Vérification interne de la gestion intégrée du risque
Table des matières
Résumé
Contexte
Le Ministère a indiqué que la gestion intégrée du risque (GIR) devait faire l'objet d'une vérification en 2013 dans le cadre du processus annuel de planification des vérifications axé sur les risques. Le raisonnement à la source de cette décision reposait sur le fait que la GIR était l'une des priorités de gestion du Ministère en 2013. Sécurité publique Canada (SP) n'a jamais réalisé de vérification de la GIR.
La gestion du risque contribue de manière importante au renforcement de la capacité du Ministère de reconnaître et de comprendre les nouveaux défis et les nouvelles possibilités, d'en tenir compte et d'en tirer profit. Elle prépare une organisation à s'adapter au changement et à l'incertitude, et elle favorise l'efficacité du processus décisionnel.
Les normes internationalesNote de bas de page 1 et les attentes pangouvernementales en matière de saine gouvernance mettent l'accent sur le fait que tous les types de risques devraient être pris en compte et intégrés à l'ensemble des activités de planification et d'exécution, tant sur le plan stratégique qu'opérationnel. Le Cadre stratégique de gestion du risquedu Conseil du Trésor (CT) comprend des directives à l'intention des administrateurs généraux sur la mise en place de pratiques efficaces de gestion du risque à tous les niveaux de leur organisation. Ce cadre favorise l'établissement de priorités stratégiques, l'affectation des ressources et la prise de décisions éclairées relatives au niveau de tolérance au risque et l'amélioration des résultats.
Le Cadre de responsabilisation de gestion(CRG), qui est un outil de gestion du rendement clé pour le gouvernement fédéral, prévoit que les ministères intègrent des pratiques et des principes de gestion du risque aux activités stratégiques, opérationnelles et fonctionnelles de l'organisation.
En 2010, SP a approuvé la Politique de gestion intégrée du risque et en 2013, il a mis à jour le Cadre de gestion intégrée du risque. Ce cadre vise à communiquer la stratégie de gestion du risque de SP à tous les niveaux hiérarchiques et à prévoir des moyens d'acquérir et de conserver une forte capacité de gestion du risque.
Objectif de la vérification
L'objectif de cette vérification consistait à donner une assurance raisonnable que l'approche adoptée par le Ministère en matière de GIR était adéquate et efficace afin d'assurer qu'une approche conséquente a été adoptée, et que l'information sur le risque a été intégrée au processus décisionnel de façon appropriée. La vérification portait sur la période allant du 1er septembre 2011 au 31 décembre 2012.
Résumé des conclusions
La vérification a permis de constater que la Politique sur la gestion du risque de SP (Politique de GIR) et le Cadre de gestion intégrée du risque(CGIR) de SP étaient bien définis et communiqués comme il se doit. Les deux documents renfermaient des objectifs identifiables, des rôles et des responsabilités précis et des échéanciers pour l'établissement des rapports qui étaient harmonisés au Cadre stratégique de gestion du risquedu CT et au Guide de gestion intégrée du risque du CT.
Bien qu'il y ait des mécanismes permettant de surveiller la mise en œuvre de la Politique, ils sont périodiques et de haut niveau. Aucun mécanisme ne permet d'obtenir des informations opportunes sur l'état de mise en œuvre de la gestion du risque et des écarts connexes en matière de formation. La vérification a permis de constater que le Secteur de politiques stratégiques (SPS) a réussi à mettre en place de nombreux éléments fondamentaux malgré des ressources très limitées; toutefois, quelques indicateurs choisis à l'appui de la surveillance permettraient de maintenir le dynamisme acquis.
À l'échelon ministériel, le Profil de risque du Ministère (PRM) permet de saisir les risques stratégiques de haut niveau. Le développement et la mise œuvre de cet outil qu'est le CGR de SP ont été très bien cotés. Les éléments probants de la vérification à diverses étapes de l'établissement du PRM donnaient à entendre que les risques avaient été déterminés et évalués de façon non officielle en l'absence de toute documentation sur les processus, les travaux ou les critères d'évaluation. En outre, la vérification a permis de constater que l'intégration des mesures d'atténuation du PRM dans des plans de travail précis et détaillés des directions générales ne semble pas claire, ce qui crée un risque que les ressources ne soient pas harmonisées comme il se doit. Également, rien ne démontrait que le Comité de gestion du Ministère (CGM) ait a été mis au courant des modifications apportées aux plans d'atténuation du PRM ou qu'il les ait approuvées.
À l'échelon des secteurs et des directions générales, plusieurs secteurs de programmes accomplissaient des progrès notables dans la mise en place d'outils de gestion du risque précis. Bien que les directives sur ces outils, dont leur interdépendance et les processus d'intégration, ne soient pas encore mises en œuvre, elles constituent une étape positive en matière d'intégration de la gestion du risque aux opérations, et elles favoriseront des résultats cohérents et systématiques visant à orienter les processus décisionnels.
Le Profil de risque du secteur (PRS) est un autre outil clé à l'échelon des secteurs et des directions générales à l'appui des risques opérationnels. Les PRS visent à orienter les décisions de chacun des secteurs sur les plans, les priorités et l'affectation des ressources en saisissant, évaluant et résumant les principaux risques pouvant avoir l'incidence la plus importante sur la réalisation des objectifs des secteurs. Toutefois, la vérification a révélé qu'en règle générale, les PRS n'avaient pas été complètement dressés ou qu'ils n'étaient pas tenus à jour de façon systématique. Ces risques opérationnels ont été cernés de façon plus intuitive que systématique ou grâce à la mobilisation des intervenants ou à des discussions lors de réunions de comités, mais qu'ils étaient rarement documentés.
Le CGM a réalisé des progrès visant l'intégration de l'information sur le risque aux activités relatives à la prise de décisions. Certains écarts persistent au chapitre de la surveillance et de l'intégration du risque. La vérification a aussi révélé que la haute direction appuie généralement la gestion du risque; toutefois, la haute direction n'a pas toujours tiré parti d'une discussion et d'une compréhension collectives du niveau de tolérance au risque du Ministère, les membres du CGM n'ayant pas vraiment discuté de la question du risque.
À l'échelon des secteurs et des directions générales, le recours à la gestion du risque était plus intuitif. La gestion du risque était moins structurée, en grande partie non documentée et souvent officialisée uniquement lorsqu'il fallait prendre part au processus relatif au PRM de haut niveau.
Le Comité ministériel de vérification (CMV) a indiqué l'importance de toujours assurer le suivi des risques avant de passer à l'analyse de l'enjeu suivant et la nécessité d'utiliser l'information sur le risque de façon plus stratégique pour des activités, notamment lier les ressources aux secteurs de risque et aux priorités.
Opinion de la vérification
À mon avis, l'approche adoptée par le Ministère en matière de GIR au niveau stratégique était en règle générale adéquate et efficace afin d'assurer qu'une approche conséquente a été adoptée, et que l'information sur le risque a été intégrée au processus décisionnel de façon appropriée. Il y aurait lieu de renforcer la GIR au sein des secteurs et des directions générales, de façon à assurer l'intégration appropriée du risque au processus décisionnel.
