Vérification interne de la gestion intégrée du risque

PDF (221 Ko)
Table des matières

Résumé

Contexte

Le Ministère a indiqué que la gestion intégrée du risque (GIR) devait faire l'objet d'une vérification en 2013 dans le cadre du processus annuel de planification des vérifications axé sur les risques. Le raisonnement à la source de cette décision reposait sur le fait que la GIR était l'une des priorités de gestion du Ministère en 2013. Sécurité publique Canada (SP) n'a jamais réalisé de vérification de la GIR.

La gestion du risque contribue de manière importante au renforcement de la capacité du Ministère de reconnaître et de comprendre les nouveaux défis et les nouvelles possibilités, d'en tenir compte et d'en tirer profit. Elle prépare une organisation à s'adapter au changement et à l'incertitude, et elle favorise l'efficacité du processus décisionnel.

Les normes internationalesNote de bas de page 1 et les attentes pangouvernementales en matière de saine gouvernance mettent l'accent sur le fait que tous les types de risques devraient être pris en compte et intégrés à l'ensemble des activités de planification et d'exécution, tant sur le plan stratégique qu'opérationnel. Le Cadre stratégique de gestion du risquedu Conseil du Trésor (CT) comprend des directives à l'intention des administrateurs généraux sur la mise en place de pratiques efficaces de gestion du risque à tous les niveaux de leur organisation. Ce cadre favorise l'établissement de priorités stratégiques, l'affectation des ressources et la prise de décisions éclairées relatives au niveau de tolérance au risque et l'amélioration des résultats.

Le Cadre de responsabilisation de gestion(CRG), qui est un outil de gestion du rendement clé pour le gouvernement fédéral, prévoit que les ministères intègrent des pratiques et des principes de gestion du risque aux activités stratégiques, opérationnelles et fonctionnelles de l'organisation.

En 2010, SP a approuvé la Politique de gestion intégrée du risque et en 2013, il a mis à jour le Cadre de gestion intégrée du risque. Ce cadre vise à communiquer la stratégie de gestion du risque de SP à tous les niveaux hiérarchiques et à prévoir des moyens d'acquérir et de conserver une forte capacité de gestion du risque.

Objectif de la vérification

L'objectif de cette vérification consistait à donner une assurance raisonnable que l'approche adoptée par le Ministère en matière de GIR était adéquate et efficace afin d'assurer qu'une approche conséquente a été adoptée, et que l'information sur le risque a été intégrée au processus décisionnel de façon appropriée. La vérification portait sur la période allant du 1er septembre 2011 au 31 décembre 2012.

Résumé des conclusions

La vérification a permis de constater que la Politique sur la gestion du risque de SP (Politique de GIR) et le Cadre de gestion intégrée du risque(CGIR) de SP étaient bien définis et communiqués comme il se doit. Les deux documents renfermaient des objectifs identifiables, des rôles et des responsabilités précis et des échéanciers pour l'établissement des rapports qui étaient harmonisés au Cadre stratégique de gestion du risquedu CT et au Guide de gestion intégrée du risque du CT.

Bien qu'il y ait des mécanismes permettant de surveiller la mise en œuvre de la Politique, ils sont périodiques et de haut niveau. Aucun mécanisme ne permet d'obtenir des informations opportunes sur l'état de mise en œuvre de la gestion du risque et des écarts connexes en matière de formation. La vérification a permis de constater que le Secteur de politiques stratégiques (SPS) a réussi à mettre en place de nombreux éléments fondamentaux malgré des ressources très limitées; toutefois, quelques indicateurs choisis à l'appui de la surveillance permettraient de maintenir le dynamisme acquis.

À l'échelon ministériel, le Profil de risque du Ministère (PRM) permet de saisir les risques stratégiques de haut niveau. Le développement et la mise œuvre de cet outil qu'est le CGR de SP ont été très bien cotés. Les éléments probants de la vérification à diverses étapes de l'établissement du PRM donnaient à entendre que les risques avaient été déterminés et évalués de façon non officielle en l'absence de toute documentation sur les processus, les travaux ou les critères d'évaluation. En outre, la vérification a permis de constater que l'intégration des mesures d'atténuation du PRM dans des plans de travail précis et détaillés des directions générales ne semble pas claire, ce qui crée un risque que les ressources ne soient pas harmonisées comme il se doit. Également, rien ne démontrait que le Comité de gestion du Ministère (CGM) ait a été mis au courant des modifications apportées aux plans d'atténuation du PRM ou qu'il les ait approuvées.

À l'échelon des secteurs et des directions générales, plusieurs secteurs de programmes accomplissaient des progrès notables dans la mise en place d'outils de gestion du risque précis. Bien que les directives sur ces outils, dont leur interdépendance et les processus d'intégration, ne soient pas encore mises en œuvre, elles constituent une étape positive en matière d'intégration de la gestion du risque aux opérations, et elles favoriseront des résultats cohérents et systématiques visant à orienter les processus décisionnels.

Le Profil de risque du secteur (PRS) est un autre outil clé à l'échelon des secteurs et des directions générales à l'appui des risques opérationnels. Les PRS visent à orienter les décisions de chacun des secteurs sur les plans, les priorités et l'affectation des ressources en saisissant, évaluant et résumant les principaux risques pouvant avoir l'incidence la plus importante sur la réalisation des objectifs des secteurs. Toutefois, la vérification a révélé qu'en règle générale, les PRS n'avaient pas été complètement dressés ou qu'ils n'étaient pas tenus à jour de façon systématique. Ces risques opérationnels ont été cernés de façon plus intuitive que systématique ou grâce à la mobilisation des intervenants ou à des discussions lors de réunions de comités, mais qu'ils étaient rarement documentés.

