Audit du Cadre de gestion intégrée du risque Projet AU1417

Table des matières

SOMMAIRE

INTRODUCTION

Ressources naturelles Canada (RNCan) se charge de la gestion d’un large éventail de risques et de possibilités et s’y prépare. Le Cadre stratégique de gestion intégrée du risque (CSGIR) de RNCan fait état de l’approche ministérielle face à la gestion du risque, y compris une vaste gamme d’instruments et d’outils pour soutenir le Ministère dans le cadre de la gestion du risque tant au niveau ministériel qu’au niveau sectoriel.

L’audit du Cadre de gestion intégrée du risque (CGIR) a été approuvé par le sous-ministre (SM) dans le cadre du Plan de vérification axé sur les risques de 2013-2014.

L’objectif de l’audit est de fournir une assurance raisonnable que le CGIR du Ministère et les pratiques connexes sont pertinentsNote de bas de page 1 et qu’ils sont mis en œuvre.

La portée de l’audit englobait le CSGIR de RNCan, les systèmes, les processus et les pratiques utilisés pour la détermination et l’atténuation des risques et la production de rapports à leur sujet, y compris le profil de risque du Ministère (PRM) et les profils de risque des secteurs (PRS) de 2012-2013 et 2013-2014.

POINTS FORTS

Le CGIR du Ministère fournit les éléments fondamentaux nécessaires pour présenter la façon dont l’information sur le risque doit éclairer la prise de décisions. Il existe un centre d’expertise en gestion du risque, qui est le point de contact central pour la fonction. En plus de fournir des outils et du matériel d’orientation pour la fonction, le centre d’expertise offre un soutien systématique aux gestionnaires de programme dans le cadre de l’élaboration des présentations au Conseil du Trésor. De plus, une formation en matière de gestion du risque est offerte au personnel ministériel, y compris la haute direction. Des réseaux établis à RNCan et avec d’autres ministères encouragent l’apprentissage continu et le partage des bonnes pratiques de gestion du risque.

DOMAINES À AMÉLIORER

L’audit a permis de déterminer des possibilités d’amélioration dans les domaines suivants :

  • Clarification des rôles, des responsabilités et des pouvoirs;
  • Amélioration de l’uniformité des processus dans les secteurs;
  • Intégration plus systématique de l’information sur le risque au niveau sectoriel dans le PRM;
  • Élaboration d’un cadre officiel de mesure du rendement en matière de gestion du risque.

CONCLUSION DE L’AUDIT ET OPINION

Dans l’ensemble, la Direction de l’audit peut fournir une assurance raisonnable que le CGIR du Ministère et les pratiques connexes sont pertinents et mis en œuvre.

À mon avis, la gestion intégrée du risque de RNCan est satisfaisante; cependant, des améliorations sont recommandées afin de renforcer davantage cette fonction.

ÉNONCÉ DE CONFORMITÉ

Selon mon jugement professionnel en tant que dirigeant principal de la vérification, l’audit est conforme aux normes d’audit interne du gouvernement du Canada, tel qu’appuyé par les résultats du programme interne d’assurance de la qualité et de l’amélioration.

Christian Asselin, CPA, CA, CMA, CFE
Dirigeant principal de la vérification

REMERCIEMENTS

L’équipe d’audit tient à remercier les personnes qui ont participé au projet et, plus particulièrement, les employés qui ont présenté leurs points de vue et leurs commentaires dans le cadre du présent audit.

INTRODUCTION

La gestion du risque est un élément fondamental d’une saine gestion publique. Dans un environnement dynamique et complexe, les organisations doivent être en mesure de reconnaître et de comprendre les nouveaux défis et de nouvelles possibilités, de s’y adapter et d’en tirer profit. La gestion efficace du risque contribue à améliorer la prise de décision et l’affectation des ressources, en plus d’offrir somme toute des résultats optimaux à la population canadienne.

Le CSGIR du Secrétariat du Conseil du Trésor (SCT) est un instrument stratégique clé qui présente une approche fondée sur les principes pour la gestion du risque à l’intention de toutes les organisations fédérales. Le CSGIR réaffirme la responsabilité des administrateurs généraux au chapitre de la gestion efficace de leurs organisations respectives dans tous les domaines, y compris la gestion du risque, et décrit les attentes aux fins d’une pratique efficace en matière de gestion du risque. Compte tenu des impératifs opérationnels et stratégiques, RNCan a adopté la gestion intégrée du risque. Le Ministère est un organisme vaste et diversifié et, en tant que tel, il doit gérer un large éventail de risques et de possibilités et s’y préparer. Le CSGIR de RNCan, mis en œuvre en 2011, fait état des résultats prévus du Ministère et présente une approche de haut niveau en matière de gestion du risque. Le cadre établit la prémisse suivante :

  • une approche de gestion du risque à l’échelle organisationnelle est intégrée à l’établissement des priorités stratégiques, à la prise de décision, à l’élaboration de politiques, à la gestion de projets, à la planification des activités, à l’affectation des ressources, à la gérance financière, aux opérations, à la production de rapports sur le rendement et aux exigences extérieures;
  • les pratiques en matière de gestion du risque sont enchâssées dans les structures organisationnelles, et une culture organisationnelle sensibilisée au risque est favorisée, culture dans laquelle les employés, les gestionnaires et les cadres supérieurs participent à des échanges continus sur les risques et la gestion du risque;
  • la détermination des risques, l’évaluation et les processus de réaction sont efficaces, continus et cohérents dans l’ensemble de l’organisation, et ils sont clairement communiqués aux bureaux internes, aux comités et aux employés ainsi qu’aux partenaires externes et aux intervenants;
  • la haute direction est régulièrement informée des risques nouveaux et courants et des réactions au risque, et elle est consultée au sujet des mesures qui pourraient être prises pour mieux gérer les risques et se préparer aux conséquences que les risques peuvent entraîner.