Énoncé d'assurance et de conformité
La vérification est conforme aux normes de vérification interne du gouvernement du Canada, comme en témoignent les résultats du Programme d'amélioration et d'assurance de la qualité.
Selon mon jugement professionnel, à titre de dirigeante principale de la vérification, des procédures de vérification suffisantes et adéquates ont été appliquées, et les éléments probants recueillis confirment l'exactitude de l'opinion présentée dans le présent rapport. L'opinion repose sur un examen des situations recensées au moment de la vérification en fonction des critères de vérification établis au préalable et approuvés par la gestion. L'opinion s'applique uniquement à l'entité vérifiée.
Résumé des recommandations
- Les administrateurs généraux devraient établir annuellement des profils de risque du secteur ou développer des outils analogues de sorte que les risques soient adéquatement définis, évalués, atténués et surveillés et que les possibilités soient bien définies, évaluées, mises à profit et surveillées. Ces profils de risque devraient orienter la planification et les processus décisionnels et opérationnels des secteurs et du Ministère.
- Le SMA, Secteur de politiques stratégiques, devrait établir des indicateurs de façon à faire le suivi de l'état de mise en œuvre de la Politique de GIR et du CGIR.
- Le SMA, Secteur de politiques stratégiques, devrait renforcer les processus entourant l'élaboration, la modification et l'harmonisation des plans d'atténuation du Profil de risque du Ministère dans le cadre des cycles de planification et de l'établissement de rapports sectoriels et ministériels.
- Le SMA, Secteur de politiques stratégiques, à titre d'agent principal de gestion du risque (APGR), devrait s'assurer que le CGM a la possibilité de réaliser un examen approfondi des risques stratégiques ministériels au moins deux fois par année. L'APGR devrait également favoriser la prise en compte des renseignements pertinents sur les risques, notamment les risques relevés dans le Profil de risque du Ministère et les Profils de risque du secteur dans le cadre des activités décisionnelles clés du CGM.
Réponse de la direction
Le SMA du Secteur de politiques stratégiques accepte les résultats de la vérification et s'engage à prendre plusieurs mesures pour appuyer davantage la GIR au sein du Ministère. Le Secteur de politiques stratégiques appuiera également les secteurs dans le cadre de la mise en œuvre des recommandations qui relèvent de leur responsabilité conformément au CGIR et à la Politique de GIR. Également, dans la mesure du possible, le Secteur de politiques stratégiques appuiera les secteurs dans le cadre de la gestion de leurs propres processus de gestion du risque en fournissant des outils et du soutien, par exemple, par l'entremise de la collectivité des pratiques en matière de gestion du risque.
Signature de la dirigeante principale de la vérification
____________________________
Membres de l'équipe de vérification
Deborah Duhn
Melissa Greenland
Remerciements
La Vérification interne tient à remercier toutes les personnes ayant apporté aide et conseils au cours de la vérification.
1. Introduction
1.1 Contexte
Dans le cadre du processus annuel de planification des vérifications axé sur les risques, le Ministère a indiqué que la gestion intégrée du risque (GIR) devait faire l'objet d'une vérification en 2013. Le raisonnement à la source de cette décision reposait sur le fait que la GIR était l'une des priorités de gestion du Ministère en 2013. Sécurité publique Canada (SP) n'a jamais réalisé de vérification de la GIR.
La gestion du risque contribue de matière importante au renforcement de la capacité du Ministère de reconnaître et de comprendre les nouveaux défis et les nouvelles possibilités, d'en tenir compte et d'en tirer profit. Elle prépare une organisation à s'adapter au changement et à l'incertitude, et elle favorise l'efficacité du processus décisionnel.
La gestion inefficace du risque peut entraîner une hausse des coûts des programmes et faire rater des occasions, ce qui peut mettre en péril les résultats des programmes et, au bout du compte, miner la confiance du public. Une gestion judicieuse des risques est un facteur fondamental pour une administration publique qui se veut efficace, car elle permet qu'une organisation soit fonctionnelle, axée sur les résultats et à haut rendement.
Les risques peuvent comprendre ce qui suit :
- Risques stratégiques : Pertes ou dommages causés par des conditions externes ou systémiques ou par des événements pouvant influer de façon négative et stratégique sur la capacité du Ministère de réaliser ses objectifs.
- Risques opérationnels : Pertes ou dommages causés par des personnes, des processus ou la technologie.
- Dangers : Pertes ou dommages causés par des situations naturelles ou accidentelles ou encore des actions préméditées.
Plusieurs éléments importants caractérisent la GIR, dont les suivants :
| Dimensions | Description |
|---|---|
Intégration horizontale |
Il s'agit de l'harmonisation horizontale des pratiques de gestion du risque dans l'ensemble des secteurs et des programmes du Ministère. Une intégration horizontale est essentielle de sorte que des approches uniformes soient appliquées lorsque des décisions axées sur les risques sont similaires afin d'éviter le chevauchement des tâches, et de communiquer les pratiques exemplaires et d'en tirer parti. Il est aussi essentiel de garantir l'échange opportun de renseignements sur les risques dans une organisation, ce qui permet de prendre des décisions plus éclairées et judicieuses. |
Intégration verticale |
Il y a intégration verticale lorsque les pratiques de gestion du risque à différents niveaux de la hiérarchie du Ministère sont harmonisées et intégrées les unes aux autres, de telle manière que l'information sur les risques générée à des niveaux hiérarchiques inférieurs de l'organisation puisse, au besoin, être réunie de façon uniforme et communiquée à la haute direction. L'intégration verticale est indispensable pour communiquer l'information sur les risques comme il se doit aux principaux décideurs de façon à établir un équilibre entre la nécessité d'être informés et de réagir à certains types de risques et les pouvoirs de gestion à des niveaux hiérarchiques inférieurs. |
Intégration fonctionnelle |
Il y a intégration fonctionnelle lorsque les pratiques de gestion du risque sont intégrées directement aux fonctions opérationnelles et aux processus décisionnels en place. L'intégration est essentielle de sorte que les décisions et les fonctions de gestion tiennent compte du risque, le cas échéant, et que des processus uniformes, efficients et régularisés soient en place pour garantir la stabilité et la fiabilité des processus axés sur le risque. |
Les normes internationalesNote de bas de page 2 et les attentes pangouvernementales en matière de saine gouvernance mettent l'accent sur le fait que tous les types de risques devraient être pris en compte et intégrés à l'ensemble des activités de planification et d'exécution, tant sur le plan stratégique qu'opérationnel. Le Cadre stratégique de gestion du risquedu Conseil du Trésor (CT) comprend des directives à l'intention des administrateurs généraux sur la mise en place de pratiques efficaces de gestion du risque à tous les niveaux de leur organisation. Ce cadre favorise l'établissement de priorités stratégiques, l'affectation des ressources et la prise de décisions éclairées relatives au niveau de tolérance au risque et l'amélioration des résultats
Le Cadre de responsabilisation de gestion(CRG), qui est un outil de gestion du rendement clé pour le gouvernement fédéral, prévoit que les ministères intègrent des pratiques et des principes de gestion du risque aux activités stratégiques, opérationnelles et fonctionnelles de l'organisation.
