Politique de gestion intégrée des risques (P-1)

Adoption par le conseil d’administration : 26 février 2015

Amendement : 23 juin 2020

Consulter la version PDF [245 Ko]

La présente Politique de gestion intégrée des risques s’inscrit dans un processus d’amélioration continue de la gouvernance et de la gestion de Bibliothèque et Archives nationales du Québec (« BAnQ »). Il s’agit d’un moyen de rehausser la capacité de BAnQ à faire face aux divers défis stratégiques, règlementaires, financiers et de conformité auxquels elle est confrontée. Par sa volonté de mettre en œuvre des pratiques reconnues et récentes en matière de gestion des risques, BAnQ désire favoriser la prise de décisions éclairées dans la réalisation de ses missions. La présente politique a pour but de soutenir les directions générales de BAnQ dans la prise en charge de leurs responsabilités en établissant un processus de gestion des risques global permettant de déterminer, d’analyser et d’évaluer les risques dans l’ensemble de BAnQ tout en favorisant la mise en place de mesures pour assurer le contrôle et le traitement efficaces de ces risques.     

La présente politique intègre les exigences particulières de la Directive concernant la gestion des risques de corruption et de collusion dans les processus de gestion contractuelle du Secrétariat du Conseil du trésor (« SCT »).  

À moins de mention contraire ou que le contexte n’indique un sens différent, les définitions de l’article 1 de la Directive encadrant le corpus règlementaire (D-1) s’appliquent à la présente politique.     
De plus, dans le cadre de l’application de la présente politique, on entend par :

1. « ACCEPTATION DU RISQUE » : la stratégie de gestion du risque qui consiste en la décision éclairée d'accepter le risque;   
    
2. « ANALYSE DU RISQUE » : l’étude qui permet de déterminer le degré de risque et d'évaluer les conséquences directes et indirectes, tangibles et intangibles d'un événement sur une organisation et son environnement;   
    
3. « ATTÉNUATION DU RISQUE » : la limitation, en tout ou en partie, des conséquences négatives d’un risque qui sont considérées comme inévitables ou probables;   
    
4. « COLLUSION » : une entente secrète entre des soumissionnaires potentiels qui s’organisent pour entraver la concurrence, notamment par la fixation des prix ou de la production, par le partage des ventes ou des territoires ou par le trucage des offres;
    
5. « COMMUNAUTÉ DE BAnQ » : le personnel employé et cadre, les stagiaires, les dirigeants, les membres du conseil d’administration et des comités statutaires du conseil d’administration, les partenaires syndicaux de même que les usagers de BAnQ;   
    
6. « CONFLIT D’INTÉRÊTS » : une situation où les intérêts professionnels, financiers, familiaux, politiques ou personnels peuvent interférer avec le jugement des personnes dans le cadre de leurs fonctions au sein de BAnQ. Un conflit d’intérêt peut-être perçu, potentiel ou réel;   
    
7. « CONSÉQUENCE » : l’effet, tangible ou intangible, d'un événement affectant les objectifs de BAnQ;

8. « CONTRÔLE INTERNE » : le processus mis en œuvre par les dirigeants à tous les niveaux de BAnQ et destiné à fournir une assurance raisonnable quant à la réalisation des objectifs suivants : l’efficacité et l’efficience des opérations, la fiabilité des opérations financières et la conformité aux lois et règlements;        
    
9. « CORRUPTION » : un échange ou tentative d’échange où, directement ou indirectement, un avantage indu est offert, promis ou octroyé par un corrupteur ou demandé, accepté ou reçu par un titulaire de charge publique, en retour d’un acte de la part du titulaire de charge publique au bénéfice du corrupteur;        
    
10. « ÉVALUATION DU RISQUE » : l’estimation de la probabilité d'occurrence d'un risque et de ses conséquences, selon la formule « Estimation de la probabilité d’occurrence X estimation de la conséquence »;        
     
11. « PARTIE PRENANTE » : une personne ou organisme qui peut soit influer sur une décision ou une activité, soit être influencé ou s’estimer influencé par une décision ou une activité;        
     
12. « RISQUE » : la probabilité qu’un événement, une action, une inaction ou une situation indésirable influence ou compromette la réalisation de la mission ou l’atteinte des objectifs de BAnQ et entraîne des effets négatifs;        
     
