OBJECTIFS

Les objectifs de cette politique sont les suivants :

1 Cerner, évaluer, gérer et surveiller les risques pouvant affecter l’atteinte de la mission, de la vision ainsi que des objectifs stratégiques et opérationnels de l’Établissement.

2 Améliorer la performance de l’Établissement dans l’utilisation de ses ressources et dans le choix des contrôles qui sont modulés en fonction des risques, et ce, dans un souci d’économie, d’efficacité et d’efficience.

3 Soutenir les responsabilités de la direction en matière de gouvernance, en veillant à ce que lessecteurs de risques élevés liés aux activités soient déterminés, évalués et gérés.

CHAMP D’APPLICATION

Cette politique s’applique à tous les secteurs d’activités de l’Établissement et couvre les différentes catégories de risques, qu’il s’agisse de risques stratégiques, financiers, opérationnels, technologiques, d’atteinte à la réputation ou liés à la divulgation d’information.

PRINCIPES DIRECTEURS

1 La démarche de gestion des risques est un objectif stratégique de l’Établissement.

2 La gestion des risques s’effectue de façon continue et couvre les risques stratégiques, financiers, opérationnels, technologiques, d’atteinte à la réputation et liés à la divulgation d’information.

3 La gestion du risque entraîne la mise en place de contrôles pour ramener les risques à un niveaucompatible avec le niveau de tolérance au risque des administrateurs de l’Établissement.

DÉFINITIONS

Gestion de crise

Ensemble des modes d’organisation, des techniques et des moyens qui permettent à un Établissement de se préparer et de faire face à la survenance d’une crise puis de tirer les enseignements de l’événement pour améliorer les procédures et les structures dans une vision prospective.

Gestion des risques

Approche servant à déterminer la meilleure voie à emprunter en cas d’incertitude en identifiant, en évaluant, en comprenant, en communiquant les questions liées aux risques et en prenant les mesures appropriées à leur égard.

Niveau de risque inhérent

Résultat de l’évaluation de la probabilité d’occurrence et de l’impact du risque, sans prendre en compte l’effet des contrôles (mesures d’atténuation) mis en place.

Niveau de risque résiduel

Résultat de l’évaluation de l’efficacité des contrôles. Il s’agit du niveau de risque subsistant après l’application de ces mesures.

Processus de gestion des risques

Application systématique de politiques, de procédures et de pratiques de gestion aux fonctions d’établissement du contexte, d’identification, d’analyse, d’évaluation, de gestion, de surveillance et de signalement des risques.

Risque

Tout événement comportant un degré d’incertitude qui pourrait mettre en péril l’atteinte des objectifs stratégiques et opérationnels de l’Établissement.

Seuil de tolérance aux risques

Niveau maximal de risque que l’Établissement est prêt à accepter aux fins d’atteinte des objectifs fixés. Ce seuil de tolérance est défini par le conseil d’administration en référence aux objectifs stratégiques.

RÔLES ET RESPONSABILITÉS

1 Le conseil d’administration :

• Adopte la présente politique ainsi que toute modification à celle-ci ;

• Est informé de tous les risques majeurs stratégiques, financiers, opérationnels, technologiques, d’atteinte à la réputation ou liés à la divulgation d’information auxquels est confronté l’Établissement, ainsi que des mesures de réaction mises en œuvre, des plans d’action qui s’y rapportent et de leur suivi ;

• S’assure que le comité d’audit et gestion des risques procède au suivi du processus de gestion des risques ;

2 Le comité d’audit et gestion des risques :

• Recommande au conseil d’administration l’adoption de la présente politique et toute modification à celle-ci ;

• Assure le suivi du processus de gestion des risques et fait rapport au conseil d’administration deses travaux à ce sujet ;

• Est informé de tous les risques majeurs stratégiques, financiers, opérationnels, technologiques, d’atteinte à la réputation ou liés à la divulgation d’information auxquels est confronté l’Établissement, ainsi que des mesures de réaction mises en œuvre, des plans d’action qui s’y rapportent et de leur suivi ;

3 La direction générale :

• S’assure du respect de la politique de gestion des risques par les cadres et le personnel et assure le suivi auprès du comité d’audit et de gestion des risques et du conseil d’administration ;

4 La direction générale et les cadres :

• Identifient, évaluent et rapportent, par écrit, les risques liés aux activités de leurs secteurs respectifs. La direction générale, au comité d’audit et gestion des risques et les cadres, à la direction générale ;

• Établissent un plan d’action pour chacun des risques identifiés et assurent le suivi de ces plans d’action, conformément au processus de gestion des risques ;

• Rendent compte de la gestion des risques liés aux activités de leurs secteurs. La direction générale, au comité d’audit et gestion des risques et les cadres, à la direction générale. À cet égard, ils fournissent toute l’information et tous les documents requis, conformément au processus de gestion des risques.

5 Les membres du personnel :

• Tout membre du personnel est responsable de communiquer, sans délai et par écrit, à son supérieur immédiat tout risque susceptible d’avoir un impact sur les activités, les projets, l’atteinte des objectifs et l’accomplissement de la mission de l’Établissement.

RESPONSABLE DE L’APPLICATION ET DE LA MISE À JOUR

Le conseil d’administration est responsable de superviser l’application et la mise à jour de la présente politique.

Entrée en vigueur

La présente politique entre en vigueur à la date fixée par le conseil d’administration

Pour plus d’information et avoir la compétence nécessaire pour bâtir une meilleure politique de management du risque , vous pouvez suivre PECB ISO31000 Lead Risque Manager