Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Département fédéral des finances DFF Administration fédérale des finances AFF S

Département fédéral des finances DFF Administration fédérale des finances AFF Service juridique Gestion des risques et politique en matière d'assurance Manuel de gestion des risques de la Confédération Version du 23 novembre 2018 2 Contrôle des modifications Quand Qui Description 21.11.2011 rch Première version (vérifiée par Kessler et par AON) 24.05.2013 rch Ajout de l'agrégation des risques transversaux (y c. an- nexe «Feuille d'information sur les risques transversaux de la Confédération») 24.05.2013 rch Ajout du processus d'actualisation des risques 10.09.2015 mlu Remaniement des interfaces, des risques liés à l'infor- matique, des définitions et corrections de nature rédac- tionnelle 28.09.2017 elm/Gre Remaniement de l'identification des risques (nouveaux: alinéas ressources, niveau) et des interfaces (nouveau: 6.5 Engagements conditionnels, annexe 6; complète- ment remaniés: 6.2 Gestion des cas d'urgence et des crises, 6.3 Gestion de la continuité; 6.4 Analyse de la si- tuation et de l'environnement). xx.xx.2018 elm/Gre Remaniements et compléments concernant la stratégie en matière de risques des unités administratives et des départements (1.2.1), l’intégration de la gestion des risques dans les processus de conduite (2.3), la surveil- lance des risques (3.6.1), les risques transversaux (4.3 et annexe 10), la classification (5.3.1), la gestion des as- surances (6.7), les annexes 1, 2, 7 et 11 (nouveau) 3 Table des matières Liste des illustrations ................................................................................................ 6 Liste des abréviations ............................................................................................... 7 0 But du présent document ............................................................................ 8 1 Bases de la gestion des risques de la Confédération ............................... 8 1.1 Politique de gestion des risques ........................................................................... 8 1.1.1 Objectifs ................................................................................................................... 8 1.1.2 Avantages ................................................................................................................ 9 1.2 Stratégie et culture en matière de risques ............................................................ 9 1.2.1 Stratégie en matière de risques ................................................................................ 9 1.2.2 Culture du risque .................................................................................................... 10 1.3 Champ d'application et définition du risque ....................................................... 11 1.4 Traitement des informations classées «SECRÈTES» ........................................... 11 2 Organisation de la gestion des risques à la Confédération .................... 12 2.1 Mise en place ........................................................................................................ 12 2.2 Fonctions et responsabilités ............................................................................... 12 2.3 Gestion des risques dans les processus de conduite de l'administration fédérale ................................................................................. 13 2.3.1 Intégration fonctionnelle: prise en compte dans les processus de planification et de stratégie .................................................................................................................. 13 2.3.2 Intégration verticale: perméabilité entre les échelons hiérarchiques ....................... 15 2.3.3 Intégrat. horizontale: mise en réseau avec d’autres domaines d’aide à la conduite 16 3 Processus de gestion des risques ............................................................ 17 3.1 Procédures et flux d'information au sein de l'administration fédérale ............. 18 3.1.1 Rapport annuel sur les risques ............................................................................... 18 3.1.2 Actualisation des risques ........................................................................................ 19 3.1.3 Flux d'information concernant la gestion des risques de la Confédération .............. 19 3.2 Identification ......................................................................................................... 20 3.2.1 Point de départ et limite .......................................................................................... 21 3.2.2 Procédure et structure ............................................................................................ 23 3.3 Analyse et évaluation des risques ...................................................................... 26 3.3.1 Généralités sur le recensement des risques ........................................................... 26 3.3.2 Méthodes d'analyse et d'évaluation des risques ..................................................... 26 3.3.3 Répartition des dommages inhérents à un risque ................................................... 27 3.3.4 Évaluation des conséquences ................................................................................ 28 3.3.5 Évaluation qualitative ou quantitative ...................................................................... 29 3.3.6 Évaluation de la probabilité ..................................................................................... 