13. « RISQUE INHÉRENT » : l’appréciation du risque sans tenir compte des contrôles en place;        
     
14. « RISQUE STRATÉGIQUE » : la possibilité que se produise un événement ayant un effet sur la capacité de BAnQ d’atteindre ses objectifs stratégiques, qui affecte son image ou qui est susceptible d’affecter la réalisation de sa mission;        
     
15. « RISQUE RÉSIDUEL » : l’appréciation du risque en tenant compte des contrôles en place;        
     
16. « RISQUE SECTORIEL » : un risque sous la responsabilité d’un dirigeant, qui pourrait avoir un effet positif ou négatif sur l’atteinte de ses objectifs propres et qui est sous-jacent à la mission et aux objectifs de BAnQ;        
     
17. « SEUIL DE TOLÉRANCE À UN RISQUE STRATÉGIQUE » : le seuil maximal au-delà duquel un risque stratégique est jugé inacceptable et doit faire l’objet de mesures d’atténuation.  

La présente politique vise à :

1. assurer la mise en place et le maintien d’un processus structuré et uniformisé permettant de déterminer, d’analyser et d’évaluer les risques pour l’ensemble des activités de BAnQ, ainsi que d’en surveiller l’évolution;
2. orienter la planification stratégique et budgétaire dans les directions générales de BAnQ;
3. assurer l’affectation et l’utilisation optimales des ressources humaines, financières, matérielles, technologiques et informationnelles nécessaires à la gestion des risques;
4. préciser les composantes du processus global de gestion intégrée des risques et du plan annuel de gestion des risques de corruption et de collusion dans les processus de gestion contractuelle;
5. accroître la responsabilisation des différents intervenants en matière de gestion des risques;
6. définir les mécanismes de reddition de comptes.  

La présente politique s’applique à la communauté de BAnQ, à l’exclusion des partenaires syndicaux et des usagers, pour l’ensemble des activités de BAnQ. Elle couvre les risques stratégiques et sectoriels, notamment les risques financiers, de conformité ou liés à la divulgation de l’information de même que les risques de corruption et de collusion dans les processus de gestion contractuelle.  

Le cadre juridique du présent règlement est notamment composé de :

1. la Loi sur la gouvernance des sociétés d’État, RLRQ, c. G-1.02;
2. la Loi sur les contrats des organismes publics, RLRQ, c. C-65.1;
3. la Politique concernant les responsables de l’application des règles contractuelles;
4. la Directive concernant la gestion des risques en matière de corruption et de collusion dans les processus de gestion contractuelle (la « Directive du SCT »).

Il est complété par les éléments suivants du corpus règlementaire :

1. les Règles de gouvernance et de régie interne de Bibliothèque et Archives nationales du Québec;
2. la Politique en matière de sécurité de l’information;
3. la Directive encadrant le corpus règlementaire (D-1).  

5.1 Gestion intégrée des risques

La gestion intégrée des risques désigne l’ensemble des activités coordonnées réalisées par BAnQ de façon à déterminer, mesurer, évaluer et modifier à la fois la probabilité d’occurrence de certains événements non souhaitables et les conséquences de ces événements sur l’atteinte de ses objectifs.

5.2 Responsabilité

5.2.1 L’efficacité des mesures de gestion intégrée des risques exige l’attribution claire de responsabilités aux intervenants à tous les niveaux et exige que chacun réponde de ses actes.  

5.2.2 Elle nécessite la mise en place d’un processus de gestion interne des risques permettant une reddition de comptes adéquate.  

5.2.3 Le cadre de gestion des risques doit être soutenu par une démarche éthique visant notamment la responsabilisation collective et individuelle, conformément au Code d’éthique des employés.

5.3 Évolution

Les pratiques retenues en matière de gestion des risques doivent être réévaluées périodiquement afin de tenir compte des changements du contexte dans lequel BAnQ évolue.

5.4 Meilleures pratiques

BAnQ s’appuie sur les normes internationales reconnues et récentes en matière de gestion des risques afin de favoriser le déploiement des meilleures pratiques et a recours à des barèmes de comparaison avec des organismes ou des établissements similaires.

5.5 Approche

5.5.1 La gestion intégrée des risques repose sur une approche globale et continue du risque de toute nature, à tous les échelons et à tous les niveaux hiérarchiques de BAnQ.  