En 2010, SP a approuvé la Politique de gestion intégrée du risque et en 2013, à la suite de la vérification, il a mis à jour et approuvé officiellement le Cadre de gestion intégrée du risque (CGIR). Ce cadre vise à communiquer la stratégie de gestion du risque de SP à tous les niveaux hiérarchiques et à prévoir des moyens d'acquérir et de conserver une forte capacité de gestion du risque. De plus, il démontre l'importance d'intégrer la gestion du risque aux processus stratégiques, de planification, d'affectation des ressources et décisionnels, et d'établir des liens vers les documents stratégiques du MinistèreNote de bas de page 3. Le CGIR comprend aussi les principales activités dans le contexte du cycle de vie de la gestion du risque, dont la détermination, l'évaluation, l'intervention et la surveillance.
Le Profil de risque du Ministère (PRM) est l'un des processus indiqués dans le CGIR, qui présente une perspective ministérielle des principaux risques et possibilités par programme au niveau de l'architecture d'harmonisation des programmes (AHP). Élaboré conformément au Cadre de mesure du rendement (CMR), ce document, qui en est à sa troisième année de mise en œuvre, permet d'établir un lien direct entre les risques et possibilités déterminés et les résultats attendus indiqués dans le CMR.
Objectifs de Sécurité publique Canada liés à la gestion intégrée du risqueNote de bas de page 4
Les objectifs du Ministère portant sur la gestion intégrée du risque figurent dans la Politique de GIR du Ministère et se résument comme suit :
- mettre en œuvre un processus global et systématique de détermination et d'évaluation du risque;
- créer un contexte de gestion qui permet de contrôler et de gérer efficacement les risques, et qui favorise une prise de risque appropriée selon les paramètres définis;
- intégrer la gestion du risque aux activités et aux fonctions de gestion courantes de SP en mettant l'accent sur la gestion du risque dans l'ensemble des secteurs et des activités de programmes;
- favoriser une culture d'amélioration continue de la gestion du risque grâce à l'information, à la formation, à la surveillance et à l'évaluation;
- favoriser des mécanismes précis de communication et de sensibilisation à l'égard du risque;
- satisfaire aux exigences énoncées dans le Cadre stratégique de gestion du risque du CT.
Rôles et responsabilités de Sécurité publique Canada liés à la gestion intégrée du risqueNote de bas de page 5
Le SMA, Secteur de politiques stratégiques, à titre d'agent principal de gestion du risque (APGR), assume les responsabilités suivantes :
- faire de la gestion du risque une partie intégrante des activités et des fonctions de gestion courantes du Ministère;
- déterminer le niveau de tolérance au risque du Ministère en consultation avec les intervenants concernés;
- établir des objectifs et des stratégies de gestion du risque qui s'harmonisent aux objectifs et aux priorités de SP;
- assurer l'exécution et la surveillance de la mise en œuvre des lignes directrices sur la gestion du risque;
- informer le sous-ministre et le Comité de gestion de tous les risques connus et pertinents dans l'ensemble du Ministère et l'appuyer;
- augmenter les possibilités de formation en matière de gestion du risque.
Le Comité de gestion du Ministère (CGM) assume les responsabilités suivantes :
- favoriser l'importance de la mise en œuvre d'un cadre de gestion intégrée du risque au sein du Ministère;
- trouver le meilleur moyen de mettre en œuvre le Cadre de gestion intégrée du risque dans l'ensemble du Ministère;
- tenir compte de la gestion du risque dans le processus décisionnel;
- faire en sorte que les risques ministériels soient déterminés, évalués et gérés de façon appropriée, et qu'ils fassent l'objet de discussions au moins deux fois par année;
- veiller à ce que le Ministère ait la capacité de rendre compte du rendement de la fonction de gestion du risque;
- créer un milieu favorable pour l'apprentissage et des communications appropriées liées à la gestion du risque.
Les sous-ministres adjoints assument les responsabilités suivantes :
- intégrer la gestion du risque aux pratiques de gestion des secteurs;
- veiller à ce que les risques pour les secteurs soient déterminés, évalués et gérés comme il se doit; faire en sorte que les risques stratégiques soient clairement déterminés au moyen du cadre de planification du Ministère, et à ce qu'ils soient présentés aux comités concernés et au sous-ministre, s'il y a lieu;
- donner une orientation claire quant au niveau d'intervention approprié aux divers types de risques; promouvoir l'établissement d'un milieu où la gestion efficace des risques et la prise de risques judicieuse sont favorisées;
- gérer les niveaux de risque liés aux programmes, aux plans et aux politiques des secteurs.
Tous les employés assument les responsabilités suivantes :
- aider les gestionnaires à déterminer et à évaluer les risques, et à prendre des mesures efficaces de gestion à cet égard;
- assumer un rôle proactif pour ce qui est de déterminer et de contrer les risques;
- intégrer la gestion du risque en tant qu'élément essentiel du processus décisionnel au Ministère.
1.2 Objectif de la vérification
L'objectif de cette vérification consistait à donner une assurance raisonnable que l'approche adoptée par le ministère en matière de GIR était adéquate et efficace afin d'assurer qu'une approche conséquente a été adoptée, et que l'information sur le risque a été intégrée au processus décisionnel de façon appropriée.
1.3 Portée et approche
La vérification portait sur la période allant du 1er septembre 2011 au 31 décembre 2012, cette période permettant d'assurer l'actualité des résultats et d'inclure un cycle complet de gestion des activités. Certains des essais ont été effectués selon une formule « en cours d'élaboration », les processus étant examinés à mesure de leur évolution de façon à formuler des conseils et à communiquer des points de vue opportuns à l'intention de la direction.
Tous les secteurs de SP ont été visés par la vérification, qui était axée sur les processus de gestion intégrée du risque.
La vérification a aussi permis d'examiner la pertinence des processus fondamentaux de gestion du risque, leur intégration horizontale et verticale aux processus décisionnels du Ministère et la surveillance périodique de ces processus de façon à assurer leur l'efficacité sur une base continue.
La vérification a mis l'accent sur les activités que le Ministère a exercées pour déterminer les risques dans le cadre de ses activités opérationnelles et de gestion; toutefois, elle ne comprenait pas un examen de la pertinence ou de l'applicabilité des outils individuels de gestion du risque en raison de leur complexité et de l'expertise requise en la matière.
1.4 Analyse du risque
SP assume son rôle de direction et de surveillance dans le contexte de la conjoncture tant interne qu'externe, qui expose le Ministère à un grand nombre de risques à la fois opérationnels et stratégiques. Plus précisément :
- La gestion du risque dans le contexte de SP est complexe par définition. En raison du grand nombre d'intervenants (tant au sein qu'à l'extérieur du Ministère) qui recueillent et utilisent l'information sur le risque, combiné à des conceptions diverses en matière de risque et au niveau de tolérance au risque, il est plus compliqué d'échanger des renseignements sur le risque horizontalement et verticalement. Fait à noter, les interrelations croissantes entre les programmes et les priorités du Ministère, de même que l'horizontalité croissante de dossiers et d'enjeux dans l'ensemble du gouvernement. Cette horizontalité inhérente augmente non seulement la nécessité d'échanger horizontalement des renseignements sur le risque, mais également la difficulté à faciliter cet échange en raison de certains facteurs, dont des obstacles organisationnels (le travail en vase clos) et les diverses approches en matière de gestion du risque dans l'ensemble du Ministère et du gouvernement. Cette réalité est davantage aggravée par une culture et une pratique organisationnelles qui font en sorte que les employés sont naturellement plus disposés à assurer la protection de l'information sur le risque plutôt que la diffusion, tout simplement du fait des activités du Ministère.