Le Secteur de l’intégration des sciences et politiques (ISP), à RNCan, coordonne divers processus à l’appui de la détermination et de la gestion des risques ministériels (qui, entre autres, ont conduit à la production du PRM). De plus, ISP collabore avec d’autres autorités fonctionnelles du SGSI qui exercent aussi des fonctions ministérielles liées au risque. Finalement, il fournit aux employés de RNCan de l’information, des outils et des ressources liés à la gestion du risque par le truchement de son « Centre d’expertise en gestion du risque ».

Le PRM fait état des principaux risques stratégiques, externes et opérationnels du Ministère, en plus de présenter les stratégies d’atténuation et les responsabilités principales. Le PRM est en place depuis 2009. Ce document, qui est mis à jour au moins une fois l’an, mais aussi très souvent deux fois par année, présente une vue d’ensemble des risques les plus pressants qui se posent à RNCan, ainsi que les mesures prises pour les atténuer. Le plus récent PRM a été mis à jour en novembre 2013 et fait état de 12 risques et des stratégies d’atténuation connexes.

Au niveau sectoriel, chaque secteur a la responsabilité de produire un PRS qui présente les risques de chacun et les stratégies d’atténuation respectives. Ce document fait partie du Plan d’activités intégré de chaque secteur, dans lequel sont présentés les risques qui constituent des apports importants dans le cadre de la planification et du processus décisionnel du secteur.

La gestion intégrée du risque à RNCan a obtenu la cote « acceptable » dans le cadre du Cadre de responsabilisation de gestion (CRG) du SCT au cours des trois dernières années. Bien que RNCan ait, en règle générale, un rendement satisfaisant dans ce domaine de gestion, le SCT a fait état, dans son évaluation de 2012-2013, d’améliorations possibles, soit clarifier les responsabilités et accroître la clarté en plus d’améliorer l’évaluation et les rapports sur les risques ainsi que les réactions au risque.

BUT ET OBJECTIFS DE L’AUDIT

L’objectif de l’audit est de fournir une assurance raisonnable que le CGIR du risque du Ministère et les pratiques connexes sont pertinentsNote de bas de page 2 et qu’ils sont mis en œuvre.

RISQUE POUR LE MINISTÈRE

Un audit interne du CGIR faisait partie du Plan de vérification axé sur les risques de 2013-2014 et a été approuvé par le SM. Aucun audit de la gestion du risque dans l’ensemble du Ministère n’a été effectué par le passé.

Une approche fondée sur le risque a servi à l’établissement des objectifs, de la portée et de l’approche utilisés pour cette mission d’audit. Voici un résumé des principaux risques sous-jacents qui ont été pris en considération :

  • Risque que les responsabilités en matière de gestion du risque ne soient pas claires;
  • Risque que les liens entre les risques sectoriels et ministériels soient minimaux;
  • Risque que des mesures du rendement minimales soient en place pour déterminer l’efficacité des processus ou des stratégies d’atténuation dans le cadre de la gestion du risque;
  • Risque que les leçons apprises sur la gestion du risque ne soient pas rigoureusement déterminées ni appliquées.

PORTÉE

La portée de l’audit englobe le CSGIR de RNCan, les systèmes, les processus et les pratiques utilisés pour la détermination et l’atténuation des risques et la production de rapports à leur sujet, y compris les PRM et les PRS de 2012-2013 et 2013-2014.

L’audit ne comprenait pas : l’évaluation du caractère approprié des risques dont font état le PRM ou les PRS; le caractère approprié des niveaux de risque et des évaluations des risques réels établis par la direction et le Comité de gestion des urgences, de sécurité et de planification de la continuité des activités (CGUSPCA). Le CGUSPCA sera inclus dans l’audit du Cadre de gestion des urgences et des catastrophes, comme indiqué dans le Plan de vérification axé sur les risques de 2013-2016.

DÉMARCHE ET MÉTHODE

La démarche et la méthode utilisées sont conformes aux Normes relatives à la vérification interne au sein du gouvernement du Canada, incluant les normes internationales pour la pratique professionnelle de la vérification interne définies par l’Institute of Internal Auditors. Ces normes exigent que l’audit soit planifié et exécuté de manière à donner l’assurance raisonnable que les objectifs de l’audit sont atteints.

L’audit comportait divers tests afin de donner l’assurance nécessaire. Les auditeurs internes ont effectué l’audit de façon indépendante et objective, comme le définissent les Normes relatives à la vérification interne au sein du gouvernement du Canada.