5.5.2 La gestion des risques est une composante essentielle de tout processus de gestion. Elle doit :

1. s'arrimer aux objectifs stratégiques de BAnQ;
2. s’insérer dans ses activités courantes;
3. s’appliquer en tout temps et se renouveler de façon continue.

5.5.3 Elle exige la mise en place de contrôles pour ramener les risques à un niveau compatible aux seuils de tolérance aux risques stratégiques déterminés en application de la présente politique.  

5.5.4 Une gestion intégrée des risques adéquate repose sur l’efficacité de la communication et de la concertation des différents intervenants impliqués.  

BAnQ se dote d’un cadre de gestion intégrée des risques, lequel est composé de la présente politique et d’une directive sur le processus de gestion intégrée des risques. 
 

6.1 Processus de gestion intégrée des risques – Lignes directrices

6.1.1 BAnQ doit adopter un processus de gestion des risques constitué d’un ensemble de mécanismes coordonnés et intégrés permettant de déterminer les risques, de les analyser, de les évaluer, de les traiter, d’en surveiller l’évolution et d’en effectuer le suivi. Ce processus comprend notamment les étapes suivantes :

1. Description du contexte organisationnel : environnement, enjeux et objectifs de BAnQ;
2. Détermination et documentation des risques : détermination, analyse et évaluation des risques ainsi que des contrôles en place;
3. Évaluation des risques : pour chaque risque, évaluation de la probabilité relative d’occurrence et de l’importance relative des effets et des conséquences qui pourraient en découler afin d’établir une hiérarchisation des risques en fonction des seuils de tolérance aux risques stratégiques déterminés;
4. Communication des risques : signalement des risques et production de rapports, de manière continue, afin que les risques soient communiqués aux personnes intéressées en temps utile ainsi que de manière efficace et transparente;
5. Détermination des mesures de suivi des risques : évaluation de la justesse et de la pertinence des décisions en fonction de l’évolution des circonstances, surveillance et évaluation des mesures d’atténuation mises en place et, s’il y a lieu, adoption de plans d’action ou de modifications au processus de gestion des risques lui-même;
6. Production de rapports : reddition de comptes et surveillance du contexte organisationnel, des risques déterminés et des mesures de contrôle implantées.

6.1.2 Tableau de bord des risques stratégiques   
Un tableau de bord des risques stratégiques est confectionné afin de permettre un suivi efficace et adéquat de la gestion intégrée des risques. Ce tableau de bord est préparé conformément à la directive sur le processus de gestion intégrée des risques. Y sont notamment consignés :

1. les risques stratégiques déterminés et leur description;
2. les objectifs stratégiques affectés;
3. les noms des répondants de risques et les risques stratégiques qui leur sont assignés par le président-directeur général;
4. les mesures de contrôle implantées;
5. le seuil de tolérance approuvé pour chaque risque stratégique.

6.1.3 Portrait des risques sectoriels   

Chaque dirigeant doit confectionner un portrait des risques sectoriels qui pourraient avoir un effet sur l’atteinte des objectifs de son unité administrative. Ce portrait est préparé conformément à la directive sur le processus de gestion intégrée des risques.

6.2 Règles particulières applicables aux risques de sécurité de l’information

6.2.1 La gestion des risques de sécurité de l’information est effectuée conformément à la Politique en matière de sécurité de l’information et la procédure d’acceptation des risques en matière de sécurité informatique qui la complète.   

6.2.2 La présente politique s’applique de façon complémentaire aux documents spécifiques traitant de ces risques particuliers.  

Afin de répondre aux exigences de la Directive du SCT, BAnQ se dote d’un cadre organisationnel de gestion des risques en matière de corruption et de collusion dans les processus de gestion contractuelle, lequel est composé de la présente politique et d’un plan de gestion annuel concernant ces risques spécifiques.

7.1 Plan de gestion des risques de corruption et de collusion dans les processus de gestion contractuelle (le « Plan de gestion des risques »)

7.1.1 BAnQ adopte annuellement un Plan de gestion des risques conforme aux exigences de la Directive du SCT.      

7.1.2 Ce plan doit être soutenu par des actions de communication et de concertation adéquates entre parties prenantes afin d’en assurer l’efficacité.      