Le CGM a réalisé des progrès visant l'intégration de l'information sur le risque aux activités relatives à la prise de décisions. Certains écarts persistent au chapitre de la surveillance et de l'intégration du risque. La vérification a aussi révélé que la haute direction appuie généralement la gestion du risque; toutefois, la haute direction n'a pas toujours tiré parti d'une discussion et d'une compréhension collectives du niveau de tolérance au risque du Ministère, les membres du CGM n'ayant pas vraiment discuté de la question du risque.

À l'échelon des secteurs et des directions générales, le recours à la gestion du risque était plus intuitif. La gestion du risque était moins structurée, en grande partie non documentée et souvent officialisée uniquement lorsqu'il fallait prendre part au processus relatif au PRM de haut niveau.

Le Comité ministériel de vérification (CMV) a indiqué l'importance de toujours assurer le suivi des risques avant de passer à l'analyse de l'enjeu suivant et la nécessité d'utiliser l'information sur le risque de façon plus stratégique pour des activités, notamment lier les ressources aux secteurs de risque et aux priorités.

Opinion de la vérification

À mon avis, l'approche adoptée par le Ministère en matière de GIR au niveau stratégique était en règle générale adéquate et efficace afin d'assurer qu'une approche conséquente a été adoptée, et que l'information sur le risque a été intégrée au processus décisionnel de façon appropriée. Il y aurait lieu de renforcer la GIR au sein des secteurs et des directions générales, de façon à assurer l'intégration appropriée du risque au processus décisionnel.

Énoncé d'assurance et de conformité

La vérification est conforme aux normes de vérification interne du gouvernement du Canada, comme en témoignent les résultats du Programme d'amélioration et d'assurance de la qualité.

Selon mon jugement professionnel, à titre de dirigeante principale de la vérification, des procédures de vérification suffisantes et adéquates ont été appliquées, et les éléments probants recueillis confirment l'exactitude de l'opinion présentée dans le présent rapport. L'opinion repose sur un examen des situations recensées au moment de la vérification en fonction des critères de vérification établis au préalable et approuvés par la gestion. L'opinion s'applique uniquement à l'entité vérifiée.

Résumé des recommandations

Réponse de la direction

Le SMA du Secteur de politiques stratégiques accepte les résultats de la vérification et s'engage à prendre plusieurs mesures pour appuyer davantage la GIR au sein du Ministère. Le Secteur de politiques stratégiques appuiera également les secteurs dans le cadre de la mise en œuvre des recommandations qui relèvent de leur responsabilité conformément au CGIR et à la Politique de GIR. Également, dans la mesure du possible, le Secteur de politiques stratégiques appuiera les secteurs dans le cadre de la gestion de leurs propres processus de gestion du risque en fournissant des outils et du soutien, par exemple, par l'entremise de la collectivité des pratiques en matière de gestion du risque.

Signature de la dirigeante principale de la vérification

____________________________

Membres de l'équipe de vérification

Deborah Duhn
Melissa Greenland

Remerciements

La Vérification interne tient à remercier toutes les personnes ayant apporté aide et conseils au cours de la vérification.

1. Introduction

1.1 Contexte

Dans le cadre du processus annuel de planification des vérifications axé sur les risques, le Ministère a indiqué que la gestion intégrée du risque (GIR) devait faire l'objet d'une vérification en 2013. Le raisonnement à la source de cette décision reposait sur le fait que la GIR était l'une des priorités de gestion du Ministère en 2013. Sécurité publique Canada (SP) n'a jamais réalisé de vérification de la GIR.

La gestion du risque contribue de matière importante au renforcement de la capacité du Ministère de reconnaître et de comprendre les nouveaux défis et les nouvelles possibilités, d'en tenir compte et d'en tirer profit. Elle prépare une organisation à s'adapter au changement et à l'incertitude, et elle favorise l'efficacité du processus décisionnel.

La gestion inefficace du risque peut entraîner une hausse des coûts des programmes et faire rater des occasions, ce qui peut mettre en péril les résultats des programmes et, au bout du compte, miner la confiance du public. Une gestion judicieuse des risques est un facteur fondamental pour une administration publique qui se veut efficace, car elle permet qu'une organisation soit fonctionnelle, axée sur les résultats et à haut rendement.

Les risques peuvent comprendre ce qui suit :

Plusieurs éléments importants caractérisent la GIR, dont les suivants :

Plusieurs éléments importants caractérisent la GIR, dont les suivants
Dimensions

Description

Intégration horizontale

Il s'agit de l'harmonisation horizontale des pratiques de gestion du risque dans l'ensemble des secteurs et des programmes du Ministère. Une intégration horizontale est essentielle de sorte que des approches uniformes soient appliquées lorsque des décisions axées sur les risques sont similaires afin d'éviter le chevauchement des tâches, et de communiquer les pratiques exemplaires et d'en tirer parti. Il est aussi essentiel de garantir l'échange opportun de renseignements sur les risques dans une organisation, ce qui permet de prendre des décisions plus éclairées et judicieuses.