La méthode d’audit était basée sur les normes d’audit interne et comprenait les éléments suivants :

  • Un examen des politiques, directives ou cadres applicables du Conseil du Trésor et du Ministère concernant la gestion du risque;
  • Un examen et une analyse de la documentation liée à la prise en compte du risque dans le processus décisionnel au niveau de la haute direction;
  • Un examen et une analyse de la documentation pour l’évaluation des processus liés aux activités de gestion du risque du Ministère et des secteurs;
  • Des entrevues avec des représentants prenant part à la gestion du risque dans tous les secteurs, y compris ISP.

De plus, la Direction de l’audit s’est chargée de la coordination entre l’équipe d’audit et le personnel des autres Directions au cours de l’élaboration du Plan de vérification axé sur les risques de 2014-2017 afin d’éviter les dédoublements, lorsque possible.

CRITÈRES

Les critères d’audit utilisés sont tirés des sources suivantes : Guide de gestion intégrée du risque du SCT, Modèle de la capacité en matière de gestion des risques du SCT, Critères de vérification liés au Cadre de responsabilisation de gestion : outil à l’intention des vérificateurs internes du Bureau du contrôleur général et l’International Professional Practices Framework - Practice Guide on Assessing the Adequacy of Risk Management using ISO 31000 de l’Institute of Internal Auditors. Ces critères ont été approuvés par la direction, avant le début de l’audit, et sont décrits à l’annexe A.

CONSTATATIONS ET RECOMMANDATIONS

GOUVERNANCE

Constatation générale

On trouve à RNCan les éléments fondamentaux clés nécessaires pour la gestion intégrée du risque. Cependant, l’audit a permis d’établir qu’il fallait clarifier : 1) le rôle du centre d’expertise en tant qu’autorité fonctionnelle principale en matière de gestion du risque; 2) ses relations avec les autres autorités fonctionnelles responsables de secteurs de risque précis; 3) les rôles et les responsabilités des Équipes de gestion sectorielle au chapitre de la gestion du risque.

Observations pertinentes

Rôles et responsabilités

RNCan est une organisation complexe et polyvalente dans laquelle la gestion du risque doit être effectuée par diverses parties. La gestion du risque est essentielle au soutien du processus décisionnel concernant un large éventail de sujets, y compris les décisions liées à la planification des activités, à la gestion des paiements de transfert et à l’affectation des ressources. Pour que les objectifs de gestion du risque du Ministère soient atteints, il faut que les rôles et les responsabilités des parties concernées soient bien définis et bien compris.

L’audit a cherché à établir si un cadre de gouvernance efficace était en place en ce qui concerne la gestion du risque, y compris les rôles clairs, les responsabilités et les mécanismes de surveillance appropriés tant au niveau ministériel qu’au niveau sectoriel.

Au niveau ministériel, l’audit a permis de constater que le CSGIR du Ministère fait état des rôles des principaux intervenants qui assument des responsabilités en matière de gestion du risque. Par exemple, on y trouve une description des rôles du SM, des cadres supérieurs et des gestionnaires. On y trouve aussi une vue d’ensemble des rôles des principaux comités de gestion.

L’audit indique aussi que les membres du Comité exécutif ont des rôles de surveillance intégrale en ce qui concerne la gestion du risque. Ce comité présidé par le SM, dont font partie tous les sous-ministres adjoints (SMA) des secteurs, établit les orientations stratégiques du Ministère et les priorités et il supervise la coordination avec les organismes du portefeuille, y compris les décisions liées à la gestion du risque du Ministère. Les rôles des autres comités responsables de fonctions précises, comme le renouvellement des ressources humaines, la transformation opérationnelle ou la gestion des urgences, sont également précisés.

Au niveau sectoriel, le CSGIR précise que les cadres supérieurs sont responsables de l’évaluation et de la gestion des risques stratégiques et opérationnels associés aux plans, programmes et projets de la Direction ou région dont ils ont la responsabilité. Cependant, l’audit a permis de constater que le CSGIR manquait de clarté quant aux attentes au niveau du rendement et quant au rôle joué par les Équipes de gestion sectorielle pour répondre aux attentes dans leurs domaines respectifs. Par la suite, l’audit a aussi permis de déceler un manque d’uniformité entre les secteurs quant à la façon dont chacun supervise la gestion du risque. La clarté quant aux résultats attendus permettrait d’assurer l’uniformité au niveau du rendement dans tous les secteurs et permettrait une meilleure harmonisation des pratiques de gestion du risque.

En outre, l’audit a permis d’établir que le CSGIR n’énonce pas clairement le rôle d’ISP en tant que principale autorité fonctionnelle en matière de gestion du risque au Ministère. ISP coordonne divers processus à l’appui de la détermination et de la gestion des risques ministériels conduisant à la préparation du PRM et fournit aux employés de RNCan de l’information, des outils et des ressources concernant la gestion du risque par le truchement de son « Centre d’expertise en gestion du risque ».

