Secrétariat du Conseil du Trésor du Canada
Symbole du gouvernement du Canada

ARCHIVÉ - Vérification interne horizontale des profils de risque des organisations dans les grands ministères et organismes

Avertissement Cette page a été archivée.

Information archivée dans le Web

Information archivée dans le Web à  des fins de consultation, de recherche ou de tenue de documents. Cette dernière n’a aucunement été modifiée ni mise à  jour depuis sa date de mise en archive. Les pages archivées dans le Web ne sont pas assujetties aux normes qui s’appliquent aux sites Web du gouvernement du Canada. Conformément à  la Politique de communication du gouvernement du Canada, vous pouvez demander de recevoir cette information dans tout autre format de rechange à  la page « Contactez-nous Â».



Vérification interne horizontale
des profils de risque des organisations
dans les grands ministères et organismes



Table des matières



Sommaire exécutif

L'objectif de la vérification était de déterminer si des systèmes et des pratiques de gestion des risques organisationnels, plus particulièrement ceux associés aux profils de risque organisationnel (PRO), sont en place en vue de confirmer l'existence de stratégies d'identification et d'atténuation de ces risques au sein des grands ministères et organismes (GMO). Nous avons examiné comment les processus de gestion des risques organisationnels sont régis, quels systèmes et pratiques servent à leur élaboration, comment ils sont intégrés à la planification organisationnelle et comment les GMO font rapport sur le rendement au chapitre de la gestion de ces risques.

Pourquoi est-ce important

Un PRO permet à un ministère ou à un organisme d'élaborer une stratégie globale pour la gestion des risques. Il comprend une liste des risques à l'échelle organisationnelle auxquels est accordée la plus haute priorité ainsi que des stratégies destinées à assurer une gestion adéquate de ces risques; les risques ne peuvent être éliminés, ils peuvent seulement être gérés. Il est donc important pour une organisation d'identifier non seulement régulièrement les activités ou les dangers pouvant l'empêcher d'atteindre ces objectifs, mais aussi d'élaborer des stratégies visant à atténuer ces risques. La gestion des risques organisationnels permet à l'organisation de revoir ses ressources ou ses priorités de manière à assurer le maintien de son succès. La gestion des risques a été choisie comme une des principales composantes de gestion devant faire l'objet d'une évaluation annuelle par le Secrétariat du Conseil du Trésor du Canada à l'échelle du gouvernement.

Évaluation globale

La plupart des GMO ont mis au point des modèles de gouvernance pour la gestion des risques organisationnels. De plus, la plupart d'entre eux ont confié des tâches de gestion des risques à des personnes ou à des comités de l'échelon de la haute direction. En règle générale, les GMO disposent du soutien de la haute direction pour élaborer et mettre en œuvre les PRO.

Les pratiques et les systèmes de gestion des risques organisationnels sont toujours en cours d'élaboration dans l'ensemble de la collectivité des GMO. Bien que de nombreux GMO aient consacré des ressources humaines considérables à l'élaboration des PRO et des systèmes et pratiques correspondants, il faudra approfondir la démarche afin de prendre en compte tous les aspects d'une gestion des risques efficace.

La plupart des GMO n'ont pas pleinement intégré la gestion des risques organisationnels à leur processus de planification opérationnelle et stratégique. Certains d'entre eux viennent tout juste d'établir leur PRO et n'ont pas encore terminé le processus de mise en œuvre. La prochaine étape est l'intégration de la gestion des risques à la planification stratégique et opérationnelle pour la plupart des GMO.

Même si la présentation de rapports sur les résultats des activités de gestion des risques organisationnels pour vérifier l'efficacité des activités du PRO est primordiale, il y a peu de ministères qui ont un processus officiel de PRO en place depuis suffisamment longtemps pour qu'il soit intégré à leurs activités redditionnelles sur le rendement organisationnel. Ainsi, la plupart des GMO ne sont pas à même de rendre compte sur la mesure dans laquelle les PRO les aident efficacement à atteindre leurs objectifs stratégiques.