Intégration verticale

Il y a intégration verticale lorsque les pratiques de gestion du risque à différents niveaux de la hiérarchie du Ministère sont harmonisées et intégrées les unes aux autres, de telle manière que l'information sur les risques générée à des niveaux hiérarchiques inférieurs de l'organisation puisse, au besoin, être réunie de façon uniforme et communiquée à la haute direction. L'intégration verticale est indispensable pour communiquer l'information sur les risques comme il se doit aux principaux décideurs de façon à établir un équilibre entre la nécessité d'être informés et de réagir à certains types de risques et les pouvoirs de gestion à des niveaux hiérarchiques inférieurs.

Intégration fonctionnelle

Il y a intégration fonctionnelle lorsque les pratiques de gestion du risque sont intégrées directement aux fonctions opérationnelles et aux processus décisionnels en place. L'intégration est essentielle de sorte que les décisions et les fonctions de gestion tiennent compte du risque, le cas échéant, et que des processus uniformes, efficients et régularisés soient en place pour garantir la stabilité et la fiabilité des processus axés sur le risque.

Les normes internationalesNote de bas de page 2 et les attentes pangouvernementales en matière de saine gouvernance mettent l'accent sur le fait que tous les types de risques devraient être pris en compte et intégrés à l'ensemble des activités de planification et d'exécution, tant sur le plan stratégique qu'opérationnel. Le Cadre stratégique de gestion du risquedu Conseil du Trésor (CT) comprend des directives à l'intention des administrateurs généraux sur la mise en place de pratiques efficaces de gestion du risque à tous les niveaux de leur organisation. Ce cadre favorise l'établissement de priorités stratégiques, l'affectation des ressources et la prise de décisions éclairées relatives au niveau de tolérance au risque et l'amélioration des résultats

Le Cadre de responsabilisation de gestion(CRG), qui est un outil de gestion du rendement clé pour le gouvernement fédéral, prévoit que les ministères intègrent des pratiques et des principes de gestion du risque aux activités stratégiques, opérationnelles et fonctionnelles de l'organisation.

En 2010, SP a approuvé la Politique de gestion intégrée du risque et en 2013, à la suite de la vérification, il a mis à jour et approuvé officiellement le Cadre de gestion intégrée du risque (CGIR). Ce cadre vise à communiquer la stratégie de gestion du risque de SP à tous les niveaux hiérarchiques et à prévoir des moyens d'acquérir et de conserver une forte capacité de gestion du risque. De plus, il démontre l'importance d'intégrer la gestion du risque aux processus stratégiques, de planification, d'affectation des ressources et décisionnels, et d'établir des liens vers les documents stratégiques du MinistèreNote de bas de page 3. Le CGIR comprend aussi les principales activités dans le contexte du cycle de vie de la gestion du risque, dont la détermination, l'évaluation, l'intervention et la surveillance.

Le Profil de risque du Ministère (PRM) est l'un des processus indiqués dans le CGIR, qui présente une perspective ministérielle des principaux risques et possibilités par programme au niveau de l'architecture d'harmonisation des programmes (AHP). Élaboré conformément au Cadre de mesure du rendement (CMR), ce document, qui en est à sa troisième année de mise en œuvre, permet d'établir un lien direct entre les risques et possibilités déterminés et les résultats attendus indiqués dans le CMR.

Objectifs de Sécurité publique Canada liés à la gestion intégrée du risqueNote de bas de page 4

Les objectifs du Ministère portant sur la gestion intégrée du risque figurent dans la Politique de GIR du Ministère et se résument comme suit :

Rôles et responsabilités de Sécurité publique Canada liés à la gestion intégrée du risqueNote de bas de page 5

Le SMA, Secteur de politiques stratégiques, à titre d'agent principal de gestion du risque (APGR), assume les responsabilités suivantes :

Le Comité de gestion du Ministère (CGM) assume les responsabilités suivantes :

Les sous-ministres adjoints assument les responsabilités suivantes :

Tous les employés assument les responsabilités suivantes :

1.2 Objectif de la vérification

L'objectif de cette vérification consistait à donner une assurance raisonnable que l'approche adoptée par le ministère en matière de GIR était adéquate et efficace afin d'assurer qu'une approche conséquente a été adoptée, et que l'information sur le risque a été intégrée au processus décisionnel de façon appropriée.

1.3 Portée et approche

La vérification portait sur la période allant du 1er septembre 2011 au 31 décembre 2012, cette période permettant d'assurer l'actualité des résultats et d'inclure un cycle complet de gestion des activités. Certains des essais ont été effectués selon une formule « en cours d'élaboration », les processus étant examinés à mesure de leur évolution de façon à formuler des conseils et à communiquer des points de vue opportuns à l'intention de la direction.

Tous les secteurs de SP ont été visés par la vérification, qui était axée sur les processus de gestion intégrée du risque.

La vérification a aussi permis d'examiner la pertinence des processus fondamentaux de gestion du risque, leur intégration horizontale et verticale aux processus décisionnels du Ministère et la surveillance périodique de ces processus de façon à assurer leur l'efficacité sur une base continue.

La vérification a mis l'accent sur les activités que le Ministère a exercées pour déterminer les risques dans le cadre de ses activités opérationnelles et de gestion; toutefois, elle ne comprenait pas un examen de la pertinence ou de l'applicabilité des outils individuels de gestion du risque en raison de leur complexité et de l'expertise requise en la matière.