Les responsabilités relatives à des secteurs de risque ministériels précis sont réparties entre deux secteurs : à savoir ISP et le Secteur de la gestion et des services intégrés (SGSI). Le SGSI est responsable des questions concernant les risques ministériels liés à certains domaines fonctionnels comme la gestion des urgences, la sécurité, les valeurs et l’éthique. De même, ISP est responsable d’autres domaines fonctionnels, comme la politique stratégique et la gestion. Notamment, ceci comprend la production des documents pour le Cabinet, comme les mémoires au Cabinet, les présentations au Conseil du Trésor, les plans d’investissement, et les documents pour le Parlement, comme les rapports sur les plans et les priorités et les rapports de rendement du Ministère.

La responsabilité d’une autorité fonctionnelle pourrait inclure, par exemple, l’élaboration et la communication de la politique en matière de risques, l’établissement de normes et de pratiques communes de même que la coordination des efforts de gestion du risque. L’autorité fonctionnelle pourrait aussi jouer un rôle proactif et de contrôle de la qualité pour aider à déterminer les risques les plus importants pour le Ministère.

L’existence du centre d’expertise est un atout important, celui-ci étant le point de contact unique pour la gestion du risque au Ministère. Cependant, le manque de clarté quant à son rôle en tant qu’autorité fonctionnelle réduit sa capacité à jouer efficacement un rôle au niveau du contrôle de la qualité et à obliger les secteurs et les autres autorités fonctionnelles à adopter des pratiques uniformes de gestion du risque.

Il conviendrait de noter que le centre d’expertise a informé l’équipe d’audit qu’il allait examiner le CSGIR au cours des prochains mois dans le but de clarifier les rôles, les responsabilités et les obligations redditionnelles, suivant les besoins.

Prise en compte du risque dans le processus décisionnel

Le CSGIR du Ministère précise les objectifs et les résultats attendus de la gestion du risque et esquisse l’orientation générale de l’approche globale du Ministère en matière de gestion du risque. Nécessité oblige, il met principalement l’accent sur les éléments fondamentaux plutôt que de fournir une orientation détaillée ou normative. Il expose aussi clairement, à un niveau élevé, la façon dont l’information relative au risque doit éclairer la prise de décision. Précisément, selon l’objectif de la politique, le risque devrait être « intégré à l’établissement des priorités stratégiques, à la prise de décision, à l’élaboration des politiques, à la gestion de projets, à la planification des activités, à l’affectation des ressources, à la gérance financière, aux opérations, à la production de rapports sur le rendement et aux exigences extérieures ». Cet objectif établit la base du processus décisionnel éclairé pour ce qui est du risque. Afin de vérifier si cet objectif stratégique est respecté, l’équipe d’audit a examiné des activités récentes des programmes et des mesures basées sur le financement pour déterminer si le risque était bel et bien pris en compte dans le cadre du processus décisionnel.

L’audit a permis de démontrer que la prise en compte du risque était partie prenante des délibérations précises de la direction à l’appui du processus décisionnel. Notamment, le risque était pris en compte pour les décisions concernant l’affectation des ressources provenant du fonds de réserve ministériel pour s’attaquer aux nouveaux enjeux, de même que pour les décisions relatives à l’exécution des programmes. Chacune des présentations au Conseil du Trésor examinées contenait aussi une section distincte portant sur les risques conformément aux exigences du SCT. Le centre d’expertise fournit systématiquement un soutien aux gestionnaires de programmes dans le cadre de l’élaboration des présentations au Conseil du Trésor.

En outre, dans le cadre de l’exercice annuel de planification de la vérification axée sur les risques de la Direction de l’audit, le SMA de chaque secteur a été rencontré en entrevue afin de recueillir la rétroaction sur les audits envisagés pour la période 2014-2017. Il était évident durant ces entrevues que les SMA avaient une bonne compréhension de leur environnement de risque et de la façon dont la Direction de l’audit pourrait les appuyer afin d’atténuer certains de ces risques par le truchement de projets d’audit précis.

RISQUES ET RETOMBÉES

Le CSGIR et la structure de gouvernance connexe sont importants pour faire en sorte que les objectifs de gestion du risque soient clairs et que l’information sur le risque soit examinée de près et utilisée dans le cadre du processus décisionnel. On y trouve des éléments fondamentaux importants, mais le manque de clarté quant aux rôles et aux responsabilités des Comités de gestion du Secteur pourrait avoir une incidence sur l’efficacité de la gestion du risque au niveau ministériel et au niveau sectoriel.

En outre, le manque de clarté quant au rôle du centre d’expertise en tant que principale autorité fonctionnelle pourrait avoir pour effet de réduire sa capacité à assurer la mise en œuvre de façon uniforme des pratiques appropriées de gestion du risque. Ceci pourrait également avoir un impact sur les mécanismes de contrôle de la qualité en place, d’où des répercussions possibles sur l’efficacité de la gestion du risque au Ministère.

RECOMMANDATIONS

1. Nous recommandons que le sous-ministre adjoint du Secteur de l’intégration des sciences et politiques (SMA, ISP), en consultation avec les parties intéressées pertinentes, mette à jour le Cadre stratégique de gestion intégrée du risque (CSGIR) pour clarifier davantage les rôles, les responsabilités et les pouvoirs du centre d’expertise et ceux des Équipes de gestion sectorielle en matière de gestion du risque.