Conclusion

Dans l'ensemble, même si les GMO ont déployé des efforts concertés pour établir leur PRO, l'harmonisation de leurs efforts pour identifier et atténuer les risques organisationnels reste à faire. La plupart des GMO ont mis au point des modèles de gouvernance pour la gestion des risques organisationnels qui permettront de mettre en place une approche coordonnée et uniforme à la gestion des risques. Les systèmes et les pratiques de gestion des risques organisationnels des GMO, ne sont pas encore entièrement à point et auront besoin d'être améliorés. La plupart des GMO doivent encore intégrer leur PRO à leurs plans opérationnels et stratégiques pour achever la mise en œuvre. Enfin, les rapports sur le rendement au chapitre de la gestion des risques organisationnels restent une activité future pour la plupart des GMO.

Le Secteur de la vérification interne du Bureau du contrôleur général a demandé aux dirigeants principaux de la vérification de voir à ce que l'administration de leur ministère ou organisme prépare des plans d'action de la gestion et à ce que les plans soient entérinés par les comités de vérification correspondants. Il y a de fortes raisons de croire que des améliorations seront apportées. Les comités de vérification des organismes et des ministères recevront périodiquement des rapports de la direction sur les mesures prises dans les cas où des plans d'action de la gestion sont en place.

Énoncé d'assurance

Selon mon jugement professionnel, en tant que contrôleur général adjoint du secteur de la vérification interne, je suis d'avis que nous avons suivi des procédures satisfaisantes et appropriées et que nous avons recueilli des preuves suffisantes pour étayer l'exactitude de la conclusion de la vérification. Les résultats et la conclusion de la vérification reposent sur une comparaison entre les conditions qui existaient le 9 septembre 2009 dans les ministères ayant fait l'objet d'une vérification et des critères de vérification préétablis. De plus, les éléments de preuve ont été recueillis conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada et aux Normes internationales pour la pratique professionnelle de la vérification interne.[1]


Brian M. Aiken
Contrôleur général adjoint
Secteur de la vérification interne, Bureau du contrôleur général

Contexte

La Politique sur la vérification interne du Conseil du Trésor exige que le contrôleur général effectue des vérifications horizontales dans les grands ministères et organismes (GMO). Les vérifications horizontales visent à traiter des risques qui transcendent les ministères afin de présenter des rapports sur l'état de la gouvernance, des processus de contrôle et de la gestion des risques à l'échelle du gouvernement du Canada. Le rapport présente les résultats de la vérification horizontale des profils de risques organisationnels des GMO.

La gestion des risques vise à cerner les incertitudes et les dangers qui pourraient empêcher une organisation d'atteindre ses objectifs. Mais elle vise surtout à élaborer et à mettre en œuvre des stratégies afin de minimiser et de gérer les risques. Ces risques peuvent être évidents (dommages causés par le feu ou pannes d'ordinateur) ou plus hypothétiques (occasions manquées en raison d'une affectation des ressources inefficaces).

En 2001, la gestion des risques a été désignée comme étant l'une des principales priorités du gouvernement en vue de garantir un gouvernement plus responsable à la population canadienne. Le Cadre de gestion intégrée du risque (CGIR) élaboré par le Secrétariat du Conseil du Trésor du Canada (le Secrétariat) peu après offre des lignes directrices aux ministères et aux organismes pour formuler une stratégie axée sur la gestion des risques. Le CGIR reste le fondement en matière de gestion des risques au gouvernement du Canada, et le rendement des GMO en gestion des risques est l'une des 10 composantes de gestion clé qui est évaluée annuellement par le Secrétariat.

Le CGIR a été conçu pour aider à définir les principaux éléments qu'une organisation devrait prendre en compte pour gérer ses risques efficacement. Il donne des lignes directrices sur les attentes qu'une organisation devrait avoir à l'égard de la fonction de gestion des risques et sur les activités ou les éléments clés devant être intégrés au processus.

Un profil de risque organisationnel s'inspire du CGIR en regroupant toute l'information sur la gestion des risques organisationnels dans un document stratégique et en donnant une orientation claire à la gestion des risques. Les processus de planification stratégique et opérationnelle de l'organisation devraient idéalement alimenter le PRO. Avant de mettre la dernière main à leurs budgets et à leurs plans des ressources humaines, les organisations prennent souvent un recul face à leurs activités opérationnelles quotidiennes afin de cerner les dangers guettant les objectifs organisationnels. Le PRO approfondit cet examen et fournit un guide pour la gestion du risque. Lorsque l'organisation a bien compris les incertitudes qui l'attendent et la façon d'y faire face, elle peut alors réaliser sa planification opérationnelle habituelle et elle croira davantage en ses chances de succès.