1.4 Analyse du risque

SP assume son rôle de direction et de surveillance dans le contexte de la conjoncture tant interne qu'externe, qui expose le Ministère à un grand nombre de risques à la fois opérationnels et stratégiques. Plus précisément :

Les risques détaillés auxquels le Ministère est exposé à cause de ses activités se trouvent à l'Annexe B. Ces risques ont été déterminés au cours de l'étape de planification de la vérification, et ils reposaient sur de longues entrevues et sur l'examen approfondi de la documentation. L'objectif d'une vérification axée sur le risque consiste à centrer l'examen sur les secteurs ayant le plus haut niveau de risque inhérent. De cette façon, les ressources sont utilisées de manière efficace et la valeur est optimale pour la direction. Les objectifs, la portée et les secteurs d'intérêt de la vérification ont été déterminés en fonction de ces risques.

1.5 Opinion de la vérification

À mon avis, l'approche adoptée par le Ministère en matière de GIR au niveau stratégique était en règle générale adéquate et efficace afin d'assurer qu'une approche conséquente a été adoptée, et que l'information sur le risque a été intégrée au processus décisionnel de façon appropriée. Il y aurait lieu de renforcer la GIR au sein des secteurs et des directions générales, afin de veiller à l'intégration appropriée du risque dans le processus décisionnel.

1.6 Énoncé d'assurance et de conformité

La vérification est conforme aux normes de vérification interne du gouvernement du Canada, comme en témoignent les résultats du Programme d'amélioration et d'assurance de la qualité.

Selon mon jugement professionnel, à titre de dirigeante principale  de la vérification, des procédures de vérification suffisantes et adéquates ont été appliquées, et les éléments probants recueillis confirment l'exactitude de l'opinion présentée dans le présent rapport. L'opinion repose sur un examen des situations recensées au moment de la vérification en fonction des critères de vérification établis au préalable et approuvés par la gestion. L'opinion s'applique uniquement à l'entité vérifiée.

2. Constatations, recommandations et réactions de la direction

2.1 Politiques et directives

L'équipe de vérification s'attendait à ce que la politique, les directives ou les lignes directrices liées à la GIR soient claires et communiquées adéquatement. Elle s'attendait également à ce que les employés comprennent :

La vérification a permis de constater que la Politique sur la gestion du risque de SP (Politique de GIR) était bien définie et communiquée comme il se doit et, à la suite de la période d'examen de la vérification, la haute direction a approuvé le Cadre de gestion intégrée du risque (CGIR) de SP. Les deux documents renfermaient des objectifs identifiables, des rôles et des responsabilités précis et des échéanciers pour l'établissement des rapports qui étaient harmonisés au Cadre stratégique de gestion du risquedu CT et au Guide de gestion intégrée du risque du CT.

Le CGIR en place au moment de la vérification, pour toutes fins, était semblable à la version récemment approuvée. Il renfermait des conseils sur les principales activités dans le cadre d'un cycle de vie complet de gestion du risque. Un guide de consultation rapide distinct renferme un résumé de notions et d'approches semblables en matière de gestion du risque; néanmoins la vérification a révélé que la distribution du guide s'est limitée aux administrateurs généraux et aux participants aux séances d'intégration liées au PRM dont il est question à la Section 2.2.1 Outils de gestion stratégique du risque. La vérification a aussi permis de constater que les directives étaient axées sur la façon de déterminer, d'évaluer les risques et les possibilités et, dans une certaine mesure, de les intégrer aux instruments de planification. Cependant, aucune directive n'indiquait comment intégrer la gestion du risque aux processus décisionnels ou de travail. Bien que les lignes directrices actuelles constituent une bonne base, le Guide de gestion intégrée du risque de CT, explique que la démarche de prise en compte du risque « intègre la gestion du risque aux structures de gouvernance et aux structures organisationnelles existantes, y compris à la planification des activités, à la prise de décisions et aux processus opérationnelsNote de bas de page 6. »

La Politique de GIR énonce les processus suivants pour superviser la mise en œuvre de la Politique :

Les versions précédente et actuelle du CGIR stipulent que, pour s'assurer que la gestion intégrée du risque est mise en œuvre dans l'ensemble du Ministère, les trois principaux mécanismes suivants doivent être mis en place :

Bien que ces mécanismes de surveillances soient positifs et qu'ils permettront de fournir des éléments probants de leur efficacité, ils sont périodiques et de haut niveau. Il y avait peu de documents ou d'éléments probants à l'appui de la surveillance et de l'examen de la mise en œuvre de la Politique. Aucun mécanisme ne permet d'obtenir des informations opportunes sur l'état de mise en œuvre de la gestion du risque. La vérification a permis de déterminer que le SPS a réussi à mettre en place de nombreux éléments fondamentaux malgré des ressources très limitées; toutefois, quelques indicateurs choisis à l'appui de la surveillance permettraient de maintenir le dynamisme acquis. Un exemple d'indicateur potentiel pourrait être le suivi de l'achèvement des Profils de risque du secteur (PRS) dont il est question à la Section 2.2.3 - Outils de gestion du risque opérationnel.

2.2 Outils de gestion du risque

L'équipe de vérification s'attendait à trouver des outils favorisant le cycle de vie complet de la gestion du risque, dont des outils à l'appui de la gestion :

2.2.1 Outils de gestion s du risque stratégique

Le Profil de risque du Ministère (PRM) est l'outil ministériel qui permet de saisir les risques stratégiques de haut niveau. Le processus relatif au PRM du CRG du Ministère a été très bien coté. La question des éléments probants en faveur de l'utilisation des résultats du PRM à l'appui du processus décisionnel de la haute direction sera abordée à la Section 2.4 Intégration - Processus décisionnel axé sur le risque et la culture.