RÉPONSE, PLAN D’ACTION DE LA DIRECTION ET ÉCHÉANCIER

La direction est d’accord.

En consultation avec les SMA des secteurs et d’autres autorités fonctionnelles en matière de risque à Ressources naturelles Canada (RNCan), le SMA, ISP, et le directeur général, Planification, gestion du rendement et production de rapports (PGRPR), mettront à jour le CSGIR afin de clarifier les rôles, les responsabilités et les pouvoirs d’ISP de même que ceux des secteurs et des autres autorités fonctionnelles en matière de gestion du risque; ils se chargeront de faire approuver la politique révisée par le Comité de la planification et de la production des rapports et de la faire approuver par le Comité exécutif.

Échéance: 30 septembre 2014

APPROCHE INTÉGRÉE

Constatation générale

L’approche de la gestion du risque de RNCan traduit une démarche collaborative faisant participer tous les secteurs du Ministère. Le centre d’expertise offre des outils et une orientation et travaille en étroite collaboration avec les secteurs afin de préparer les principaux documents sur la gestion du risque, comme le PRM. Il a toutefois été relevé des possibilités de renforcer les processus de gestion du risque dans les secteurs, notamment en intégrant davantage l’apport des secteurs, concernant le risque, aux documents ministériels (comme le PRM) qui appuient les processus ministériels d’établissement des priorités, de planification et de production de rapports.

Observations pertinentes

Orientation et processus en matière de gestion du risque

Pour déployer la gestion intégrée du risque de manière uniforme et cohérente, il est essentiel d’avoir et de mettre en œuvre un ensemble commun d’outils, de pratiques et de méthodes pour tous les aspects du cycle de gestion du risque. L’utilisation régulière de tels outils aide l’organisation à intégrer le risque et les stratégies d’atténuation horizontalement et verticalement et rend les processus plus efficaces grâce à des pratiques et des gabarits uniformisés.

L’alignement horizontal des pratiques de gestion du risque dans tous les secteurs du Ministère est essentiel pour garantir que des méthodes uniformes sont utilisées pour la prise en compte du risque dans la prise de décisions. Il est également essentiel de veiller au partage approprié de l’information sur le risque, entre secteurs, car cela permet en fin de compte une prise de décisions plus éclairées. On arrive ainsi à maximiser les gains d’efficacité et à éviter les doubles emplois.

Par ailleurs, l’uniformité entre les secteurs est essentielle pour l’intégration verticale efficace des pratiques de gestion du risque. L’intégration verticale permet de grouper l’information sur le risque produite aux niveaux inférieurs et de la communiquer uniformément à la haute direction. Ainsi, les décideurs de haut niveau obtiennent l’information dont ils ont besoin pour s’acquitter de leurs responsabilités en matière de gouvernance et de prise de décisions.

L’audit a constaté qu’il existe, au niveau du Ministère et des secteurs, divers outils qui appuient les activités de gestion du risque. Au niveau du Ministère, il existe des outils pour la production de documents ministériels clés comme le PRM (par exemple des échelles, des méthodes de classement du risque et d’autres éléments ordinaires du PRM). Au niveau du secteur, le centre d’expertise a élaboré le Guide sur le PRS, qui décrit la démarche générale et fournit un gabarit pour la préparation des PRS. De plus, le centre d’expertise offre d’autres services d’orientation et d’aide aux secteurs, au besoin, pour l’élaboration du PRM et des PRS.

Des outils et des documents d’orientation sont fournis, mais, a noté l’audit, il existe des possibilités de rendre plus uniforme l’élaboration des PRS. Par exemple, l’audit a relevé des pratiques et des procédés variables, d’un secteur à l’autre, dans ces domaines :

  • rigueur de l’actualisation des PRS (p. ex. pour certains, on a effectué des analyses détaillées de la conjoncture; pour d’autres, on a appuyé les mises à jour du profil de risque sur l’information de l’année précédente);
  • recours à des organismes de surveillance pour l’élaboration et l’examen des PRS (certains ne disposent pas d’un organisme de surveillance en bonne et due forme);
  • application des méthodes de classement des risques (tous les PRS ne comportaient pas un classement des risques).

Au niveau ministériel, les risques sont établis en fonction de plusieurs facteurs. On note un « rafraîchissement » régulier des risques ministériels de l’année précédente, les risques identifiés par la haute direction, y compris les discussions tenues par le comité exécutif lors de sa retraite semestrielle, et les risques établis par le truchement d’un examen des risques identifiés au niveau du secteur. On consulte la haute direction au moyen de discussions avec les SMA et des comités de surveillance susmentionnés.

Aucune de ces approches n’est jugée incorrecte; toutefois, une approche de bas en haut pour élaborer le PRM, dans laquelle le PRM est éclairé principalement par exposition aux secteurs, serait considérée comme une bonne pratique. L’approche actuelle peut manquer des occasions de voir une image plus complète de l’information sur les risques découlant des activités du Ministère, ce qui pourrait entraîner des répercussions négatives sur le paysage général des risques ministériels.