La gestion des risques est un volet important des activités de tous les ministères et organismes depuis de nombreuses années. Pour offrir des services et des programmes à la population canadienne, les organisations doivent tenir compte des risques qui pourraient compromettre leurs activités. Les risques à l'échelle opérationnelle sont liés aux activités quotidiennes, ils peuvent donc varier d'une région à l'autre.

La portée des risques organisationnels est différente de la portée des risques opérationnels; la gestion des risques organisationnels n'a pas nécessairement de répercussions sur les activités quotidiennes, mais plutôt sur les programmes de l'organisation dans leur ensemble. Alors que les services opérationnels et les services organisationnels mettent en place des plans d'activités qui, tout en étant aussi importants les uns que les autres, leur sont propres, le profil de risque organisationnel cerne les risques qui menacent les objectifs organisationnels généraux. Certains risques opérationnels peuvent être relevés à l'échelle locale, mais, sans planification organisationnelle, il est possible que les ressources nécessaires à leur gestion ne soient pas adéquatement déployées.

Les organisations qui réussissent à gérer le risque sont celles qui parviennent à intégrer les risques à l'échelle opérationnelle et les risques à l'échelle organisationnelle. La présente vérification porte uniquement sur la gestion du risque organisationnel.

Objectifs, portée et approche de vérification

Objectifs et portée

L'objectif de la vérification était de déterminer si des systèmes et des pratiques de gestion des risques organisationnels, plus particulièrement ceux associés aux PRO, sont en place afin de confirmer l'existence de stratégies d'identification et d'atténuation des risques dans le cadre des activités des GMO. Nous avons examiné comment les processus de gestion des risques organisationnels sont régis, quels systèmes et pratiques servent à leur élaboration, comment ils sont intégrés à la planification organisationnelle et comment les GMO font rapport sur le rendement au chapitre de la gestion de ces risques.

La portée de cette mission de vérification englobe des activités liées au PRO en place dans un échantillon de GMO en date du 9 septembre 2009. La mission portait sur les systèmes, les processus et les pratiques qui servent à élaborer, peaufiner, communiquer et mettre en œuvre les PRO.

Approche de vérification

La vérification s'est déroulée en deux étapes. Des consultants ont été recrutés pour appuyer l'équipe de vérification du Bureau du contrôleur général pendant ces deux étapes.

Phase 1

Pour choisir les GMO devant faire l'objet de la vérification, nous avons effectué une analyse des pratiques de gestion des risques dans tous les GMO à l'aide d'évaluations pangouvernementales visant la gestion des risques organisationnels efficace et d'un examen préliminaire des documents sur les principaux risques organisationnels. Nous nous sommes assurés que notre sélection englobait un éventail des niveaux de rendement au chapitre de la gestion du risque organisationnel. Nous avons choisi, à partir de cette analyse, les 13 GMO qui figurent à l'annexe 1.

Phase 2

La vérification comprenait trois méthodes d'examen, chacune ayant un poids égal dans les résultats finaux. Nous avons d'abord demandé aux 13 GMO de remplir un questionnaire d'auto-évaluation sur leur interprétation de la gestion des risques. Nous avons ensuite réalisé un examen exhaustif des documents pour évaluer les PRO et les processus qui les alimentent. Parmi les documents examinés, il y avait des plans opérationnels, des rapports sur le rendement et le PRO. Enfin, nous avons interrogé le personnel de tous les secteurs de la gestion du risque organisationnel, de la planification à la mise en œuvre. Nous avons finalement compilé les résultats des trois examens pour veiller à ce que les évaluations soient uniformes et équilibrées.

Constatations détaillées et recommandations

Constatation 1 : Gouvernance et amélioration continue

La plupart des GMO ont le soutien de la haute direction pour élaborer et mettre en œuvre les PRO.

Nous avons examiné les modèles de gouvernance mis sur pied par les GMO pour élaborer les PRO. Nous avons examiné si la communication des stratégies de gestion des risques était efficace dans l'ensemble de l'organisation et si la formation nécessaire était offerte pour aider les gestionnaires et les employés à mettre en pratique la gestion du risque. Enfin, nous avons examiné comment les GMO évaluaient continuellement la pertinence du PRO, afin d'en assurer l'applicabilité dans un contexte changeant.