Tous les ans, chaque secteur est tenu de déterminer ses risques et possibilités et de présenter cette information pour discussion et établissement des priorités lors de séances d'intégration horizontales du Ministère. Les risques et possibilités déterminés font ensuite l'objet d'une évaluation visant à calculer la probabilité qu'ils se concrétisent et les répercussions potentielles. Ces séances d'intégration ont pour objectif d'assurer une fonction de remise en question, mais surtout de veiller à ce que les répercussions de portée générale de ces risques et possibilités soient déterminées de façon appropriée et comprises dans l'ensemble du Ministère. Par suite de ces séances, les trois plus grands risques et possibilités par niveau de programme de l'architecture d'harmonisation des programmes (AHP) ont formé le PRM. Les directions générales responsables et des plans d'atténuation ont alors été désignés pour chacun des risques et possibilités stratégiques.

Détermination des risques stratégiques

En règle générale, tous les répondants ont indiqué que des réunions étaient tenues dans leur secteur respectif pour déterminer les risques potentiels liés à leurs secteurs de responsabilité en prévision des séances d'intégration liées au PRM. Ils ont aussi dit que les résultats découlant de l'utilisation de leurs outils de gestion du risque à des fins particulières, qui sont présentés à la Section 2.2.2 – Utilisation d'outils sur le risque à des fins particulières, ont permis de tenir compte de ces risques. La vérification a révélé que les approches visant à orienter et à évaluer les risques n'étaient pas documentées. Par conséquent, il était impossible d'évaluer si cette étape d'identification du risque était complète et suffisante, et de vérifier si certains risques opérationnels et stratégiques avaient été négligés. L'absence de documentation peut également contribuer à une incompréhension et à une interprétation erronée de la base de ces risques.

L'équipe de vérification a observé que, dans certains cas, le nombre d'informations relatives aux risques visant des programmes de l'AHP était limité; par exemple, seulement quatre risques de haut niveau ont été déterminés dans un programme. En raison du caractère complexe et délicat de chaque programme, l'équipe de vérification s'attendait à consulter des listes plus détaillées. Elle n'a pas tenté d'évaluer le caractère suffisant, la validité et la pertinence de ces risques. Le nombre limité d'informations a également suscité des préoccupations quant à la question de savoir si le Ministère avait négligé des risques et si le processus avait fait l'objet d'une évaluation et d'une remise en question rigoureuses.

Évaluation des risques stratégiques

Les répondants ont indiqué que les séances d'intégration étaient importantes, car elles permettaient à tous les participants de comprendre le contexte de risque du Ministère et d'avoir une idée des plans d'atténuation proposés et des niveaux de tolérance acceptables. Même s'il n'y avait aucun élément probant à l'appui des travaux lors de ces séances, les participants ont fait remarquer que leur capacité de rendre compte à leurs collègues de la perspective du risque à l'échelon ministériel a contribué à accroître la sensibilisation et les connaissances relatives aux risques.

Le PRM comprend les trois plus grands risques et possibilités pour chaque niveau de programme de l'AHP. Par conséquent, il est possible que les risques dont la gravité est moindre dans un programme en particulier, mais dont le degré de gravité est plus élevé dans d'autres programmes ne figurent part dans le PRM. En conséquence, aucun mécanisme en place ne fait en sorte que les comités supérieurs de gouvernance à l'échelon ministériel assurent la gestion et la surveillance des risques stratégiques les plus élevés du Ministère.

Élaboration de mesures d'intervention relativement aux risques stratégiques

Les plans d'atténuation des risques liés au PRM sont élaborés au cours de l'automne dans le cadre du cycle normal de planification et d'établissement de rapports du Ministère. Par la suite, le Secteur de politiques stratégiques regroupe ces informations dans les plans des activités des secteurs (PAS) pour en assurer la continuité. On s'attend ensuite à ce que les secteurs actualisent les plans d'atténuation dans les plans de travail respectifs des directions générales. Cet exercice est positif puisqu'il fait en sorte que tous les risques et plans d'atténuation liés au PRM soient transmis aux secteurs appropriés.

Afin de mieux comprendre l'harmonisation des risques et des plans d'atténuation connexes, l'équipe de vérification a établi une comparaison entre les risques figurant dans le PRM, les risques figurant dans les plans d'activités et les mesures prévues dans les plans de travail des directions générales. Elle a été en mesure de retracer les résultats du PRM dans les PAS.

Comme il était prévu, les plans de travail des directions générales renfermaient des mesures détaillées destinées à mettre en œuvre des plans d'atténuation de haut niveau liés au PRM. Toutefois, il n'était pas toujours facile de déterminer si les :

Également, rien ne démontrait que le CGM avait a été mis au courant des modifications apportées aux plans d'atténuation du PRM ou qu'il les ait approuvées.