- Le mandat de SP est tel que les gestionnaires assurent intuitivement la gestion du risque dans le cadre de leurs activités quotidiennes. Il est donc plus difficile de mettre en œuvre et de régulariser des processus de gestion du risque compte tenu de la nature du mandat du Ministère et de la nouveauté relative des pratiques officialisées en matière d'évaluation et de gestion du risque. Les efforts visant à mettre en place un processus de gestion du risque ont été positifs; toutefois, à l'instar de toutes les initiatives de gestion du changement (particulièrement en périodes de compression sur le plan des ressources), il se peut que la GIR soit considérée comme une simple exigence de conformité, plutôt qu'une fonction à valeur ajoutée, et que les gestionnaires reproduisent des comportements passés.
- Il ne faut pas oublier les répercussions des compressions sur le plan des ressources et du plan d'action pour la réduction du déficit. Il est plus difficile d'investir dans de nouveaux processus étant donné la réduction des ressources; toutefois, le processus décisionnel axé sur le risque est un outil essentiel pour aider les gestionnaires à prendre des décisions difficiles au sujet de politiques, de programmes et de l'utilisation des ressources.
Les risques détaillés auxquels le Ministère est exposé à cause de ses activités se trouvent à l'Annexe B. Ces risques ont été déterminés au cours de l'étape de planification de la vérification, et ils reposaient sur de longues entrevues et sur l'examen approfondi de la documentation. L'objectif d'une vérification axée sur le risque consiste à centrer l'examen sur les secteurs ayant le plus haut niveau de risque inhérent. De cette façon, les ressources sont utilisées de manière efficace et la valeur est optimale pour la direction. Les objectifs, la portée et les secteurs d'intérêt de la vérification ont été déterminés en fonction de ces risques.
1.5 Opinion de la vérification
À mon avis, l'approche adoptée par le Ministère en matière de GIR au niveau stratégique était en règle générale adéquate et efficace afin d'assurer qu'une approche conséquente a été adoptée, et que l'information sur le risque a été intégrée au processus décisionnel de façon appropriée. Il y aurait lieu de renforcer la GIR au sein des secteurs et des directions générales, afin de veiller à l'intégration appropriée du risque dans le processus décisionnel.
1.6 Énoncé d'assurance et de conformité
La vérification est conforme aux normes de vérification interne du gouvernement du Canada, comme en témoignent les résultats du Programme d'amélioration et d'assurance de la qualité.
Selon mon jugement professionnel, à titre de dirigeante principale de la vérification, des procédures de vérification suffisantes et adéquates ont été appliquées, et les éléments probants recueillis confirment l'exactitude de l'opinion présentée dans le présent rapport. L'opinion repose sur un examen des situations recensées au moment de la vérification en fonction des critères de vérification établis au préalable et approuvés par la gestion. L'opinion s'applique uniquement à l'entité vérifiée.
2. Constatations, recommandations et réactions de la direction
2.1 Politiques et directives
L'équipe de vérification s'attendait à ce que la politique, les directives ou les lignes directrices liées à la GIR soient claires et communiquées adéquatement. Elle s'attendait également à ce que les employés comprennent :
- les objectifs de la politique;
- leurs rôles, responsabilités et responsabilisations;
- la fréquence de la détermination et de l'évaluation des risques et des possibilités;
- la façon dont les risques doivent être intégrés à la planification des activités, au processus décisionnel et aux processus opérationnels;
- la façon dont la conformité à la Politique est surveillée pour assurer un cycle d'apprentissage continu.
La vérification a permis de constater que la Politique sur la gestion du risque de SP (Politique de GIR) était bien définie et communiquée comme il se doit et, à la suite de la période d'examen de la vérification, la haute direction a approuvé le Cadre de gestion intégrée du risque (CGIR) de SP. Les deux documents renfermaient des objectifs identifiables, des rôles et des responsabilités précis et des échéanciers pour l'établissement des rapports qui étaient harmonisés au Cadre stratégique de gestion du risquedu CT et au Guide de gestion intégrée du risque du CT.
Le CGIR en place au moment de la vérification, pour toutes fins, était semblable à la version récemment approuvée. Il renfermait des conseils sur les principales activités dans le cadre d'un cycle de vie complet de gestion du risque. Un guide de consultation rapide distinct renferme un résumé de notions et d'approches semblables en matière de gestion du risque; néanmoins la vérification a révélé que la distribution du guide s'est limitée aux administrateurs généraux et aux participants aux séances d'intégration liées au PRM dont il est question à la Section 2.2.1 Outils de gestion stratégique du risque. La vérification a aussi permis de constater que les directives étaient axées sur la façon de déterminer, d'évaluer les risques et les possibilités et, dans une certaine mesure, de les intégrer aux instruments de planification. Cependant, aucune directive n'indiquait comment intégrer la gestion du risque aux processus décisionnels ou de travail. Bien que les lignes directrices actuelles constituent une bonne base, le Guide de gestion intégrée du risque de CT, explique que la démarche de prise en compte du risque « intègre la gestion du risque aux structures de gouvernance et aux structures organisationnelles existantes, y compris à la planification des activités, à la prise de décisions et aux processus opérationnelsNote de bas de page 6. »
La Politique de GIR énonce les processus suivants pour superviser la mise en œuvre de la Politique :
- La Direction générale de la vérification interne peut évaluer la conformité du Ministère à la présente politique dans le cadre de son plan de vérification axé sur le risque qui a été approuvé. Les résultats des vérifications internes seront communiqués au sous-ministre et au Comité ministériel de vérification.
- L'agent principal de gestion du risque peut aussi demander que certaines activités de surveillance et d'examen soient exercées pour évaluer les modifications à apporter aux politiques, aux directives, aux procédures, aux lignes directrices et aux profils de façon à assurer la gestion efficace du risque ou à présenter des rapports au sous-ministre, au besoinNote de bas de page 7.
Les versions précédente et actuelle du CGIR stipulent que, pour s'assurer que la gestion intégrée du risque est mise en œuvre dans l'ensemble du Ministère, les trois principaux mécanismes suivants doivent être mis en place :
- la Division de la planification stratégique fera la promotion de l'application de la politique de GIR dans le cadre du processus décisionnel et de planification au moyen de la mise en place d'outils et de mécanismes visant à faciliter l'utilisation de renseignements sur le risque au sein du Ministère;
- l'évaluation du Cadre de responsabilisation de gestion (CRG) du SCT permettra de souligner les pratiques exemplaires et les éléments à améliorer;
- la Division de la planification stratégique appliquera les recommandations du Comité ministériel de vérification afin d'améliorer les processus de GIR et de veiller à ce qu'ils correspondent aux réalités ministériellesNote de bas de page 8.