Nous nous attendions à ce que les GMO aient clairement défini les structures de gouvernance pour la gestion des risques ainsi que pour l'élaboration et le maintien des PRO. Un processus de gouvernance efficace inclut normalement un organe de gestion supérieur qui est responsable de coordonner toutes les étapes de l'élaboration d'un PRO, et ce, de la désignation des responsables de chaque tâche à la coordination de chaque activité. Une fois la stratégie mise au point, elle devrait être communiquée au plus grand nombre possible de gestionnaires et d'employés, selon les besoins. La stratégie de gestion du risque devrait aussi faire l'objet d'un examen et d'une mise à jour périodiques pour veiller à ce qu'elle continue de répondre aux besoins de l'organisation.

La gestion des risques devrait être mise en place uniformément au sein d'un GMO afin d'assurer une compréhension commune des priorités. Comme il s'agit d'une initiative organisationnelle, la stratégie nationale globale pour la gestion des risques devrait être uniforme d'une direction à l'autre. Il est donc essentiel d'obtenir la participation des échelons les plus élevés de la direction pour s'assurer que tous les secteurs de l'organisation utiliseront la même approche de gestion des risques. La haute direction doit communiquer avec les gestionnaires et le personnel pour veiller à ce que la gestion des risques soit appliquée uniformément dans l'ensemble de l'organisation. Les stratégies de gestion des risques doivent aussi faire l'objet de mises à jour régulières. Une stratégie qui demeure inchangée pendant une longue période permet à de nouveaux risques de se développer et de menacer l'organisation si une stratégie d'atténuation n'a pas été mise au point.

Les GMO ont élaboré des structures de gouvernance de la gestion des risques étayées par des politiques ministérielles. En règle générale, les GMO ont chargé la haute direction de la gouvernance de la gestion des risques. Certains ministères ont créé un poste d'agent principal de la gestion des risques qui est responsable de la gestion des risques à temps plein tandis que d'autres GMO ont confié à des comités de la haute direction l'élaboration de stratégies de gestion des risques. La plupart des ministères font aussi appel à leurs structures de gouvernance en place pour coordonner l'élaboration du PRO, en établissant des attentes et des échéances. Par contre, quelques GMO n'ont toujours pas défini leurs structures de gouvernance pour la gestion des risques, entraînant ainsi un manque de responsabilisation à cet égard.

Le niveau de communication et de formation liées à la gestion du risque varie entre les GMO. L'efficacité des communications sur la gestion des risques de la haute direction au reste de l'organisation varie. La plupart des GMO comptent sur des groupes opérationnels ou régionaux pour faire connaître leurs stratégies de gestion des risques. Quelques-uns d'entre eux ont veillé à ce que les communications et les activités correspondent aux objectifs organisationnels de gestion des risques. La plupart des GMO offrent une formation sur la gestion des risques. Certaines de ces formations adoptent une formule de discussion générale sur le concept de gestion des risques, alors que d'autres sont conçues pour être des outils pratiques pour la mise en œuvre des stratégies de gestion des risques de l'organisation.

Les GMO prévoient procéder à des examens annuels de leurs pratiques de gestion des risques. Nous avons trouvé des éléments de preuve montrant que les GMO ont commencé à vérifier régulièrement la pertinence de leurs PRO. En fait, la plupart des GMO se sont engagés à passer en revue leur PRO chaque année. Mais comme une grande partie d'entre eux vient tout juste d'établir leur PRO, il n'existe pas encore d'éléments de preuve pour ce cycle d'examen.

Grâce au soutien de la gestion des risques par la haute direction, il est possible que les GMO parviennent à instaurer des stratégies de gestion des risques qui perdureront. Les pratiques exemplaires recommandent qu'une organisation élabore une politique exposant en détail à quels postes au sein de l'organisation incombera la gestion des risques et quels seront les rôles et les responsabilités s'y rattachant (divisé par sous-activités). Certains GMO demandent à leurs comités de vérification externe de les aider à réaliser des examens de leurs processus de gestion des risques ou le rendement de leur PRO. Certains ont aussi mis en place un calendrier annuel pour que le comité de vérification discute régulièrement de la gestion des risques.