30 3.3.7 Interactions entre les risques .................................................................................. 30 3.4 Appréciation des risques ..................................................................................... 31 3.5 Maîtrise des risques ............................................................................................. 32 3.5.1 Actions possibles .................................................................................................... 32 3.5.2 Définition, sélection et application des mesures ...................................................... 33 3.6 Surveillance .......................................................................................................... 33 3.6.1 Surveillance des risques ......................................................................................... 34 3.6.2 Surveillance des mesures ....................................................................................... 34 4 4 Rapport sur les risques .............................................................................. 35 4.1 Contenu du rapport sur les risques .................................................................... 35 4.2 Principes régissant l'établissement des rapports .............................................. 35 4.3 Agrégation des risques transversaux ................................................................. 35 4.3.1 Décision d'agrégation ............................................................................................. 36 4.3.2 Compétences en matière d'agrégation ................................................................... 36 4.3.3 Clarification des responsabilités en matière de gestion ........................................... 37 4.3.4 Rapport ................................................................................................................... 37 4.3.5 Échange d'informations .......................................................................................... 37 4.4 Sélection des risques ........................................................................................... 38 4.5 Interactions ........................................................................................................... 39 4.5.1 Traitement organisationnel des interactions ............................................................ 39 4.5.2 Représentation des interactions .............................................................................. 40 5 Communication ........................................................................................... 40 5.1 Communication interne et formations ................................................................ 41 5.1.1 Formations ............................................................................................................. 41 5.1.1.1 Cours «Risikomanagement» (gestion des risques) ................................................. 41 5.1.1.2 Formation R2C ....................................................................................................... 41 5.1.1.3 Cours de formation destiné aux cadres (propriétaires des risques) ......................... 41 5.1.2 Manifestations ........................................................................................................ 42 5.1.3 Canaux d'information internes ................................................................................ 42 5.2 Communication externe ....................................................................................... 42 5.2.1 Rapport de gestion ................................................................................................. 42 5.2.2 Compte d'État et budget ......................................................................................... 42 5.2.3 Prise de position du Conseil fédéral sur les rapports parlementaires concernant la gestion des risques ................................................................................................. 43 5.3 Classification, principe de la transparence et archivage ................................... 43 5.3.1 Classification des informations dans le cadre de la gestion des risques ................. 43 5.3.2 Principe de la transparence .................................................................................... 44 5.3.3 Archivage ............................................................................................................... 44 6 Interfaces ..................................................................................................... 45 6.1 Système de contrôle interne (SCI) .......................................................................... 45 6.2 Gestion des urgences et des crises (détection précoce, maîtrise) .......................... 46 6.3 Gestion de la continuité (BCM) ............................................................................... 48 6.4 Analyse de la situation et du contexte ..................................................................... 50 6.5 Présentation des comptes (engagements conditionnels) ........................................ 51 6.6 Gouvernement d'entreprise..................................................................................... 52 6.7 Gestion des assurances ......................................................................................... 53 6.8 Unité de pilotage informatique de la Confédération ................................................. 54 6.9 Contrôle fédéral des finances (CDF) ....................................................................... 