Un exemple mettant en évidence le manque potentiel d'harmonisation entre les plans d'atténuation liés au PRM et les plans de travail des directions générales figurait dans un énoncé des risques liés au PRM de 2011-2012 : « L'infrastructure du Centre des opérations du gouvernement (COG) pourrait être insuffisante pour soutenir une intervention coordonnée en cas d'incident touchant l'intérêt national (besoins en matière d'espace, de sécurité, de capacité de survie et de durabilité). » Cet énoncé des risques et les plans d'atténuation connexes sont demeurés les mêmes jusqu'en 2013-2014. Il n'a pas été clairement établi si les plans d'atténuation liés au PRM et les plans de travail des directions générales connexes ont été pris en compte ou étoffés d'une manière insuffisante, ou si le Ministère a décidé d'assumer le risque sans prendre de mesures d'atténuation à cet égard.

2.2.2 Utilisation d'outils sur le risque à des fins particulières

Dans le cadre de la vérification, les secteurs de programme ayant spécialement recours à des outils de gestion à des fins particulières ont été examinés :

La vérification a permis de constater que le développement de ces outils de gestion du risque à des fins particulières s'est révélé très positif dans le cadre de la mise en place de la gestion du risque, et que les résultats découlant de l'utilisation de ces outils permettaient d'orienter les processus décisionnels à l'appui de ces secteurs de programme.

Il a été indiqué que ces outils en étaient aux premières étapes de mise en œuvre et que, par conséquent, aucun résultat cohérent et systématique n'a encore été obtenu. L'équipe de vérification a aussi constaté le nombre limité de directives documentées précisant la façon dont ces outils devraient être intégrés à d'autres activités axées sur le risque, notamment :

Même si les outils favorisaient la détermination et l'évaluation du risque et certains éléments de mesures d'intervention, aucun d'eux ne comprenait des mécanismes ou processus définis en matière d'approbation, d'établissement de rapport et de surveillance.

2.2.3 Outils de gestion du risque opérationnel

Les Profils de risque du secteur (PRS), tels qu'ils sont définis dans le Cadre de gestion intégrée du risque de SP, visent à orienter les décisions de chacun des secteurs sur les plans, les priorités et l'affectation des ressources en saisissant, évaluant et résumant les principaux risques pouvant avoir l'incidence la plus importante sur la réalisation des objectifs des secteurs. Une fois établis, les PRS permettent d'orienter les discussions sur l'établissement du PRM.

La vérification a révélé qu'en règle générale, les PRS n'avaient pas été complètement dressés ou qu'ils n'étaient pas tenus à jour de façon systématique. En outre, les secteurs n'avaient aucun autre document regroupant les risques. Dans les cas où ils disposaient d'un PRS documenté, son contenu était essentiellement le même que celui du PRM, et il renfermait peu de renseignements complémentaires sur les risques. Les employés n'avaient pas recours à des outils de gestion du risque opérationnel ou à des fins particulières pour déterminer et évaluer les risques liés à des activités d'élaboration de politique ou de recherche, de même que pour prendre des mesures d'intervention et de surveillance à cet égard. L'équipe de vérification a plutôt été avisée que ces risques étaient cernés de façon intuitive, et non documentée, ou grâce à la mobilisation des intervenants ou à des discussions lors de réunions de comités.

En l'absence de document regroupant les risques, la gestion du risque est un processus fragmenté et isolé et, en conséquence, le Ministère ne peut avoir facilement la garantie que l'interprétation de l'information sur le risque est juste et cohérente, et que tous les risques sont pris en compte de manière appropriée tout au long des étapes de planification et d'établissement de rapports. Cela risque d'avoir des répercussions sur l'intégrité du processus de planification et de compromettre le rendement optimal.

2.3 Gouvernance

L'équipe de vérification s'attendait à constater que les structures de gouvernance favorisent une culture et des pratiques de gestion informées du risque dans l'ensemble du Ministère. Elle s'attendait également à constater que les structures de gouvernance du Ministère permettaient de surveiller la gestion du risque et la mise en œuvre de la Politique de GIR et du CGIR. L'équipe de vérification a examiné les activités des comités ministériels suivants :

Comité de gestion du Ministère (CGM)

Selon son mandat, les objectifs du CGM consistent à examiner et à approuver les politiques, les projets, les plans, le rendement et les rapports liés à un large éventail de programmes et de services de gestion ministériels, dont la gestion du risque. En outre, la Politique de GIR exige que le CGM détermine, évalue et gère les risques ministériels et qu'ils fassent l'objet de discussions au moins deux fois par année.

La vérification a révélé ce qui suit :

Comité ministériel de vérification (CMV)

Le CMV, qui est chargé de donner des conseils dans certains domaines, dont la gestion du risque, a été informé périodiquement des « risques » et du processus de gestion du risque pendant toute la période vérification. Le CMV a salué les progrès réalisés dans le cadre de la mise en œuvre de la GIR. Fait à noter, le Comité s'appuie activement sur les résultats du PRM pour remettre en question les activités ministérielles, dont l'affectation des ressources. Les membres du Comité ont indiqué l'importance de toujours assurer le suivi des risques avant de passer à l'analyse de l'enjeu suivant et la nécessité d'utiliser l'information sur le risque de façon plus stratégique pour des activités, notamment lier les ressources aux secteurs de risque et aux priorités.

Comités de direction des secteurs et des directions générales

Les comités de direction des secteurs et des directions générales sont considérés comme des structures de gouvernance fondamentales. Toutefois, aucune réunion de ces comités ne prévoyait de mandat précis ou de processus approuvés définissant le genre d'information à présenter et le moment pour ce faire. Également, aucune des discussions engagées lors des réunions n'était documentée. Par conséquent, il est difficile pour l'équipe de vérification d'arriver à la conclusion que ces comités assurent une forme de surveillance du risque. Étant donné l'absence de PRS dont il est question à la Section 2.2.3 – Outils de gestion du risque opérationnel, et l'absence d'information sur le risque des directions générales dans le PAS, la vérification n'a pas permis de tirer une conclusion sur la question de savoir si l'information sur le risque était utilisée pour orienter le processus décisionnel.