Recommandations

1. La majorité des GMO ont déjà mis sur pied des structures de gouvernance de la gestion des risques organisationnels; ceux qui ne l'ont pas fait devraient attribuer à des personnes ou à des groupes de personnes à l'échelon de la haute direction les rôles et responsabilités de gestion des risques organisationnels.

2. Les GMO devraient examiner leurs PRO chaque année afin de veiller à ce qu'ils prennent toujours en compte les risques pertinents et réels.

Constatation 2 : Systèmes et pratiques

L'élaboration et la mise en œuvre des systèmes et des pratiques de gestion des risques organisationnels dans les GMO en sont à leurs premières étapes.

Nous avons examiné les processus d'identification des risques utilisés par les GMO et les outils soutenant la gestion du risque. L'analyse du contexte est un outil d'identification des risques classique qui comprend une série d'évaluations approfondies des dangers et des occasions à l'interne et à l'externe. Nous avons examiné cet outil afin de savoir s'il permettait d'intégrer les observations à l'échelle de l'organisation de manière à tenir compte de l'information de tous les secteurs d'activités pour l'identification et la gestion des risques. L'échelle des probabilités et des répercussions est un autre outil d'identification des risques qui évalue la probabilité qu'un risque se concrétise et la gravité de ses répercussions sur l'organisation. Cependant, il faudrait peaufiner davantage les échelles de probabilité et de répercussion pour déterminer la tolérance au risque d'une organisation. Les organisations peuvent décider qu'elles ne peuvent tolérer les risques qui auraient des répercussions majeures, même si ceux-ci sont improbables. Elles auraient alors à concevoir des mesures d'atténuation des risques dans ces secteurs. La tolérance au risque varie d'une organisation à l'autre. Cependant, la tolérance doit être définie et doit être comprise de manière uniforme pour que des mesures d'atténuation puissent s'appliquer dans tous les secteurs.

Nous nous attendions à ce que les outils existants, par exemple les analyses du contexte, servent à recueillir de l'information sur les risques à l'échelle d'un GMO. Ces outils intégreraient l'information de toutes les directions et de tous les secteurs d'activités, en corrélation avec les objectifs des GMO. Nous nous attendions aussi à ce que des processus définis soient en place pour mener les exercices d'identification des risques afin de s'assurer que les processus étaient complets et prêts à être appliqués de manière uniforme. Il faudrait mettre au point des méthodes pour concevoir une stratégie de gestion des risques et veiller à ce que toutes les personnes participant à l'exercice les comprennent.

Les systèmes et les processus de gestion des risques organisationnels sont importants parce que les risques sont présents dans tous les secteurs d'un GMO, qui devraient tous participer à l'identification des risques et à l'élaboration d'une stratégie de gestion des risques. Tous les gestionnaires et les employés dans l'ensemble de l'organisation devraient être en mesure de cerner facilement les risques identifiés et de mettre en œuvre les stratégies d'atténuation des risques dans leur secteur d'activités. De plus, l'identification des risques devrait réunir tous les risques dans une stratégie cohésive. Il faut repérer les risques de tous les secteurs de l'organisation et en tenir compte, mais la stratégie au niveau national risque fortement de se fragmenter et d'échouer sans une coordination centrale. De plus, la tolérance au risque doit être clairement définie, comprise et communiquée dans l'ensemble de l'organisation pour faire en sorte que tous les gestionnaires aient recours aux mêmes hypothèses de gestion des risques et qu'ils affectent leurs ressources en conséquence.

L'intégration des risques encourus par la direction aux risques organisationnels varie d'un GMO à l'autre. Bien que la plupart des GMO aient recours à de vastes consultations à l'échelle de leurs organisations pour intégrer un nombre important de risques, certains GMO accordent plus d'importance aux risques quotidiens et à ceux encourus par leur direction qu'aux risques à moyen et à long terme qui touchent l'ensemble de l'organisation. Par conséquent, de nombreux exercices d'identification des risques n'ont pas de vision coordonnée et ne concernent que les risques internes. De plus, peu de GMO tiennent compte des risques externes dans leurs stratégies d'atténuation. Certains ministères utilisent des analyses du contexte structurées pour s'assurer d'avoir cerné tous les risques internes et externes.