7.1.3 Ce plan comprend notamment les éléments suivants :

1. Description du contexte organisationnel : analyse du contexte dans lequel BAnQ conclut ses contrats, y compris la détermination des éléments suivants : les bases communes de lutte contre la corruption et la collusion, les parties prenantes, les seuils de tolérance aux risques stratégiques et la propension à prendre des risques;
2. Appréciation des risques : détermination, analyse et évaluation des risques de corruption et de collusion ainsi que des contrôles en place;
3. Détermination des mesures de réaction aux risques : les dispositions prévues pour le traitement des risques, y compris les mesures d’atténuation de ces risques;
4. Communication des risques : signalement des risques et production de rapports, de manière continue, afin que les risques soient communiqués aux personnes intéressées en temps utile ainsi que de manière efficace et transparente;
5. Détermination des mesures de suivi des risques : évaluation de la justesse et de la pertinence des décisions en fonction de l’évolution des circonstances, surveillance et évaluation des mesures d’atténuation mises en place, adoption de modifications au plan d’action lui-même;
6. Production de rapports : reddition de comptes et surveillance du contexte organisationnel, des risques déterminés et des mesures de contrôle implantées;
7. Tout autre élément déterminé par le SCT.

7.2 Rapport annuel de surveillance et de revue du cadre organisationnel de gestion des risques en matière de corruption et de collusion dans les processus de gestion contractuelle (le « Rapport annuel de surveillance »)

7.2.1 Chaque Plan de gestion des risques annuel doit faire l’objet d’un Rapport annuel de surveillance conformément à la Directive du SCT.     

7.2.2 Ce Rapport annuel de surveillance :

1. est préparé par le secrétaire général conformément à la Directive du SCT et selon les modalités exigées;
2. rend compte des éléments suivants :
   1. - la mesure des résultats de BAnQ à l’égard de la gestion des risques visés par la présente politique;
   2. - la mesure des progrès et des écarts par rapport au plan précédent de gestion de ces risques;
   3. - les résultats de la vérification de l’efficacité du cadre organisationnel de gestion de ces risques;
   4. - la revue du cadre organisationnel de gestion de ces risques;
   5. - tout autre élément déterminé par le SCT;
3. est approuvé par le président-directeur général au plus tard quatre mois après la fin de l’année financière concernée;
4. est transmis au président du SCT, sur demande, par le président-directeur général.  

8.1 Tableau des principaux rôles et responsabilités des intervenants

8.2 Conseil d’administration

Le conseil d’administration a la responsabilité de :

1. S’assurer de la mise sur pied de mécanismes appropriés de gestion intégrée des risques;
2. Adopter les politiques d’encadrement de la gestion intégrée des risques;
3. Approuver le tableau de bord des risques stratégiques, y compris les seuils de tolérance pour chacun de ces risques;
4. Prendre acte du Plan de gestion des risques.

8.3 Comité de vérification et des finances

Le comité de vérification et des finances a la responsabilité de :

1. Recommander l’adoption par le conseil d’administration de politiques d’encadrement de la gestion intégrée des risques;
2. S’assurer de la mise en place et de l’application d’un processus adéquat et efficace de gestion intégrée des risques et de suivi des politiques d’encadrement;
3. Recommander l’approbation par le conseil d’administration du tableau de bord des risques stratégiques, qui inclut les seuils de tolérance pour chacun de ces risques;
4. Adopter le Plan de gestion des risques requis par la Directive du SCT et en informer le conseil d’administration ^[note 1];
5. Prendre acte du Rapport annuel de surveillance ainsi que des rapports périodiques sur les activités de gestion des risques transmis par le Secrétariat général, puis formuler des recommandations aux instances et personnes appropriées;
6. Voir au suivi des situations portées à son attention conformément à la présente politique;
7. Lorsqu’il l’estime nécessaire, informer le conseil d’administration de toute matière concernant la gestion des risques.

8.4 Président-directeur général

8.4.1 Le président-directeur général est le principal responsable de la gestion intégrée des risques au sein de BAnQ. À ce titre, il a la responsabilité de :

1. Approuver un cadre de gestion intégrée des risques dans l’ensemble des directions et des activités et s’assurer de son application;
2. Voir au suivi des situations portées à son attention conformément à la présente politique;
3. S’assurer que les risques sont adéquatement déterminés, analysés, évalués et maîtrisés;
4. Désigner parmi les dirigeants, pour chaque risque stratégique déterminé, les répondants de risques aux fins de l’application de la présente politique;
5. Approuver le tableau de bord des risques stratégiques, y compris les seuils de tolérance aux risques stratégiques;
6. Prendre acte du portrait des risques sectoriels.