Bien que ces mécanismes de surveillances soient positifs et qu'ils permettront de fournir des éléments probants de leur efficacité, ils sont périodiques et de haut niveau. Il y avait peu de documents ou d'éléments probants à l'appui de la surveillance et de l'examen de la mise en œuvre de la Politique. Aucun mécanisme ne permet d'obtenir des informations opportunes sur l'état de mise en œuvre de la gestion du risque. La vérification a permis de déterminer que le SPS a réussi à mettre en place de nombreux éléments fondamentaux malgré des ressources très limitées; toutefois, quelques indicateurs choisis à l'appui de la surveillance permettraient de maintenir le dynamisme acquis. Un exemple d'indicateur potentiel pourrait être le suivi de l'achèvement des Profils de risque du secteur (PRS) dont il est question à la Section 2.2.3 - Outils de gestion du risque opérationnel.
2.2 Outils de gestion du risque
L'équipe de vérification s'attendait à trouver des outils favorisant le cycle de vie complet de la gestion du risque, dont des outils à l'appui de la gestion :
- des risques et des possibilités au niveau stratégique;
- des applications individuelles et particulières en matière de risque, dont la gestion des subventions et des contributions;
- des risques et des possibilités au niveau opérationnel.
2.2.1 Outils de gestion s du risque stratégique
Le Profil de risque du Ministère (PRM) est l'outil ministériel qui permet de saisir les risques stratégiques de haut niveau. Le processus relatif au PRM du CRG du Ministère a été très bien coté. La question des éléments probants en faveur de l'utilisation des résultats du PRM à l'appui du processus décisionnel de la haute direction sera abordée à la Section 2.4 Intégration - Processus décisionnel axé sur le risque et la culture.
Tous les ans, chaque secteur est tenu de déterminer ses risques et possibilités et de présenter cette information pour discussion et établissement des priorités lors de séances d'intégration horizontales du Ministère. Les risques et possibilités déterminés font ensuite l'objet d'une évaluation visant à calculer la probabilité qu'ils se concrétisent et les répercussions potentielles. Ces séances d'intégration ont pour objectif d'assurer une fonction de remise en question, mais surtout de veiller à ce que les répercussions de portée générale de ces risques et possibilités soient déterminées de façon appropriée et comprises dans l'ensemble du Ministère. Par suite de ces séances, les trois plus grands risques et possibilités par niveau de programme de l'architecture d'harmonisation des programmes (AHP) ont formé le PRM. Les directions générales responsables et des plans d'atténuation ont alors été désignés pour chacun des risques et possibilités stratégiques.
Détermination des risques stratégiques
En règle générale, tous les répondants ont indiqué que des réunions étaient tenues dans leur secteur respectif pour déterminer les risques potentiels liés à leurs secteurs de responsabilité en prévision des séances d'intégration liées au PRM. Ils ont aussi dit que les résultats découlant de l'utilisation de leurs outils de gestion du risque à des fins particulières, qui sont présentés à la Section 2.2.2 – Utilisation d'outils sur le risque à des fins particulières, ont permis de tenir compte de ces risques. La vérification a révélé que les approches visant à orienter et à évaluer les risques n'étaient pas documentées. Par conséquent, il était impossible d'évaluer si cette étape d'identification du risque était complète et suffisante, et de vérifier si certains risques opérationnels et stratégiques avaient été négligés. L'absence de documentation peut également contribuer à une incompréhension et à une interprétation erronée de la base de ces risques.
L'équipe de vérification a observé que, dans certains cas, le nombre d'informations relatives aux risques visant des programmes de l'AHP était limité; par exemple, seulement quatre risques de haut niveau ont été déterminés dans un programme. En raison du caractère complexe et délicat de chaque programme, l'équipe de vérification s'attendait à consulter des listes plus détaillées. Elle n'a pas tenté d'évaluer le caractère suffisant, la validité et la pertinence de ces risques. Le nombre limité d'informations a également suscité des préoccupations quant à la question de savoir si le Ministère avait négligé des risques et si le processus avait fait l'objet d'une évaluation et d'une remise en question rigoureuses.
Évaluation des risques stratégiques
Les répondants ont indiqué que les séances d'intégration étaient importantes, car elles permettaient à tous les participants de comprendre le contexte de risque du Ministère et d'avoir une idée des plans d'atténuation proposés et des niveaux de tolérance acceptables. Même s'il n'y avait aucun élément probant à l'appui des travaux lors de ces séances, les participants ont fait remarquer que leur capacité de rendre compte à leurs collègues de la perspective du risque à l'échelon ministériel a contribué à accroître la sensibilisation et les connaissances relatives aux risques.
Le PRM comprend les trois plus grands risques et possibilités pour chaque niveau de programme de l'AHP. Par conséquent, il est possible que les risques dont la gravité est moindre dans un programme en particulier, mais dont le degré de gravité est plus élevé dans d'autres programmes ne figurent part dans le PRM. En conséquence, aucun mécanisme en place ne fait en sorte que les comités supérieurs de gouvernance à l'échelon ministériel assurent la gestion et la surveillance des risques stratégiques les plus élevés du Ministère.
Élaboration de mesures d'intervention relativement aux risques stratégiques
Les plans d'atténuation des risques liés au PRM sont élaborés au cours de l'automne dans le cadre du cycle normal de planification et d'établissement de rapports du Ministère. Par la suite, le Secteur de politiques stratégiques regroupe ces informations dans les plans des activités des secteurs (PAS) pour en assurer la continuité. On s'attend ensuite à ce que les secteurs actualisent les plans d'atténuation dans les plans de travail respectifs des directions générales. Cet exercice est positif puisqu'il fait en sorte que tous les risques et plans d'atténuation liés au PRM soient transmis aux secteurs appropriés.
Afin de mieux comprendre l'harmonisation des risques et des plans d'atténuation connexes, l'équipe de vérification a établi une comparaison entre les risques figurant dans le PRM, les risques figurant dans les plans d'activités et les mesures prévues dans les plans de travail des directions générales. Elle a été en mesure de retracer les résultats du PRM dans les PAS.
Comme il était prévu, les plans de travail des directions générales renfermaient des mesures détaillées destinées à mettre en œuvre des plans d'atténuation de haut niveau liés au PRM. Toutefois, il n'était pas toujours facile de déterminer si les :
- plans d'atténuation indiqués tenaient compte des plans d'atténuation de haut niveau initiaux liés au PRM;
- plans d'atténuation avaient été versés dans chacun des plans de travail des directions générales comme il se doit;
- modifications apportées aux plans d'atténuation avaient été évaluées de nouveau pour s'assurer qu'ils permettaient toujours d'atténuer les risques.
Également, rien ne démontrait que le CGM avait a été mis au courant des modifications apportées aux plans d'atténuation du PRM ou qu'il les ait approuvées.
Un exemple mettant en évidence le manque potentiel d'harmonisation entre les plans d'atténuation liés au PRM et les plans de travail des directions générales figurait dans un énoncé des risques liés au PRM de 2011-2012 : « L'infrastructure du Centre des opérations du gouvernement (COG) pourrait être insuffisante pour soutenir une intervention coordonnée en cas d'incident touchant l'intérêt national (besoins en matière d'espace, de sécurité, de capacité de survie et de durabilité). » Cet énoncé des risques et les plans d'atténuation connexes sont demeurés les mêmes jusqu'en 2013-2014. Il n'a pas été clairement établi si les plans d'atténuation liés au PRM et les plans de travail des directions générales connexes ont été pris en compte ou étoffés d'une manière insuffisante, ou si le Ministère a décidé d'assumer le risque sans prendre de mesures d'atténuation à cet égard.