En l'absence d'exigences définies en matière d'information, de discussions documentées et de rigueur relatives à la conformité, d'informations sur les risques suffisantes et appropriées, y compris le niveau de tolérance au risque et l'état de l'atténuation connexe, il est possible que les risques ne soient pas signalés et surveillés de façon efficace. Il se peut que les organisations détiennent des informations qui les empêchent de réaliser des objectifs et d'atteindre le plus haut rendement.

2.4 Intégration – Prise de décisions fondée sur le risque et culture

L'équipe de vérification s'attendait à trouver des approches fondées sur le risque en matière de planification des activités, de prise de décisions et de processus opérationnels. Tel qu'il est établi dans le CGIR de SP, l'objectif consiste à créer un contexte dans le cadre duquel les employés à tous les échelons de l'organisation seront instinctivement à la recherche des risques et des possibilités de façon à tenir compte de leur incidence sur les résultats du Ministère lors de la prise de décisions tant sur le plan opérationnel que ministérielNote de bas de page 9.

À l'échelle du Ministère

L'équipe de vérification a constaté que les cadres supérieurs ont commencé à intégrer l'information sur le risque dans les activités décisionnelles clés, puisque le « risque » est de plus en plus ancré dans la culture. L'information sur le risque a principalement été intégrée en utilisant les extrants du profil de risque du Ministère (PRM) et les renseignements précis sur le risque présentés au CGM. Les exemples suivants ont été relevés :

Néanmoins, on continue d'observer des lacunes en ce qui concerne l'intégration d'information sur le risque dans la prise de décisions. Par exemple, il n'existe aucune exigence systématique relativement à l'intégration d'information sur la gestion du risque dans les notes d'information, les notes de service, les rapports d'étape ou les rapports financiers et non financiers sur le rendement.

L'équipe de vérification a remarqué que la Division de la planification stratégique du SPS a créé une communauté de pratique sur l'évaluation des risques et des menaces, qui fournira un précieux moyen de tirer parti des forces du Ministère et d'échanger des outils, de l'information et de l'expertise tant horizontalement que verticalement de manière continue. Ce forum donnera l'occasion d'acquérir des connaissances et de collaborer, dans la mesure du possible, et peut-être de réduire le dédoublement des efforts.

À l'échelle du Ministère, l'équipe de vérification a constaté que la haute direction est généralement en faveur de la gestion du risque, et que la tolérance à certains risques a été communiquée aux échelons inférieurs. Parmi les exemples de mécanismes utilisés pour établir un contexte de gestion du risque, mentionnons l'approbation officielle et la communication de la Politique de GIR, ainsi que l'achèvement et la communication du PRM annuel.

Toutefois, comme il a été constaté dans des vérifications antérieures, une culture de cloisonnement existe encore dans certains domaines, ce qui nuit à la tenue de discussions ministérielles vastes et transparentes sur le risque. Il faut renforcer la transparence et la confiance nécessaires à une compréhension exhaustive du risque si l'on veut communiquer clairement les stratégies et la tolérance ministérielles en matière de risque, sans quoi il sera difficile de prendre des décisions et d'utiliser les ressources de manière optimale.

À l'échelle des directions générales et des secteurs

Comme il a été mentionné auparavant, dans l'ensemble, il n'y avait aucun PRS et très peu d'outils de gestion du risque opérationnel pour faciliter la sensibilisation au risque et la compréhension de ce dernier. En règle générale, à l'échelle des directions générales et des secteurs, l'utilisation du risque était plus intuitive. La gestion du risque était moins structurée et souvent uniquement officialisée pour contribuer au processus du PRM de haut niveau requis ou pour être appliquée à une exigence précise d'un programme, comme la gestion des bénéficiaires de contributions. Certaines personnes interrogées ont précisé que les extrants du PRM étaient d'une utilité restreinte et qu'elles les considéraient comme étant une tâche administrative ayant peu de valeur ajoutée. Par conséquent, dans certains cas, les extrants n'ont pas orienté les activités décisionnelles.

Dans l'ensemble, les personnes interrogées ont mentionné que l'information liée aux finances, à la capacité des RH et aux préoccupations des intervenants était la principale source ayant aidé à la prise de décisions. Les risques en tant que tel n'ont pas été au cœur des discussions. Ces indicateurs en eux-mêmes ne suffisent pas à permettre une solide gestion intégrée du risque.

Même s'il y a certains signes positifs indiquant que des décisions ont été fondées sur le risque, il est difficile de prendre des décisions optimales sans l'adoption d'une approche fondée sur le risque plus structurée et volontaire.

Recommandations

Plan d'action de la direction

Date d'achèvement prévue

1

Le Secteur de la gestion des mesures d'urgence et des opérations régionales participera à un projet pilote sur la gestion du risque.

Tous les chefs des secteurs créeront des profils de risque ou des outils analogues annuels pour assurer l'évaluation, l'atténuation et la surveillance adéquate des risques et des possibilités.  