La tolérance au risque est mal comprise dans les GMO. La plupart des GMO ont élaboré des échelles de probabilité et de répercussion pour les aider à fixer l'ordre de priorité de leurs mesures d'atténuation des risques. Cependant, l'utilisation de la tolérance au risque pour déterminer le seuil des risques inacceptables et qui exigent par conséquent un attention immédiat reste généralement indéfini. À défaut d'une compréhension de la notion de la tolérance au risque commune à l'ensemble de l'organisation, les gestionnaires et les employés sont amenés à définir individuellement la tolérance au risque, une approche pouvant s'éloigner des principes de la gestion des risques organisationnels ou des valeurs canadiennes. Certains GMO ont demandé des lignes directrices supplémentaires, étant donné qu'il n'y a pas eu beaucoup de coordination à l'échelle de la collectivité.

Recommandations

3. Les GMO devraient s'assurer que le processus d'identification des risques organisationnels englobe les risques encourus par la direction et par l'ensemble de l'organisation, et qu'il cerne aussi les risques externes. Il faudrait structurer ce processus et l'intégrer dans leurs outils d'analyse des risques, comme les analyses du contexte.

4. Les GMO devraient faire en sorte qu'il existe une compréhension uniforme de la notion de tolérance au risque et qu'elle soit communiquée à l'échelle de l'organisation.

Constatation 3 : Planification opérationnelle et stratégique

La gestion des risques opérationnels n'est pas directement intégrée à la planification opérationnelle et stratégique.

Nous avons examiné les plans opérationnels et stratégiques des GMO pour déterminer si la gestion des risques avait été intégrée dans la planification et les activités organisationnelles. Nous nous attendions à ce que les stratégies de gestion des risques soient élaborées avant le cycle annuel de planification opérationnelle afin de veiller à ce que le plan opérationnel en tienne compte. L'établissement du PRO devrait faire partie d'un cycle d'activités préétabli, intégré au processus global. Lier le PRO aux objectifs opérationnels et stratégiques d'une organisation permettra d'harmoniser la stratégie de gestion des risques avec ses activités opérationnelles.

Puisque le PRO est conçu pour favoriser l'atteinte des objectifs organisationnels, il est un élément important du plan opérationnel annuel d'une organisation. Si le PRO est élaboré avant la mise en œuvre du plan opérationnel, il devient possible d'intégrer les stratégies d'atténuation des risques dans les activités prévues pour l'exercice. La pleine intégration d'un PRO à la planification opérationnelle aide à garantir que les stratégies d'atténuation des risques sont opérationnelles et que les ressources sont réparties efficacement pour mettre en œuvre les stratégies. Cette intégration accroît la probabilité que la gestion des risques passe d'une stratégie à une pratique adoptée par les gestionnaires et les employés dans l'ensemble de l'organisation.

La plupart des GMO établissent leurs PRO trop tard dans l'exercice pour les intégrer aux plans opérationnels de leurs organisations. Bien que la plupart des GMO indiquent qu'ils souhaitent intégrer leurs PRO à leurs plans opérationnels, peu, jusqu'ici, y sont parvenus. Seuls quelques PRO ont été élaborés suffisamment rapidement pour le cycle de planification opérationnelle de 2009-2010, ce qui a entravé l'intégration des stratégies d'atténuation des risques aux activités opérationnelles. De nombreux GMO ont manifesté leur intention d'intégrer pleinement les deux processus dans un futur prochain.

Recommandation

5. Les GMO devraient élaborer, achever et approuver leurs profils de risque des organisations au début de l'exercice et les intégrer au processus de planification opérationnelle.

Constatation 4 : Surveillance et rendement

Les GMO n'ont toujours pas établi un processus officiel pour faire rapport sur le rendement en matière de gestion des risques organisationnels.

Nous avons examiné les processus établis par les GMO pour surveiller le rendement en matière de gestion des risques, notamment les processus annuels de planification opérationnelle, les éléments de preuve d'examens périodiques par les responsables de la gouvernance de la gestion des risques et les rapports ministériels sur le rendement (RMR) annuels. La surveillance représente normalement l'étape finale d'un processus de gestion des risques à maturité. Une fois que l'élaboration et la mise en œuvre de la stratégie de gestion des risques sont chose faite, son rendement est évalué pour s'assurer qu'elle satisfait aux besoins de l'organisation.

