts éventuels.
that is, those rated a 6 or higher develop and implement
a specific management action plan that includes
consideration of funding. The plan should use the Risk Accepter les risques de moindre priorité et en effectuer un
Treatment and Action Plan at Annex B suivi. S’agissant des autres risques, c’est-à-dire ceux dont la
note est égale ou supérieure à 6, préparer et appliquer un
plan d’action pour la gestion du risque particulier qui tienne
The treatment options include: compte des considérations de financement. Il convient pour
cela d’utiliser la liste des plans d’action et de traitement des
• Avoid the risk by deciding not to proceed with risques disponible à l’annexe B.
the project or activity. This may only occur
within legislative requirements and business Plusieurs mesures de traitement d’un risque sont
agreements. envisageables :
• Reduce the likelihood of the occurrence. eg • éviter le risque en décidant de ne pas mener à
contract conditions, supervision, technical bien l’activité ou le projet visé. Cette décision ne
controls, compliance programs, procedure peut être prise que dans le respect des obligations
manuals, quality control manuals, training, etc. légales ou des accords commerciaux conclus ;
• Reduce the consequence of the occurrence. eg • réduire la probabilité que le risque se réalise
contingency planning, fraud control planning, (conditions contractuelles, supervision, mesures
relocation of an activity or operation, etc. de contrôle technique, programmes de conformité,
manuels de procédures, manuels de contrôle
qualité, formation, etc.) ;
• limiter les conséquences en cas de réalisation
du risque (plans d’urgence, plans de lutte contre
la fraude, relocalisation d’une activité ou d’un
service, etc.) ;
Risk Management Guidelines
Directives de gestion des risques 14• Transfer the risk to another party. eg use of • transférer le risque à une autre partie (contrats,
contracts, insurance, partnerships, etc. assurance, partenariats, etc.).
3.3.1 Traitement des risques en matière d’hygiène et
3.3.1 Occupational health and safety treatment de sécurité au travail
For occupational health and safety risks, the following S’agissant des risques en matière d’hygiène et de sécurité au
prioritised treatment measures are to be followed: travail, il convient de privilégier les mesures de traitement
suivantes :
• Elimination. Remove the hazard or risk of
exposure. • Élimination : supprimer le danger ou le risque
d’exposition.
• Substitution/isolation. Use something less
hazardous or provide a barrier between hazard • Substitution/Isolement : utiliser une solution
and person. moins dangereuse ou protéger les personnes du
danger.
• Engineering. Either purchase new equipment
or modify equipment (e.g. using trolleys or • Intervention technique : acheter du matériel
other equipment for carrying or lifting, placing ou aménager le matériel existant (par exemple,
guarding on machinery). utiliser un chariot ou un autre appareil pour les
opérations de levage ou de manutention, installer
• Administrative. Provide training, policies and
des systèmes de protection sur les machines).
procedures for safe work practices, rest breaks,
job rotation. • Intervention administrative : dispenser des
formations, mettre en place des politiques et
• Personal protective equipment (e.g. goggles,
procédures relatives à la sécurité sur le lieu de
gloves, respirator). Use as a last resort and in
travail, instaurer des pauses et une rotation de
conjunction with one of the above.
postes.
• Équipements de protection individuelle (lunettes,
3.3.2 Risk transfer
gants, masques) : à utiliser en dernier ressort et en
Where the Prgramme / Section seeks to transfer risk to parallèle de l’une des mesures ci-dessus.
another party, this will be undertaken in the following
order of priority: 3.3.2 Transfert de risque
Dans le cas où un programme/une section souhaite transférer
• Obtaining indemnities from other parties for un risque à une autre partie, il convient de mener à bien
loss suffered by the department. l’opération dans l’ordre de priorité suivant :
• Obtaining releases from other parties for loss
suffered by them as a result of dealing with the • obtenir une indemnisation des autres parties au
department. titre du préjudice subi par le service ;
• Requiring other parties to insure the • obtenir une exonération des autres parties pour ne
department’s exposure and their own exposure pas avoir à réparer le préjudice qu’elles ont subi à
to the department complete with insurer’s la suite de leurs relations avec le service ;
agreement to waive rights of recovery against
• exiger des autres parties qu’elles assurent
the department.
l’exposition aux risques du service et leur propre
exposition à ces risques, la convention d’assurance
garantissant la renonciation à tout recours contre
le service.
Risk Management Guidelines
15 Directives de gestion des risquesVous pouvez aussi lire