31 janvier 2014

31 octobre 2013

2

La Division de la planification stratégique continuera de participer aux exercices annuels relatifs au CRG, qui fournissent une évaluation de la mise en œuvre de la GIR au sein du Ministère.

La Division de la planification stratégique déterminera un ensemble d'indicateurs qui permettront de suivre l'état de mise en œuvre. L'état de ces indicateurs fera l'objet d'un rapport dans le document annuel sur le PRM.

31 janvier 2014

3

La Division de la planification stratégique examinera le processus de planification des activités pour s'assurer que les stratégies d'atténuation peuvent être facilement transférées et clairement représentées dans tous les plans opérationnels. En outre, la Division assumera une plus grande fonction de remise en question pendant la séance d'intégration afin d'assurer l'intégration des stratégies d'atténuation.

Dans le cadre du processus de planification des activités 2014-2015, la Division de la planification stratégique aidera également les secteurs à intégrer les stratégies d'atténuation dans leurs plans.

La Division de la planification stratégique mettra également en œuvre un projet pilote pour accroître la gestion fondée sur le risque à l'échelle des secteurs.

30 avril 2014

4

Chaque SMA fournira une copie de la version la plus récente du PRM à toutes les réunions du CGM portant sur la prise de décisions clés, comme l'établissement des priorités, la séance d'affectation de fonds et les examens de mi-exercice et de fin d'exercice. Le PRM sera utilisé pour orienter les discussions et les décisions.

Pendant l'élaboration du PRM, le SMA, Secteur de politiques stratégiques, fournira au CGM une mise à jour sur l'état d'avancement de chacune des étapes. À l'étape de la détermination, il fournira au CGM une liste préliminaire des principaux risques et possibilités proposés. À l'étape de l'évaluation, on lui remettra une liste préliminaire des cotes de risque proposées et, à l'étape de l'intervention, on lui fournira une ébauche des stratégies d'atténuation proposées. Le CGM aura l'occasion de formuler des commentaires tout au long de l'élaboration, en plus de pouvoir le faire une fois l'ébauche finale terminée.

31 octobre 2013

31 janvier 2014

Annexe A : Critères de vérification

Pistes de recherche

Piste de recherche nº 1 : Politiques et lignes directrices
Le Ministère dispose de politiques et de lignes directrices adéquates et définies de manière officielle qui ont été communiquées relativement à la gestion du risque.

Piste de recherche nº 2 : Gouvernance
Le Ministère a une structure de gouvernance adéquate et efficace en matière de gestion intégrée du risque, qui comprend des rôles, des responsabilités et des mécanismes de responsabilisation et de surveillance clairs.
Remarque : Ces renseignements comprennent notamment ce qui suit :

Piste de recherche nº 3 : Outils et processus opérationnels
Des outils et des processus complets de gestion du risque ont été mis en place, ont été communiqués et s'appliquent conformément aux politiques et aux lignes directrices du Ministère.
On compte parmi les outils de gestion du risque des méthodes pour tous les aspects du cycle de vie de la gestion du risque, notamment :

Piste de recherche nº 4 : Intégration et utilisation du risque pour la prise de décisions
L'information sur le risque est systématiquement utilisée pour éclairer la prise de décisions clés, en fonction des lignes directrices et des exigences du Ministère en matière de gestion du risque (notamment la communication verticale et horizontale des renseignements).

Annexe B : Risques préliminaires relevés

Compte tenu de ces conditions et des facteurs de risque qui en découlent, vous trouverez ci‑dessous un sommaire des principaux risques auxquels SP est exposé relativement à la gestion intégrée du risque.

Nom du risque

Description

1. Culture

Il y a un risque que la culture et les pratiques opérationnelles de l'organisation ne permettent pas et n'obligent pas un échange de renseignements optimal et une discussion sur l'information sur le risque.

2. Processus opérationnel – Application des outils

Il y a un risque que les outils de gestion du risque ne soient pas appliqués uniformément ou d'une manière efficace, comme il se doit.

3. Intrants

Il y a un risque que l'élaboration des processus de gestion du risque individuels ne soit pas orientée par des intrants complets.

4. Intégration verticale

Il y a un risque que les processus de gestion du risque actuels au niveau inférieur et l'information sur le risque connexe ne permettent pas d'élaborer un PRM et de prendre des décisions de manière adéquate.

5. Intégration horizontale

Il y a un risque qu'il y ait un échange insuffisant d'information sur le risque entre les secteurs et les directions générales.

6. Intégration fonctionnelle

Il y a un risque que l'information sur le risque ne permette pas d'établir les fonctions de gestion et de prendre les décisions (p. ex. priorités, affectation et réaffectation des ressources, décisions sur les programmes) de manière adéquate.

7. Intervention et surveillance

Il y a un risque que les risques ne fassent pas l'objet d'une intervention et d'une surveillance adéquate et officielle.

Notes

  1. 1

    ISO 31000 – Management du risque – Principes et lignes directrices

  2. 2

    ISO 31000 – Management du risque – Principes et lignes directrices.

  3. 3

    Cadre intégré de gestion du risque de SP

  4. 4

    Politique de gestion intégrée du risque de SP

  5. 5

    Politique de gestion intégrée du risque de SP

  6. 6

    Guide de gestion intégrée du risque du CT

  7. 7

    Politique de gestion intégrée du risque de SP

  8. 8

    Cadre de gestion intégrée du risque de SP

  9. 9

    Cadre de gestion intégrée du risque de SP

Date de modification :