8.4.2 Le président-directeur général est le principal responsable de la gestion des risques de corruption et de collusion dans les processus de gestion contractuelle. À ce titre, il a la responsabilité de :

1. Concevoir, mettre en place, surveiller, revoir et mettre à jour un cadre organisationnel de gestion des risques en matière de corruption et de collusion dans les processus de gestion contractuelle;
2. S’assurer de l’application de ce cadre de gestion à toutes les étapes du processus de gestion contractuelle;
3. Prévoir les ressources nécessaires et compétentes pour la mise sur pied de ce cadre de gestion;
4. Approuver le Plan de gestion des risques annuel requis par la Directive du SCT;
5. S’assurer du respect de la Directive du SCT ainsi que de toute autre exigence du SCT en matière de gestion des risques de corruption et de collusion dans les processus de gestion contractuelle;
6. S’assurer de l’attribution des rôles et responsabilités aux intervenants stratégiques, y compris le Responsable de l’application des règles contractuelles (le « RARC ») et les répondants de risques, afin de soutenir une gestion adéquate des risques de corruption et de collusion dans les processus de gestion contractuelle;
7. S’assurer de la communication de ces responsabilités à tous les niveaux de BAnQ;
8. S’assurer de la mise en œuvre d’actions correctrices visant la maîtrise des risques de corruption et de collusion, notamment celles recommandées par le directeur de la vérification interne ou par toute instance gouvernementale habilitée à lui formuler des recommandations à ce sujet;
9. Approuver le Rapport annuel de surveillance;
10. Transmettre au président du SCT, sur demande et dans les 15 jours de celle-ci, le Rapport annuel de surveillance ainsi que tout autre document afférent.

8.5 Conseil de direction

Le conseil de direction a la responsabilité de :

1. Approuver les politiques d’encadrement de la gestion intégrée des risques;
2. Adopter la directive sur le processus de gestion des risques requise par la présente politique et voir à sa mise en œuvre;
3. Approuver le tableau de bord des risques stratégiques, y compris les seuils de tolérance aux risques stratégiques;
4. Prendre acte du portrait des risques sectoriels déposé par chacun des dirigeants.

8.6 Secrétaire général

8.6.1 Le secrétaire général a la responsabilité de :

1. Soutenir le président-directeur général afin d’assurer la pérennité de la gestion intégrée des risques;
2. Planifier les séances périodiques de reddition de comptes en matière de risques au conseil d’administration, au comité de vérification et des finances ainsi qu’au conseil de direction;
3. Élaborer la directive sur le processus de gestion intégrée des risques requise par la présente politique, voir à son adoption par le conseil de direction et à son dépôt au comité de vérification et des finances pour information ainsi qu’à sa mise en œuvre;
4. Élaborer, avec l’appui du directeur de la vérification interne, le tableau de bord des risques stratégiques requis par la présente politique et voir à son dépôt au comité de vérification et des finances pour information;
5. Coordonner le dépôt au conseil de direction du portrait des risques sectoriels par chacun des dirigeants.

8.6.2 Le secrétaire général est le RARC désigné en vertu de la Loi sur les contrats des organismes publics. À ce titre, il a la responsabilité de :

1. Veiller à l’élaboration et à la mise en œuvre du Plan de gestion des risques annuel, le soumettre au président-directeur général pour approbation et au comité de vérification et des finances pour adoption;
2. Rendre compte au président-directeur général de sa veille et de ses obligations en matière de gestion des risques de corruption et de collusion dans les processus de gestion contractuelle;
3. Veiller à l’amélioration de la gestion des risques de corruption et de collusion dans les processus de gestion contractuelle;
4. Élaborer le Rapport annuel de surveillance, le soumettre au président-directeur général pour approbation et le déposer au comité de vérification et des finances pour information.