Dans ce contexte, une meilleure uniformité intersectorielle pourrait aider le Ministère à intégrer et à aligner plus efficacement la gestion du risque et l’information sur le risque. Cela pourrait permettre une prise de décisions plus éclairée au niveau des secteurs et à celui du Ministère.

Interdépendances

Un autre élément essentiel d’une gestion efficace du risque exige que les organisations travaillent avec les bons partenaires et intervenants pour affronter des menaces et des risques communs. Cela vaut non seulement pour les risques ayant une incidence sur plusieurs secteurs du Ministère, mais aussi pour les risques interministériels touchant à plusieurs organisations.

L’audit a conclu que RNCan travaille avec des partenaires donnés pour gérer de tels risques communs et que les secteurs collaborent également entre eux pour gérer les risques clés.

Au niveau ministériel, RNCan collabore avec d’autres ministères qui partagent des risques ayant une incidence sur lui et ses partenaires. Par exemple, en ce qui concerne le projet de restructuration d’Énergie atomique du Canada limitée (ÉACL), RNCan collabore avec des partenaires comme la Commission canadienne de sûreté nucléaire, Justice Canada et Santé Canada afin d’atténuer solidairement les risques liés à cette restructuration. De même, RNCan est un membre actif du groupe de travail interministériel sur la gestion du risque. Ce groupe de professionnels de la gestion du risque représentant plusieurs ministères fédéraux met en commun les connaissances et l’expérience de ses membres, en plus des pratiques exemplaires et des outils.

L’audit relève l’existence d’un certain nombre de réseaux panministériels représentant tous les secteurs et les groupes au sein desquels se tiennent des délibérations en collaboration. On peut nommer le groupe de travail sur la gestion d’urgence, le groupe de travail sur les dangers, le groupe de planification de la continuité des activités et le comité de transformation des activités. Ces entités permettent l’élaboration d’énoncés des risques, la prestation d’une surveillance nécessaire ou l’élaboration de stratégies d’atténuation pour les risques ministériels pertinents. À titre d’exemple, une partie du rôle du groupe de travail sur la gestion d’urgence, représenté par des cadres supérieurs de tous les secteurs, consiste à déterminer si le Ministère a identifié les bons risques, si ces risques sont harmonisés au PRM ou aux PRS et si des plans appropriés d’intervention d’urgence existent et fonctionnentNote de bas de page 3 . De plus, des groupes de travail comme le réseau de planification ministérielle offrent la tribune nécessaire pour communiquer des pratiques exemplaires et échanger des idées entre secteurs.

RISQUES ET RETOMBÉES

Les conditions relevées ont une incidence sur l’uniformité des procédés de gestion du risque dans l’ensemble du Ministère. Cela peut nuire à la qualité et à la nature complète de l’information contenue dans le PRM et les PRS. En fin de compte, il se peut que la direction ne dispose pas de toute l’information nécessaire pour la prise de décisions, ce qui peut donc réduire sa capacité de se préparer convenablement à certains risques.

RECOMMANDATIONS

2. Il est recommandé que le directeur général, Planification, gestion du rendement et production de rapports du Secteur de l’intégration des sciences et politiques (PGRPR, ISP), mette en place et en œuvre des mécanismes qui garantiront que :

  • tous les secteurs répondent aux attentes communes sur le rendement et qu’ils mettent en œuvre des méthodes adaptées à leur réalité pour l’identification, l’évaluation et l’intervention relatives aux risques;
  • l’information sur les risques provenant des secteurs est davantage utilisée dans les documents de gestion.

RÉPONSE DE LA DIRECTION, PLAN D’ACTION ET ÉCHÉANCE

La direction est d’accord.

Dans le cadre de la mise en œuvre du Cadre stratégique de gestion intégrée du risque (CSGIR) révisé, le sous-ministre adjoint (SMA) ISP, et le directeur général, PGRPR, communiqueront aux secteurs les attentes en matière de gestion intégrée du risque.

Échéance : 30 octobre 2014

S’appuyant sur la pratique selon laquelle les SMA des secteurs sont associés à divers risques dans le profil de risque du Ministère, ce qui facilite l’inclusion d’information sur les risques sectoriels à ce document ministériel, le directeur général de la PGRPR chargera le comité de planification et de production de rapports de relever les possibilités d’utiliser davantage l’information sur les risques sectoriels au niveau ministériel.

Échéance : 31 octobre 2014

MESURE DU RENDEMENT

Constatation générale

Des rapports d’étape sur les stratégies d’atténuation des risques sont fournis régulièrement à la haute direction, mais il serait possible d’améliorer encore la surveillance en élaborant une mesure plus formelle du rendement.

Observations pertinentes

Surveillance du rendement de la gestion intégrée du risque et production de rapports à ce sujet

Le jeu de processus et de pratiques mis en place pour surveiller et mesurer le rendement fait partie intégrante de tout programme ou de toute fonction. Il permet à la direction de déterminer si le programme ou la fonction atteint les objectifs fixés et les résultats visés. Par conséquent, l’audit a cherché à savoir si le Ministère surveille le rendement de son approche de gestion du risque et fait des rapports réguliers sur ses activités de gestion du risque.