Nous nous attendions à ce que les rapports sur le rendement indiquent clairement le rendement d'une organisation en matière de gestion des risques par rapport à ses objectifs opérationnels et stratégiques. Nous escomptions que les rapports sur le rendement établissent si les stratégies d'atténuation des risques avaient aidé une organisation à atteindre ses objectifs.

Il est impossible de déterminer dans quelle mesure une organisation atténue les risques qui menacent ces objectifs opérationnels si le rendement n'est pas mesurable. Il est aussi important d'officialiser et de documenter les exigences et les processus au chapitre de la mesure du rendement afin que toute l'organisation soit au fait des attentes et des résultats.

Les GMO ne font pas rapport sur le rendement de leurs stratégies d'atténuation des risques. Même si les PRO sous-jacents sont souvent directement liés aux objectifs stratégiques d'une organisation, les RMR ne donnent habituellement pas de détails sur l'efficacité des stratégies de gestion des risques. Quelques GMO indiquent leur rendement en matière de gestion des risques dans leurs RMR, alors que d'autres font aussi allusion à la gestion des risques, mais sans description détaillée de leur rendement. La plupart des GMO ne mentionnent pas la gestion des risques dans leur RMR de manière significative. Comme la plupart des GMO définissent leurs stratégies de gestion des risques indépendamment de leurs plans opérationnels, les rapports sur le rendement reflètent généralement les résultats des activités opérationnelles, mais pas les activités liées à la gestion des risques qui ont contribué à ces résultats.

Peu de ministères disposent d'un processus officiel pour les PRO depuis suffisamment longtemps pour l'avoir intégré aux activités de rapport sur le rendement organisationnel. Au 31 décembre 2008, moins de la moitié des GMO inclus dans la vérification avait un PRO approuvé et à jour. Bien que les GMO se soient généralement engagés à élaborer un PRO, les progrès accomplis à l'égard de la présentation de rapports sur le rendement ne sont pas apparents pour l'instant.

Recommandation

6. Les GMO devraient intégrer le rendement de la gestion des risques organisationnels dans le Rapport ministériel sur le rendement pour s'assurer de rendre compte de l'efficacité du profil de risque organisationnel.

Conclusion

Dans l'ensemble, même si les GMO ont déployé des efforts concertés pour établir leur PRO, l'harmonisation de leurs efforts pour identifier et atténuer les risques organisationnels reste à faire. La plupart des GMO ont mis au point des modèles de gouvernance pour la gestion des risques organisationnels qui permettront de mettre en place une approche coordonnée et uniforme à la gestion des risques. Les systèmes et les pratiques de gestion des risques organisationnels des GMO ne sont pas encore entièrement à point et auront besoin d'être améliorés. La plupart des GMO doivent encore intégrer leur PRO à leurs plans opérationnels et stratégiques pour achever la mise en œuvre. Enfin, les rapports sur le rendement au chapitre de la gestion des risques organisationnels restent une activité à venir pour la plupart des GMO.

Plans d'action de la direction

Les constatations et les recommandations de la présente vérification ont été présentées à chaque ministère et organisme visé par la vérification. Les résultats et les recommandations de la vérification ont suscité des réactions positives parmi les fonctionnaires responsables des GMO. Le Secteur de la vérification interne du Bureau du contrôleur général a demandé aux dirigeants principaux de la vérification de veiller à ce que la direction de leurs ministères et organismes respectifs prépare des plans d'action de la gestion et de les faire entériner par les comités de vérification de leurs organismes et ministères. Il y a de fortes raisons de croire que des améliorations seront apportées. Les comités de vérification des organismes et des ministères recevront périodiquement des rapports de la direction sur les mesures prises dans les cas où des plans d'action de la gestion sont en place.

Les administrateurs généraux des GMO qui ont été exclus de la vérification tiendront compte des résultats de cette vérification interne horizontale et élaboreront des plans d'action de la direction, selon les besoins. Ils peuvent aussi choisir de donner des instructions au sujet de cette vérification aux comités de vérification de leur ministère ou organisme.