8.7 Dirigeants

8.7.1 Tout dirigeant a la responsabilité de :

1. Mettre en œuvre la présente politique et le cadre de gestion des risques qui en découle au sein de l’unité administrative dont il est responsable;
2. Proposer les seuils de tolérance aux risques stratégiques en vue de leur inclusion au tableau de bord des risques stratégiques;
3. Informer le Secrétariat général de toute situation de vulnérabilité pouvant affecter l’atteinte des objectifs de BAnQ et veiller à l’insertion de cette information dans le tableau de bord des risques stratégiques;
4. Déterminer et évaluer les risques sectoriels au sein de l’unité administrative dont il est responsable et les rapporter au portrait des risques sectoriels de cette unité, conformément à la directive sur le processus de gestion intégrée des risques;
5. Intégrer la gestion des risques comme composante essentielle de tout processus de gestion, notamment la gestion des risques de corruption et de collusion dans les processus de gestion contractuelle;
6. S’assurer de la reddition de comptes et du suivi des mesures d’atténuation des risques sous sa responsabilité;
7. Fournir au Secrétariat général toute information pertinente pour la préparation du Plan de gestion des risques et du Rapport annuel de surveillance.

8.7.2 Tout dirigeant désigné répondant de risques par le président-directeur général a la responsabilité de :

1. Assurer la gestion et le suivi des risques stratégiques qui lui sont assignés;
2. S’assurer que les risques stratégiques qui lui sont assignés sont convenablement maîtrisés, notamment en déterminant les moyens de maîtrise qui leur sont appliqués ainsi que les mesures d’atténuation additionnelles applicables lorsque cela est nécessaire;
3. Contribuer à l’élaboration du tableau de bord des risques stratégiques concernant les risques qui lui sont assignés;
4. Rendre compte au conseil de direction des risques stratégiques au sein de l’unité administrative dont il est responsable.

8.8 Membres du personnel impliqués dans un processus de gestion contractuelle

Tout membre du personnel impliqué dans un processus de gestion contractuelle a la responsabilité de :

1. Développer des réflexes qui lui permettront de cerner d’éventuels risques dans les processus de gestion contractuels auxquels il participe et d’assurer la conformité de ces processus au cadre juridique applicable;
2. Participer au suivi et à la mise en œuvre des mesures d’atténuation des risques ayant déjà été déterminés et qui impliquent l’unité administrative dont il relève;
3. Au besoin, participer à des ateliers sur l’appréciation des risques de corruption et de collusion.

8.9 Directeur de la vérification interne

Le directeur de la vérification interne assiste les différentes instances et intervenants dans la prise en charge de leurs responsabilités en matière de gestion des risques en jouant un rôle de veille, d’examen, d’évaluation, de conseil et de recommandation en vue de l’amélioration continue des activités de gestion des risques. 

À ce titre, le directeur de la vérification interne a la responsabilité de :

1. Observer, évaluer et contribuer à l’amélioration de l’efficacité du processus de gestion intégrée des risques, des contrôles mis en place, des mesures d’atténuation implantées et de tout autre élément ou action requis par la présente politique;
2. Sensibiliser et former les dirigeants et cadres au sujet de la gestion des risques ainsi que les accompagner dans la détermination et l’évaluation des risques sectoriels dont ils sont responsables;
3. Intégrer au plan d’audit des vérifications concernant le déploiement du processus de gestion des risques de corruption et de collusion dans les processus de gestion contractuelle;
4. Informer avec diligence le comité de vérification et des finances, le président-directeur général ainsi que toute instance ou dirigeant approprié, dont le RARC en ce qui concerne les risques de corruption et de collusion dans les processus de gestion contractuelle, au sujet de la qualité de la gestion des risques dans les différentes unités administratives, des écarts observés et, s’il y a lieu, formuler des recommandations;
5. Accompagner, lorsque cela s’avère nécessaire, toute instance et tout intervenant dans la prise en charge de ses rôles et responsabilités en matière de gestion des risques;
6. Présenter au comité de vérification et des finances les risques rapportés au tableau de bord des risques stratégiques et tout autre risque préoccupant.  

Le secrétaire général est responsable de l’application de la présente politique.  

10.1 Entrée en vigueur

La présente politique entre en vigueur au moment de son adoption par le conseil d’administration.

10.2 Révision

La révision et la mise à jour de la présente politique sont effectuées au besoin, au minimum tous les trois ans.