L’audit a conclu que le Ministère dispose de plusieurs mécanismes pour surveiller le progrès en fonction des plans d’atténuation et produire des rapports réguliers sur les activités de gestion du risque du Ministère, notamment les suivants :

  • examens annuels, par la direction, du PRM, y compris des mises à jour concernant les risques et les stratégies d’atténuation;
  • mises à jour périodiques à la haute direction au sujet des activités de gestion du risque du Ministère surveillées au moyen du processus de production de rapports et en particulier les examens financiers et non financiers trimestriels; les résultats sont examinés par le comité de planification et de rapport et le comité de direction;
  • mises à jour dans le cadre de divers comités de la haute direction liés aux risques et aux stratégies d’atténuation, selon le cas (p. ex. le Comité de renouvellement des ressources humaines, le Comité de gestion d’urgence et le Comité ministériel de vérification);
  • examen de l’approche de la gestion du risque de RNCan par le Comité ministériel de vérification;
  • publication du rapport sur le rendement du Ministère et du rapport sur les plans et les priorités.

De plus, dans le cadre de l’évaluation du CRG du SCT, la fonction de gestion intégrée du risque du Ministère est évaluée une fois par année. Le Ministère a reçu la note « acceptable » pour la troisième année d’affilée, ce qui indique qu’il répond aux attentes du SCT.

Le Ministère dispose de mécanismes pour surveiller ses activités de gestion du risque, mais l’audit n’a pas trouvé d’indication d’un cadre formel de mesure du rendement permettant d’évaluer l’efficacité de divers aspects de la gestion du risque, et notamment l’efficacité des interventions face aux risques.

Les rapports d’examen financiers et non financiers trimestriels et d’autres rapports périodiques à la haute direction sont utilisés pour déterminer si le Ministère est sur la bonne voie pour atteindre ses cibles de rendement. Cependant, des mesures plus formelles du rendement permettraient au Ministère de mieux déterminer son rendement réel.

RISQUES ET RETOMBÉES

La mesure du rendement et la surveillance des progrès constituent un mécanisme clé de responsabilisation qui aide les personnes chargées de la gestion du risque à apprendre, à s’améliorer et à répondre des ressources consacrées par le Ministère dans ce domaine. L’absence de mesures formelles du rendement limite la capacité du Ministère de déterminer si ses objectifs ont été atteints et si les stratégies d’atténuation et les interventions sont efficaces.

RECOMMANDATIONS

3. Il est recommandé que le directeur général, Planification, gestion du rendement et production de rapports du Secteur de l’intégration des sciences et politiques (PGRPR, ISP), établisse un cadre formel de mesure du rendement pour évaluer l’efficacité des divers aspects de la gestion du risque à Ressources naturelles Canada (RNCan), concernant en particulier l’efficacité des interventions face aux risques.

RÉPONSE DE LA DIRECTION, PLAN D’ACTION ET ÉCHÉANCE

La direction est d’accord.

En consultant les secteurs, le directeur général, PGRPR, élaborera une approche pour évaluer la mesure dans laquelle les interventions permettent d’atténuer les risques.

Échéance : 30 septembre 2014

Dans le cadre de la mise à jour du Cadre stratégique de gestion intégrée du risque et en consultant les secteurs, le directeur général, PGRPR, élaborera une approche pour évaluer l’efficacité de toute la fonction de gestion du risque.

Échéance : 30 septembre 2014

APPRENTISSAGE CONTINU ET AMÉLIORATION

Constatation générale

La formation sur la gestion du risque fait l’objet d’une promotion active auprès du personnel de RNCan, y compris la haute direction, au moyen de diverses formations obligatoires ou facultatives. De plus, RNCan favorise l’apprentissage continu par des réseaux établis, à l’intérieur du Ministère et dans d’autres ministères, afin de partager les pratiques exemplaires de gestion du risque et les leçons apprises.

Observations pertinentes

Pour que la gestion du risque demeure efficace et pertinente dans une organisation, cette dernière doit souscrire à une culture d’amélioration et d’apprentissage continu. Cela suppose notamment d’offrir des occasions de formation, de partager des pratiques exemplaires et des connaissances et de mettre en pratique les enseignements tirés.

L’audit n’a pas permis de répertorier des cours axés expressément sur la gestion du risque, mais il a constaté que la formation sur la gestion du risque fait l’objet d’une promotion active au sein du Ministère. Par exemple, conformément à la Politique en matière d’apprentissage, de formation et de perfectionnement du gouvernement du Canada, tous les gestionnaires nommés pour la première fois doivent suivre certains programmes de formation, y compris des cours de gestion financière et de personnes, à l’École de la fonction publique du Canada. L’équipe d’audit a confirmé que l’on faisait la promotion de la formation obligatoire auprès de la direction et qu’une partie des cours portait sur la sensibilité aux risques et la gestion du risque.

De plus, l’équipe d’audit a également révélé qu’il existe une formation liée à la gestion du risque au niveau de l’employé. Par exemple, tous les employés de RNCan sont tenus de suivre une formation obligatoire en sécurité, ce qui inclut des aspects de la gestion du risque dans certains domaines comme :

  • la sécurité de la gestion de l’information;
  • la sécurité personnelle;
  • la sécurité matérielle;
  • la sécurité des TI.