2.2.2 Utilisation d'outils sur le risque à des fins particulières
Dans le cadre de la vérification, les secteurs de programme ayant spécialement recours à des outils de gestion à des fins particulières ont été examinés :
- le Système de gestion de l'information (SGISP)de SP, qui permet la saisie d'informations sur le risque visant des bénéficiaires des programmes de subventions et contributions du Ministère;
- l'outil d'évaluation tous risques (ETR), sous la direction de SP et réalisé en partenariat étroit avec le Centre des sciences pour la sécurité de Recherche et développement pour la défense Canada, aide toutes les institutions gouvernementales fédérales à assumer leur responsabilité législative, qui consiste à évaluer les risques afférents à leur mandat comme base de planification de la gestion des urgences;
- l'outil relatif aux infrastructures essentielles, qui a été développé à l'appui des objectifs de la Stratégie nationale relative aux infrastructures essentielles en partenariat avec les gouvernementaux fédéral, provinciaux et territoriaux et les secteurs des infrastructures essentielles, afin de favoriser l'échange et la protection de renseignements et de maintenir un engagement en matière de gestion tous risques. Cette approche de gestion tous risques prend en compte les catastrophes naturelles, les dangers accidentels et les menaces intentionnelles.
La vérification a permis de constater que le développement de ces outils de gestion du risque à des fins particulières s'est révélé très positif dans le cadre de la mise en place de la gestion du risque, et que les résultats découlant de l'utilisation de ces outils permettaient d'orienter les processus décisionnels à l'appui de ces secteurs de programme.
Il a été indiqué que ces outils en étaient aux premières étapes de mise en œuvre et que, par conséquent, aucun résultat cohérent et systématique n'a encore été obtenu. L'équipe de vérification a aussi constaté le nombre limité de directives documentées précisant la façon dont ces outils devraient être intégrés à d'autres activités axées sur le risque, notamment :
- la façon d'échanger les informations sur les interdépendances et les renseignements;
- la façon d'intégrer les résultats aux activités de gestion du risque des directions générales, des secteurs et du Ministère;
- la façon dont ces outils devraient favoriser le cycle de vie complet du risque, y compris les mesures d'intervention et de surveillance.
Même si les outils favorisaient la détermination et l'évaluation du risque et certains éléments de mesures d'intervention, aucun d'eux ne comprenait des mécanismes ou processus définis en matière d'approbation, d'établissement de rapport et de surveillance.
2.2.3 Outils de gestion du risque opérationnel
Les Profils de risque du secteur (PRS), tels qu'ils sont définis dans le Cadre de gestion intégrée du risque de SP, visent à orienter les décisions de chacun des secteurs sur les plans, les priorités et l'affectation des ressources en saisissant, évaluant et résumant les principaux risques pouvant avoir l'incidence la plus importante sur la réalisation des objectifs des secteurs. Une fois établis, les PRS permettent d'orienter les discussions sur l'établissement du PRM.
La vérification a révélé qu'en règle générale, les PRS n'avaient pas été complètement dressés ou qu'ils n'étaient pas tenus à jour de façon systématique. En outre, les secteurs n'avaient aucun autre document regroupant les risques. Dans les cas où ils disposaient d'un PRS documenté, son contenu était essentiellement le même que celui du PRM, et il renfermait peu de renseignements complémentaires sur les risques. Les employés n'avaient pas recours à des outils de gestion du risque opérationnel ou à des fins particulières pour déterminer et évaluer les risques liés à des activités d'élaboration de politique ou de recherche, de même que pour prendre des mesures d'intervention et de surveillance à cet égard. L'équipe de vérification a plutôt été avisée que ces risques étaient cernés de façon intuitive, et non documentée, ou grâce à la mobilisation des intervenants ou à des discussions lors de réunions de comités.
En l'absence de document regroupant les risques, la gestion du risque est un processus fragmenté et isolé et, en conséquence, le Ministère ne peut avoir facilement la garantie que l'interprétation de l'information sur le risque est juste et cohérente, et que tous les risques sont pris en compte de manière appropriée tout au long des étapes de planification et d'établissement de rapports. Cela risque d'avoir des répercussions sur l'intégrité du processus de planification et de compromettre le rendement optimal.
2.3 Gouvernance
L'équipe de vérification s'attendait à constater que les structures de gouvernance favorisent une culture et des pratiques de gestion informées du risque dans l'ensemble du Ministère. Elle s'attendait également à constater que les structures de gouvernance du Ministère permettaient de surveiller la gestion du risque et la mise en œuvre de la Politique de GIR et du CGIR. L'équipe de vérification a examiné les activités des comités ministériels suivants :
- Comité de gestion du Ministère;
- Comité ministériel de vérification;
- Comités de gestion des secteurs et des directions générales.
Comité de gestion du Ministère (CGM)
Selon son mandat, les objectifs du CGM consistent à examiner et à approuver les politiques, les projets, les plans, le rendement et les rapports liés à un large éventail de programmes et de services de gestion ministériels, dont la gestion du risque. En outre, la Politique de GIR exige que le CGM détermine, évalue et gère les risques ministériels et qu'ils fassent l'objet de discussions au moins deux fois par année.
La vérification a révélé ce qui suit :
- En 2012-2013, le CGM n'a pas passé en revue la mise à jour du PRM initial puisqu'il avait été approuvé de façon bilatérale avec le sous-ministre. L'équipe de vérification a été informée que tous les membres avaient l'occasion d'examiner le PRM et de formuler des commentaires sur une base individuelle. Toutefois, les membres n'ont pas tiré profit d'une discussion collective de façon à comprendre le niveau de tolérance au risque du Ministère.
- Une mise à jour des risques et des plans d'atténuation respectifs a été présentée au cours du processus d'examen de mi-exercice. Les répondants ont indiqué que la discussion avait été de courte durée, seulement 20 minutes ayant été prévues à l'ordre du jour pour l'examen total du rendement et des risques de mi-exercice; cela ne favorise pas une discussion approfondie. Au surplus, la documentation à l'appui de la discussion de miexercice ne comprenait qu'un « symbole » indiquant l'état du risque. Il incombait à chaque SMA de déterminer les sujets qu'ils souhaitaient présenter. L'équipe de vérification s'attendait à constater que l'équipe de la haute direction avait davantage préparé la discussion, et présenté un exposé uniforme sur les risques stratégiques et les mesures d'atténuation connexes.
- Enfin, l'équipe de vérification a constaté qu'il incombait à chacun des présentateurs du CGM de déterminer les critères relatifs à la diffusion de l'information sur le risque.
