Aujourd’hui plus que jamais, les organisations évoluent dans un environnement incertain et mouvant et sont confrontées à une multitude de risques. Les entités publiques ne font pas exception. Présentant quelques spécificités que nous abordons dans cet article, nous vous livrons aussi les bonnes pratiques de gestion des risques dans le secteur public.
Rappel de la gestion des risques
Définition de la gestion des risques
La gestion des risques est un processus visant à identifier, évaluer et piloter les risques susceptibles de perturber une organisation. L’objectif principal de la gestion des risques consiste à classer les risques en fonction de leur occurrence et de la gravité de leur impact afin de pouvoir prioriser les risques plus importants et les traiter. Elle permet aussi de les prioriser et de les traiter de la meilleure façon.
Pour en savoir davantage, nous vous invitons à consulter notre article dédié : 👉 Qu’est-ce que la gestion des risques ?
Il est important de souligner le fait que si les risques sonnent généralement comme une menace, ils peuvent aussi se présenter comme des opportunités. Bien les identifier offre à une organisation la possibilité de transformer sa gestion des risques en un véritable levier d’amélioration continue.
Les grandes étapes de la mise en place d’une gestion des risques
1) Établissement du contexte
Il s’agit d’abord de visualiser et comprendre le contexte dans lequel l’organisation évolue. Cette étape permet aussi de poser les bases nécessaires à la réalisation du référentiel (échelles de cotation des risques, criticité, impacts potentiels…).
2) Identification du risque
Cette étape consiste à mettre en place des ateliers et des séances de brainstorming pour réfléchir à la manière dont les risques vont être identifiés et appréhendés.
3) Analyse du risque
L’organisation analyse ensuite les causes, les conséquences, les sinistres ainsi que les dispositifs de maîtrise des risques déjà en place. Toute autre information importante sur les risques est également analysée.
4) Évaluation du risque
L’évaluation du risque consiste à réaliser une analyse quantitative des risques, en calculant leur criticité à l’aide du référentiel des échelles de cotation.
👉 Comment construire des échelles de cotation des risques ?
5) Traitement du risque
Cette étape vise à traiter chaque risque identifié en se basant sur les décisions et les mesures qui ont été prises au préalable. Cela implique de déterminer la stratégie de réponse à entreprendre pour chaque risque : faut-il le traiter, l’accepter ou envisager d’autres solutions ? Selon la décision, des plans d’action, de maîtrise ou de contrôle sont mis en place.
6) Enregistrement et rapport
Une fois les risques évalués et traités, le ou la personne chargée de la gestion des risques formalise les rapports, effectue le suivi et présente les résultats à la Direction ainsi qu’aux équipes concernées.
7) Communication et surveillance
En parallèle ces étapes, et ce, durant tout le processus, il est essentiel de maintenir une bonne communication et de sensibiliser les agents pour créer une culture soucieuse du risque. De plus, la surveillance et l’examen régulier des risques sont nécessaires. En effet, la cartographie des risques est un élément figé sur à un instant T, et doit donc être actualisée grâce à une surveillance continue.
Voici un schéma récapitulatif issu de l’ISO 31000 :
À noter : Les risques sonnent généralement comme une menace, ils peuvent aussi se présenter comme des opportunités.
Les problématiques spécifiques du secteur public
Focus excessif sur l’aspect financier
Très souvent, les organisations du secteur public se concentrent principalement sur le contrôle interne financier, parfois au détriment d’autres aspects essentiels. Cette focalisation parfois excessive peut conduire à négliger des impacts tout aussi importants, tels que les conséquences humaines, environnementales ou liées à la qualité des services par exemple.
Soumis à beaucoup de réglementations
Le secteur public est souvent soumis à de nombreuses réglementations spécifiques à chaque secteur d’activité, ce qui peut compliquer et ralentir la mise en place d’une gestion des risques. La nécessité de se conformer à divers cadres et référentiels, combinée à des ressources parfois insuffisantes, rend la tâche d’autant plus difficile, surtout lorsque ces ressources sont déjà mobilisées par d’autres exigences réglementaires.
À noter : Certaines réglementations peuvent avoir un impact positif en imposant des éléments clés, tels qu’une cartographie des risques, qui constitue un premier pas essentiel vers une gestion efficace des risques.
Organisation souvent cloisonnée
Les entités publiques ont tendance à être organisées de manière assez cloisonnée. Cela peut poser des difficultés pour diffuser une culture de gestion des risques à tous les niveaux de l’organisation. En effet, les services travaillent parfois en silos, ce qui limite la communication et la collaboration nécessaire pour une bonne culture du risque.