En plus de la formation officielle fournie, le centre d’expertise offre des présentations en atelier destinées à informer et à instruire les employés et les cadres de RNCan sur la gestion du risque. De plus, le personnel a accès, par le wiki interne, à des publications comme Rôle du gestionnaire dans la fonction publique d’aujourd’hui – Notions élémentaires de la gestion des finances, des personnes, des résultats et de l’information à Ressources naturelles Canada, qui porte notamment sur le rôle de la gestion du risque en planification intégrée.

L’équipe d’audit a eu des entretiens avec des représentants de tous les secteurs, qui ont confirmé qu’ils étaient satisfaits des outils de formation et de soutien fournis par le centre d’expertise.

Un autre élément important de l’amélioration continue est l’existence de réseaux officiels servant à partager l’information sur les risques, les stratégies d’atténuation et les pratiques exemplaires. Comme nous l’avons vu précédemment, plusieurs comités officiels jouent un rôle dans le processus de gestion des risques. Par exemple, en plus des comités de la haute direction, le Réseau de planification ministérielle (RPM) offre aux secteurs un moyen de partager l’information et les pratiques exemplaires pour la planification intégrée des activités, y compris la gestion du risque. Ce comité technique est représenté par tous les secteurs du Ministère et réalise des initiatives de planification ministérielle et de production de rapports, ce qui comprend des activités de gestion du risque.

De plus, l’audit a permis de constater que le Ministère participe activement à des groupes interministériels qui partagent les pratiques exemplaires et les enseignements tirés avec des collègues d’autres ministères. Ainsi, RNCan est un membre actif du groupe de travail interministériel sur la gestion du risque, qui comporte des représentants de 25 ministères et organismes. Le mandat de ce groupe est de partager le savoir et les pratiques exemplaires et de discuter des tendances en gestion du risque dans l’ensemble du gouvernement.

ANNEXE A – CRITÈRES D’AUDIT

Les critères d’audit sont tirés des sources suivantes : Guide de gestion intégrée du risque du SCT, Modèle de la capacité en matière de gestion des risques du SCT, Critères de vérification liés au Cadre de responsabilisation de gestion : outil à l’intention des vérificateurs internes (document du Bureau du contrôleur général) et l’International Professional Practices Framework - Practice Guide on Assessing the Adequacy of Risk Management using ISO 31000 de l’Institute of Internal Auditors.

L’objectif de l’audit est de fournir une assurance raisonnable que le CSGIR du Ministère et les pratiques connexes sont pertinents et qu’ils sont mis en œuvre.

Les critères suivants ont été utilisés pour effectuer l’audit.

Sous-objectifs Critères d’audit
1.0 Le CGR du Ministère est appuyé par une structure de gouvernance efficace dotée de responsabilités claires (rôles et attributions).
1.1 Les rôles, les attributions et les responsabilités liés à la gestion du risque sont définis clairement au niveau du secteur et à celui du Ministère.
1.2 Des organismes de surveillance appropriés sont établis au niveau du secteur et à celui du Ministère et sont chargés de fournir une orientation et une direction et de recommander l’approbation de profils de risque.
1.3 Le Ministère considère que la gestion du risque fait partie de son processus décisionnel.
2.0 Le Ministère utilise une approche intégrée efficace de la gestion du risque.
2.1 ISP offre une orientation claire qui garantit l’uniformité en matière d’identification, d’évaluation et d’atténuation des risques.
2.2 Il existe des liens clairs entre le PRM et les PRS.
2.3 Le processus de gestion du risque est intégré au processus de planification des activités du Ministère.
2.4 Les PRS tiennent compte des interdépendances internes et externes.
2.5 Le PRM tient compte des interdépendances avec des intervenants externes.
3.0 Le Ministère surveille le rendement de son approche de gestion du risque (c’est à-dire son efficacité à gérer les risques) et fait rapport régulièrement sur ses activités de gestion du risque.
3.1 Des indicateurs de rendement sont inscrits dans les activités clés de gestion du risque.
3.2 Le rendement des interventions est mesuré régulièrement et les risques sont actualisés pour refléter les changements, au besoin.
3.3 Le Ministère évalue le rendement de l’approche de gestion du risque de l’organisation afin d’incorporer des améliorations et des enseignements tirés.
3.4 Les progrès des mesures d’atténuation et le rendement général de l’approche ministérielle de gestion du risque sont communiqués à temps à la haute direction.
4.0 Le Ministère favorise la sensibilisation à la gestion du risque en s’engageant activement pour l’apprentissage continu et l’amélioration.
4.1 La formation sur la gestion du risque fait l’objet d’une promotion active auprès du personnel de RNCan, y compris la haute direction.
4.2 La formation en gestion du risque offerte aux secteurs répond aux besoins des secteurs.
4.3 Il existe au Ministère des réseaux informels qui appuient les pratiques exemplaires et l’apprentissage continu.
4.4 Le Ministère participe activement à des groupes interministériels afin de partager les pratiques exemplaires et les enseignements tirés.