Comité ministériel de vérification (CMV)
Le CMV, qui est chargé de donner des conseils dans certains domaines, dont la gestion du risque, a été informé périodiquement des « risques » et du processus de gestion du risque pendant toute la période vérification. Le CMV a salué les progrès réalisés dans le cadre de la mise en œuvre de la GIR. Fait à noter, le Comité s'appuie activement sur les résultats du PRM pour remettre en question les activités ministérielles, dont l'affectation des ressources. Les membres du Comité ont indiqué l'importance de toujours assurer le suivi des risques avant de passer à l'analyse de l'enjeu suivant et la nécessité d'utiliser l'information sur le risque de façon plus stratégique pour des activités, notamment lier les ressources aux secteurs de risque et aux priorités.
Comités de direction des secteurs et des directions générales
Les comités de direction des secteurs et des directions générales sont considérés comme des structures de gouvernance fondamentales. Toutefois, aucune réunion de ces comités ne prévoyait de mandat précis ou de processus approuvés définissant le genre d'information à présenter et le moment pour ce faire. Également, aucune des discussions engagées lors des réunions n'était documentée. Par conséquent, il est difficile pour l'équipe de vérification d'arriver à la conclusion que ces comités assurent une forme de surveillance du risque. Étant donné l'absence de PRS dont il est question à la Section 2.2.3 – Outils de gestion du risque opérationnel, et l'absence d'information sur le risque des directions générales dans le PAS, la vérification n'a pas permis de tirer une conclusion sur la question de savoir si l'information sur le risque était utilisée pour orienter le processus décisionnel.
En l'absence d'exigences définies en matière d'information, de discussions documentées et de rigueur relatives à la conformité, d'informations sur les risques suffisantes et appropriées, y compris le niveau de tolérance au risque et l'état de l'atténuation connexe, il est possible que les risques ne soient pas signalés et surveillés de façon efficace. Il se peut que les organisations détiennent des informations qui les empêchent de réaliser des objectifs et d'atteindre le plus haut rendement.
2.4 Intégration – Prise de décisions fondée sur le risque et culture
L'équipe de vérification s'attendait à trouver des approches fondées sur le risque en matière de planification des activités, de prise de décisions et de processus opérationnels. Tel qu'il est établi dans le CGIR de SP, l'objectif consiste à créer un contexte dans le cadre duquel les employés à tous les échelons de l'organisation seront instinctivement à la recherche des risques et des possibilités de façon à tenir compte de leur incidence sur les résultats du Ministère lors de la prise de décisions tant sur le plan opérationnel que ministérielNote de bas de page 9.
À l'échelle du Ministère
L'équipe de vérification a constaté que les cadres supérieurs ont commencé à intégrer l'information sur le risque dans les activités décisionnelles clés, puisque le « risque » est de plus en plus ancré dans la culture. L'information sur le risque a principalement été intégrée en utilisant les extrants du profil de risque du Ministère (PRM) et les renseignements précis sur le risque présentés au CGM. Les exemples suivants ont été relevés :
- La séance d'affectation de fonds, qui permet de réaffecter les ressources à de nouvelles contraintes financières, accorde désormais la priorité à l'état de la mise en œuvre des plans d'atténuation des risques du PRM avant de tenir compte des autres contraintes.
- L'approche de dotation axée sur les risques et les résultats, élaborée par la Direction générale des ressources humaines, permet d'informer les gestionnaires délégués de la tolérance au risque de la haute direction pour différents types de mesures de dotation et de les classer de manière à ce que les contrôles et les exigences en matière de rapports soient proportionnels aux divers niveaux de risque.
- Au cours de l'établissement des priorités ministérielles, le Secteur de politiques stratégiques (SPS) a intégré les extrants du PRM au processus de planification, en assurant la visibilité des risques et des possibilités et leur alignement sur chacune des priorités. Les extrants du PRM ont également été utilisés pour la production du Rapport sur les plans et les priorités. L'intégration des risques de cette manière a été une étape positive quant à l'orientation du Ministère.
Néanmoins, on continue d'observer des lacunes en ce qui concerne l'intégration d'information sur le risque dans la prise de décisions. Par exemple, il n'existe aucune exigence systématique relativement à l'intégration d'information sur la gestion du risque dans les notes d'information, les notes de service, les rapports d'étape ou les rapports financiers et non financiers sur le rendement.
L'équipe de vérification a remarqué que la Division de la planification stratégique du SPS a créé une communauté de pratique sur l'évaluation des risques et des menaces, qui fournira un précieux moyen de tirer parti des forces du Ministère et d'échanger des outils, de l'information et de l'expertise tant horizontalement que verticalement de manière continue. Ce forum donnera l'occasion d'acquérir des connaissances et de collaborer, dans la mesure du possible, et peut-être de réduire le dédoublement des efforts.
À l'échelle du Ministère, l'équipe de vérification a constaté que la haute direction est généralement en faveur de la gestion du risque, et que la tolérance à certains risques a été communiquée aux échelons inférieurs. Parmi les exemples de mécanismes utilisés pour établir un contexte de gestion du risque, mentionnons l'approbation officielle et la communication de la Politique de GIR, ainsi que l'achèvement et la communication du PRM annuel.
Toutefois, comme il a été constaté dans des vérifications antérieures, une culture de cloisonnement existe encore dans certains domaines, ce qui nuit à la tenue de discussions ministérielles vastes et transparentes sur le risque. Il faut renforcer la transparence et la confiance nécessaires à une compréhension exhaustive du risque si l'on veut communiquer clairement les stratégies et la tolérance ministérielles en matière de risque, sans quoi il sera difficile de prendre des décisions et d'utiliser les ressources de manière optimale.
À l'échelle des directions générales et des secteurs
Comme il a été mentionné auparavant, dans l'ensemble, il n'y avait aucun PRS et très peu d'outils de gestion du risque opérationnel pour faciliter la sensibilisation au risque et la compréhension de ce dernier. En règle générale, à l'échelle des directions générales et des secteurs, l'utilisation du risque était plus intuitive. La gestion du risque était moins structurée et souvent uniquement officialisée pour contribuer au processus du PRM de haut niveau requis ou pour être appliquée à une exigence précise d'un programme, comme la gestion des bénéficiaires de contributions. Certaines personnes interrogées ont précisé que les extrants du PRM étaient d'une utilité restreinte et qu'elles les considéraient comme étant une tâche administrative ayant peu de valeur ajoutée. Par conséquent, dans certains cas, les extrants n'ont pas orienté les activités décisionnelles.
Dans l'ensemble, les personnes interrogées ont mentionné que l'information liée aux finances, à la capacité des RH et aux préoccupations des intervenants était la principale source ayant aidé à la prise de décisions. Les risques en tant que tel n'ont pas été au cœur des discussions. Ces indicateurs en eux-mêmes ne suffisent pas à permettre une solide gestion intégrée du risque.
Même s'il y a certains signes positifs indiquant que des décisions ont été fondées sur le risque, il est difficile de prendre des décisions optimales sans l'adoption d'une approche fondée sur le risque plus structurée et volontaire.
Recommandations
- Les chefs des secteurs devraient mettre au point des profils de risque ou des outils analogues annuels qui veilleraient à ce que les risques et les possibilités soient adéquatement définis, évalués, atténués et surveillés. Ces profils de risque devraient éclairer la planification ainsi que les processus décisionnels et opérationnels des secteurs et du Ministère.