55 6.10 Autres interfaces ..................................................................................................... 55 7 Amélioration de la gestion des risques de la Confédération ................. 56 7.1 Évaluation des prestations ...................................................................................... 56 7.2 Audit ....................................................................................................................... 56 7.3 Certification............................................................................................................. 57 5 Annexes Annexe 1: Définitions (glossaire) ............................................................................. 58 Annexe 2: Formulaire commenté de recensement des risques ............................... 62 Annexe 3: Structure des risques .............................................................................. 63 Annexe 4: Cahiers des charges des responsables de la gestion des risques des départements et des UA ......................................................................... 65 Annexe 5: Exemple de refus d'une demande de consultation de la base de données des risques R2C concernant la gestion des risques de la Confédération ................................................................................ 67 Annexe 6: Interface « Gestion des risques – établissement des comptes » à la Confédération ......................................................................................... 69 Annexe 7: Organisations en dehors de l'administration fédérale ............................ 70 Annexe 8: Projets liés à la gestion des risques ....................................................... 73 Annexe 9: Obstacles à la gestion des risques ......................................................... 75 Annexe 10: Feuille d'information «Risques transversaux de la Confédération» ....... 77 6 Liste des illustrations Illustration 1: Organisation de la gestion des risques à la Confédération 12 Illustration 1: Intégration fonctionnelle de la gestion des risques en tant que processus de conduite 125 Illustration 2: Intégration verticale des différents échelons hiérarchiques dans la gestion des risques 126 Illustration 3: Mise en réseau des domaines d’aide à la conduite au sein de l’administration fédérale 127 Illustration 5: Processus de gestion des risques selon les normes en vigueur 178 Illustration 6: Procédures de gestion des risques de la Confédération 18 Illustration 7: Procédure pour le rapport annuel sur les risques de l'administration fédérale 19 Illustration 8: Flux d'information 190 Illustration 9: Identification des risques 25 Illustration 10: Répartition des dommages inhérents à un risque 29 Illustration 11: Evaluation globale des conséquences 290 Illustration 12: Exemple de niveaux de tolérance au risque 312 Illustration 13: Sélection des principaux risques 39 Illustration 14: Sélection des risques dans l'administration fédérale 40 Illustration 15: Interfaces avec la gestion des risques (liste non exhaustive) 456 Illustration 16: SCI et gestion des risques 46 Illustration 17: Interfaces entre la gestion des risques et la gestion des crises 48 Illustration 18: Vue d'ensemble des organisations de gestion des crises 49 Les désignations de fonction prennent la forme masculine dans le présent manuel pour faciliter la lecture. Elles s'appliquent toutefois aux deux sexes. 7 Liste des abréviations AFF Administration fédérale des finances ACF Arrêté du Conseil fédéral BCM Business Continuity Management (gestion de la continuité de l'activité) CdG Commissions de gestion CENAL Centrale nationale d'alarme CF Conseil fédéral CGR Conseiller en gestion des risques ChF Chancellerie fédérale CSG Conférence des secrétaires généraux CTE Coordination des transports dans l’éventualité d'événements (voir RS 520.16) DDPS Département fédéral de la défense, de la protection de la population et des sports DEFR Département fédéral de l'économie, de la formation et de la recherche DélSéc Délégation pour la sécurité DETEC Département fédéral de l'environnement, des transports, de l'énergie et de la communication DFAE Département fédéral des affaires étrangères DFF Département fédéral des finances DFI Département fédéral de l'intérieur DFJP Département fédéral de justice et police EMPOC État-major «Prise d'otage et chantage» (voir RS 172.213.80) ISO Organisation internationale de normalisation IT Information Technology (technologie de l'information) LAr Loi fédérale sur l'archivage (RS 152.1) LFC Loi sur les finances de la Confédération (RS 611.0) LMP Loi fédérale sur les marchés publics (RS 172.056.1) LOGA Loi sur l'organisation du gouvernement et de l'administration (RS 172.010) LRCF Loi sur la responsabilité (RS 170.32) LTrans Loi fédérale sur le principe de la transparence dans l'administration (RS 152.3) OEMFP Ordonnance sur l’État-major fédéral Protection de la population (RS 520.17) OFAE Office fédéral pour l'approvisionnement économique du pays OFC Ordonnance sur les finances de la Confédération (RS 611.01) OFSP Office fédéral de la santé publique ONR Réglementation de l'organisme autrichien de normalisation OPrl Ordonnance concernant la protection des informations (RS 510.411) OSANC Organe sanitaire de coordination (voir RS 501.31) PC Personal Computer (ordinateur personnel) R2C Risk to Chance (logiciel de gestion des risques) RNS Réseau national de sécurité SCI Système de contrôle interne SIPD Sûreté de uploads/Management/ handbuch-risikomanagement-bund-f.pdf