Annexe 1 : Ministères et organismes inclus dans la mission de vérification

  • Affaires étrangères et Commerce international Canada
  • Affaires indiennes et du Nord Canada
  • Agence canadienne de développement international
  • Agence canadienne d'inspection des aliments
  • Agence de développement économique du Canada pour les régions du Québec
  • Agence spatiale canadienne
  • Gendarmerie royale du Canada
  • Parcs Canada
  • Pêches et Océans Canada
  • Ressources humaines et Développement des compétences Canada
  • Transports Canada
  • Travaux publics et Services gouvernementaux Canada
  • Statistique Canada

Annexe 2 : Objectifs et critères connexes

L'objectif de la vérification était de déterminer si des systèmes et des pratiques de gestion des risques organisationnels, plus particulièrement ceux associés aux profils de risque organisationnel (PRO), sont en place afin de confirmer l'existence de stratégies d'identification et d'atténuation des risques dans le cadre des activités des grands ministères et organismes (GMO).

Objectifs Critères

Déterminer si des processus et des systèmes efficaces et efficients sont en place pour soutenir l'élaboration de PRO, notamment l'identification, l'évaluation et l'établissement de l'ordre de priorité des risques.

  • Un GMO devrait avoir une approche et des processus efficaces et documentés pour élaborer son PRO.
  • Un GMO devrait disposer d'une structure de gouvernance officielle pour guider l'élaboration de son PRO.

Déterminer si les processus et les systèmes en place répondent efficacement à l'évolution du contexte en matière de risque.

  • Un GMO devrait avoir des processus et des systèmes en place pour continuellement améliorer, peaufiner et mettre à jour son PRO.

Déterminer si des liens efficaces existent entre les PRO, les objectifs organisationnels et la mesure du rendement.

  • Un GMO devrait harmoniser et intégrer son PRO à sa planification opérationnelle et stratégique.
  • Un GMO devrait harmoniser et intégrer son PRO aux rapports sur la mesure du rendement.

Annexe 3 : Cotes de risque des recommandations

Le tableau suivant présente les recommandations et leur attribue une cote de risque élevée, moyenne ou faible. La cote de risque a été déterminée selon les priorités relatives des recommandations et la mesure dans laquelle celles-ci indiquent une absence de conformité aux principes du Cadre de gestion intégrée du risque (CFIR).

Recommandations Niveau de priorité

1. La majorité des GMO ont déjà mis sur pied des structures de gouvernance de la gestion des risques organisationnels; ceux qui ne l'ont pas fait devraient attribuer à des personnes ou à des groupes de personnes à l'échelon de la haute direction les rôles et responsabilités de gestion des risques organisationnels.

Élevé

2. Les GMO devraient examiner leurs PRO chaque année afin de veiller à ce qu'ils prennent toujours en compte les risques pertinents et réels.

Moyen

3. Les GMO devraient s'assurer que le processus d'identification des risques organisationnels englobe les risques encourus par la direction et par l'ensemble de l'organisation, et qu'il cerne aussi les risques externes. Il faudrait structurer ce processus et l'intégrer dans leurs outils d'analyse des risques, comme les analyses du contexte.

Moyen

4. Les GMO devraient faire en sorte qu'il existe une compréhension uniforme de la notion de tolérance au risque et qu'elle soit communiquée à l'échelle de l'organisation.

Moyen

5. Les GMO devraient élaborer, achever et approuver leurs profils de risque des organisations au début de l'exercice et les intégrer au processus de planification opérationnelle.

Élevé

6. Les GMO devraient intégrer le rendement de la gestion des risques organisationnels dans le Rapport ministériel sur le rendement pour s'assurer de rendre compte de l'efficacité du profil de risque organisationnel.

Moyen

Annexe 4 : Liens aux politiques, aux cadres de gestion, aux normes et aux lignes directrices applicables

[1]  Cette vérification a été effectuée en conformité avec les Normes internationales pour la pratique professionnelle de la vérification interne. Toutefois, le Bureau du contrôleur général n'a subi aucune évaluation externe au cours des cinq dernières années et il n'a pas fait l'objet d'une surveillance continue ou d'évaluations internes périodiques de son activité de vérification interne horizontale qui permettraient de confirmer sa conformité aux normes