- Le SMA, Secteur de politiques stratégiques, devrait établir des indicateurs qui permettraient de suivre l'état de mise en œuvre de la Politique de GIR et du CGIR.
- Le SMA, Secteur de politiques stratégiques, devrait améliorer les processus entourant l'élaboration, la modification et l'harmonisation des plans d'atténuation du PRM, dans le cadre des cycles de planification et de production de rapports sectoriels et ministériels.
- Le SMA, Secteur de politiques stratégiques, à titre d'agent principal de gestion des risques (APGR), devrait s'assurer que le CGM a l'occasion de mener un examen approfondi des risques stratégiques ministériels, au moins deux fois par année. L'APGR devrait également favoriser la prise en compte des renseignements pertinents sur les risques, notamment les risques relevés dans le PRM et les PRS, dans le cadre des activités décisionnelles clés du CGM.
Nº |
Plan d'action de la direction |
Date d'achèvement prévue |
|---|---|---|
1 |
Le Secteur de la gestion des mesures d'urgence et des opérations régionales participera à un projet pilote sur la gestion du risque. Tous les chefs des secteurs créeront des profils de risque ou des outils analogues annuels pour assurer l'évaluation, l'atténuation et la surveillance adéquate des risques et des possibilités. |
31 janvier 2014 31 octobre 2013 |
2 |
La Division de la planification stratégique continuera de participer aux exercices annuels relatifs au CRG, qui fournissent une évaluation de la mise en œuvre de la GIR au sein du Ministère. La Division de la planification stratégique déterminera un ensemble d'indicateurs qui permettront de suivre l'état de mise en œuvre. L'état de ces indicateurs fera l'objet d'un rapport dans le document annuel sur le PRM. |
31 janvier 2014 |
3 |
La Division de la planification stratégique examinera le processus de planification des activités pour s'assurer que les stratégies d'atténuation peuvent être facilement transférées et clairement représentées dans tous les plans opérationnels. En outre, la Division assumera une plus grande fonction de remise en question pendant la séance d'intégration afin d'assurer l'intégration des stratégies d'atténuation. Dans le cadre du processus de planification des activités 2014-2015, la Division de la planification stratégique aidera également les secteurs à intégrer les stratégies d'atténuation dans leurs plans. La Division de la planification stratégique mettra également en œuvre un projet pilote pour accroître la gestion fondée sur le risque à l'échelle des secteurs. |
30 avril 2014 |
4 |
Chaque SMA fournira une copie de la version la plus récente du PRM à toutes les réunions du CGM portant sur la prise de décisions clés, comme l'établissement des priorités, la séance d'affectation de fonds et les examens de mi-exercice et de fin d'exercice. Le PRM sera utilisé pour orienter les discussions et les décisions. Pendant l'élaboration du PRM, le SMA, Secteur de politiques stratégiques, fournira au CGM une mise à jour sur l'état d'avancement de chacune des étapes. À l'étape de la détermination, il fournira au CGM une liste préliminaire des principaux risques et possibilités proposés. À l'étape de l'évaluation, on lui remettra une liste préliminaire des cotes de risque proposées et, à l'étape de l'intervention, on lui fournira une ébauche des stratégies d'atténuation proposées. Le CGM aura l'occasion de formuler des commentaires tout au long de l'élaboration, en plus de pouvoir le faire une fois l'ébauche finale terminée. |
31 octobre 2013 31 janvier 2014 |
Annexe A : Critères de vérification
Pistes de recherche
Piste de recherche nº 1 : Politiques et lignes directrices
Le Ministère dispose de politiques et de lignes directrices adéquates et définies de manière officielle qui ont été communiquées relativement à la gestion du risque.
Piste de recherche nº 2 : Gouvernance
Le Ministère a une structure de gouvernance adéquate et efficace en matière de gestion intégrée du risque, qui comprend des rôles, des responsabilités et des mécanismes de responsabilisation et de surveillance clairs.
Remarque : Ces renseignements comprennent notamment ce qui suit :
- donner l'exemple dans les hautes sphères;
- mécanismes de responsabilisation du SPS et d'autres secteurs;
- surveillance par le CGM;
- champion;
- pouvoir d'approbation relativement aux rapports sur le risque, notamment le renvoi à un niveau supérieur.
Piste de recherche nº 3 : Outils et processus opérationnels
Des outils et des processus complets de gestion du risque ont été mis en place, ont été communiqués et s'appliquent conformément aux politiques et aux lignes directrices du Ministère.
On compte parmi les outils de gestion du risque des méthodes pour tous les aspects du cycle de vie de la gestion du risque, notamment :
- Détermination du risque
- Évaluation du risque
- Intervention – planification des mesures (fondée sur la tolérance au risque)
- Approbation – de tous les aspects de l'évaluation du risque, de l'intervention face au risque, etc.
- Communication ou renvoi à un niveau supérieur
Piste de recherche nº 4 : Intégration et utilisation du risque pour la prise de décisions
L'information sur le risque est systématiquement utilisée pour éclairer la prise de décisions clés, en fonction des lignes directrices et des exigences du Ministère en matière de gestion du risque (notamment la communication verticale et horizontale des renseignements).
Annexe B : Risques préliminaires relevés
Compte tenu de ces conditions et des facteurs de risque qui en découlent, vous trouverez ci‑dessous un sommaire des principaux risques auxquels SP est exposé relativement à la gestion intégrée du risque.
Nom du risque |
Description |
|---|---|
| 1. Culture | Il y a un risque que la culture et les pratiques opérationnelles de l'organisation ne permettent pas et n'obligent pas un échange de renseignements optimal et une discussion sur l'information sur le risque. |
| 2. Processus opérationnel – Application des outils | Il y a un risque que les outils de gestion du risque ne soient pas appliqués uniformément ou d'une manière efficace, comme il se doit. |
| 3. Intrants | Il y a un risque que l'élaboration des processus de gestion du risque individuels ne soit pas orientée par des intrants complets. |
| 4. Intégration verticale | Il y a un risque que les processus de gestion du risque actuels au niveau inférieur et l'information sur le risque connexe ne permettent pas d'élaborer un PRM et de prendre des décisions de manière adéquate. |
| 5. Intégration horizontale | Il y a un risque qu'il y ait un échange insuffisant d'information sur le risque entre les secteurs et les directions générales. |
| 6. Intégration fonctionnelle | Il y a un risque que l'information sur le risque ne permette pas d'établir les fonctions de gestion et de prendre les décisions (p. ex. priorités, affectation et réaffectation des ressources, décisions sur les programmes) de manière adéquate. |
| 7. Intervention et surveillance | Il y a un risque que les risques ne fassent pas l'objet d'une intervention et d'une surveillance adéquate et officielle. |
Notes
- 1
ISO 31000 – Management du risque – Principes et lignes directrices
- 2
ISO 31000 – Management du risque – Principes et lignes directrices.
- 3
Cadre intégré de gestion du risque de SP
- 4
Politique de gestion intégrée du risque de SP
- 5
Politique de gestion intégrée du risque de SP
- 6
Guide de gestion intégrée du risque du CT
- 7
Politique de gestion intégrée du risque de SP
- 8
Cadre de gestion intégrée du risque de SP
- 9
Cadre de gestion intégrée du risque de SP
- Date de modification :