Les bonnes pratiques de la gestion des risques
S’appuyer sur une méthodologie existante
Avant d’entreprendre toute gestion des risques, il est essentiel de choisir un référentiel sur lequel l’organisation pourra s’appuyer. En effet, sans cadre de référence, il est difficile de structurer efficacement les actions à entreprendre.
Ce référentiel constitue la stratégie que l’organisation suivra, devant répondre à des questions telles que :
- quel est l’objectif de ma gestion des risques ?
- sur quels éléments je souhaite me baser ?
- est-ce que j’adopte une stratégie multi-impacts ?
Pour élaborer cette stratégie, il existe plusieurs référentiels méthodologiques : ISO 31000, AMDEC, modélisation des processus…
👉 La détectabilité des risques
Chez PYX4, nous avons choisis de développer un outil basé sur la norme ISO 31000, qui fournit des principes et des lignes directrices du management des risques, ainsi que les processus de mise en œuvre au niveau stratégique et opérationnel. Le but des normes et référentiels est donc de donner un cadre, des directives et des conseils pour une bonne mise en place de la gestion des risques.
Construire un référentiel homogène et applicable à toute l’organisation
Comme mentionné précédemment, les organisations publiques ont tendance à se focaliser principalement sur l’aspect financier lorsqu’il s’agit d’analyser les risques. Or, les risques peuvent avoir des impacts sur bien d’autres domaines, et il est essentiel que le référentiel retenu en tienne compte.
Lorsque l’organisation va construire son référentiel, elle devra définir des échelles de cotation, ainsi que les catégories de risques auxquels elle est exposée. Elle aura ainsi différents impacts à analyser, selon son secteur d’activité (hôpital, administration, bailleur social, école…).
L’objectif est de trouver un référentiel parlant à l’ensemble des périmètres de l’activité quels que soient les types de services ou les agents impliqués.
Mettre en place une cartographie des processus
La mise en place d’une cartographie des processus permet à l’organisation de mieux se connaître : sa stratégie, sa structure, les rôles de chaque agent et les raisons qui sous-tendent ses actions.
Une fois la cartographie des processus établie, il s’agit de la partager à l’ensemble des agents, et de s’assurer que chaque processus soit bien compris par tous. Cela donne à l’organisation une vision claire et cohérente de ses pratiques, ce qui facilité l’identification des risques inhérents à chaque processus.
Réaliser des démarches participatives
La Direction doit encourager les démarche participatives en impliquant l’ensemble des agents et des parties-prenantes. Ces groupes de travail permettent de mieux appréhender les diverses causes et conséquences des risques, tout en facilitant la création de plans d’action pour les atténuer.
Par exemple, une réunion peut réunir trois à cinq personnes qui consacrent une demi-heure à échanger sur un sujet complexe. Cette approche collaborative et multidisciplinaire enrichit les propositions de solutions pouvant être mises en place pour mitiger les impacts d’un risque.
Propager une culture du risque
Tous les acteurs de l’organisation doivent être formés, ou à minima, sensibilisés aux problématiques liées aux risques, en particulier ceux qu’ils rencontrent dans leurs tâches quotidiennes.
Par exemple, un module de sensibilisation court et ciblé est toujours plus effiace qu’une formation longue. Cependant, ce module doit impérativement s’appuyer sur des exemples concrets vécus par les agents présents, afin de rendre les enjeux de la gestion des risques tangibles et pertinents.
La propagation d’une culture du risque au sein de l’organisation est essentielle. Si tous les agents ne s’engagent pas activement dans cette démarche, la culture du risque ne pourra pas s’enraciner ni perdurer dans le temps. En bref, une gestion de risques ne peut être pérenne que si l’ensemble des collaborateurs y adhèrent et comprennent pleinement son enjeu.
Pour conclure, adopter une gestion des risques dans le secteur public est essentiel, et permet de mieux anticiper et atténuer les incertitudes auxquelles il est confronté. En intégrant une culture du risque, en utilisant des référentiels adaptés et en impliquant tous les agents, les organisations publiques naviguent efficacement dans un environnement complexe et en constante évolution.
Vous pouvez aussi vous doter d’un outil pratique, comme PYX4 Risk vous permettant de :
- identifier vos risques
- impliquer vos agents dans la gestion des risques
- prioriser et maîtriser vos risques