Audit de la gestion intégrée des risques rapport final

De : Innovation, Sciences et Développement économique Canada

La présente publication est disponible en ligne à l'adresse https://www.ic.gc.ca/eic/site/ae-ve.nsf/fra/h_03883.html.

Pour obtenir un exemplaire de cette publication ou la demander dans un média substitut (p. ex. braille, gros caractères, etc.), veuillez remplir le formulaire de demande de publications à l'adresse www.ic.gc.ca/Demande de publications ou communiquer avec :

Centre de service Web
Innovation, Sciences et Développement économique Canada
Édifice C.D.-Howe
235, rue Queen
Ottawa, Ont. K1A 0H5
Canada

Téléphone (sans frais au Canada) : 1-800-328-6189
Téléphone (Ottawa) : 613-954-5031
TTY (pour les personnes malentendantes) : 1-866-694-8389
Heures de bureau : de 8 h 30 à 17 h (heure de l'Est)
Courriel : info@ic.gc.ca

Autorisation de reproduction

À moins d'indication contraire, l'information contenue dans cette publication peut être reproduite, en tout ou en partie et par quelque moyen que ce soit, sans frais et sans autre permission d'Innovation, Sciences et Développement économique Canada (ISDE), pourvu qu'une diligence raisonnable soit exercée afin d'assurer l'exactitude de l'information reproduite, qu'ISDE soit mentionné comme organisme source et que la reproduction ne soit présentée ni comme une version officielle de l'information reproduite ni comme une copie ayant été faite en collaboration avec ISDE ou avec son consentement.

Pour obtenir la permission de reproduire l'information contenue dans cette publication à des fins commerciales, veuillez remplir la Demande d'affranchissement du droit d'auteur à l'adresse http://www.ic.gc.ca/eic/site/icgc.nsf/fra/07413.html ou communiquer avec le Centre de service Web mentionné précédemment.

© Sa Majesté la Reine du Chef du Canada, représentée par le ministre d'Innovation, Sciences et Développement économique Canada, 2019.

No de cat. Iu4-235/2019-F-PDF
ISBN 978-0-660-28921-2

Dans le cas des publications produites séparément en anglais et en français, veuillez ajouter ce qui suit : Also available in English under the title Titre de la publication en anglais en italique.

Audit de la gestion intégrée des risques rapport final[PDF - 320 Ko]

Direction générale de la vérification et de l'évaluation

Octobre 2018

Table des matières

Liste des acronymes utilisés dans le présent rapport

CCGDG 
Comité consultatif de gestion des directeurs généraux
CGM
Comité de gestion du Ministère
CMV   
Comité ministériel de vérification 
DGVE
Direction générale de la vérification et de l'évaluation
DPF
Dirigeant principal des finances
DPV
Dirigeant principal de la vérification
GIR
Gestion intégrée des risques
GPPM
Gestion des projets et des programmes ministériels
ISDE
Innovation, Sciences et Développement économique
ISO
Organisation internationale de normalisation
OPIC
Office de la propriété intellectuelle du Canada
PDNO
Programme de développement du Nord de l'Ontario
PERI
Planification et établissement de rapports intégrés
SGI
Sous-ministre adjoint
SMA
Spectrum and Telecommunications Sector
SST
Secteur du spectre et des télécommunications

1.0 Résumé

1.1 Introduction

Le but premier de toute organisation est de réaliser ses objectifs, et le risque correspond à l'incertitude avec laquelle une organisation doit composer lorsqu'elle tente d'atteindre ses objectifs. Il se peut qu'une organisation soit confrontée à des risques internes, qui découlent des activités courantes d'une entreprise, ainsi qu'à des risques externes, qui proviennent de l'environnement opérationnel plus global. La gestion des risques suppose que l'on prend des décisions éclairées sur les risques devant être gérés au lieu de tenter de gérer l'ensemble des risques. Par ailleurs, cette gestion doit être intégrée à la gouvernance, aux structures et aux programmes de l'organisation pour s'assurer que les risques ne sont pas gérés en vase clos.

Le Cadre stratégique de gestion du risque du Conseil du Trésor décrit une approche fondée sur des principes de gestion des risques à l'intention des ministères et des organismes. Une gestion efficace des risques, facilitée par le présent Cadre, permet aux ministères de cerner et de gérer différents types de risques à tous les niveaux de leur organisation, de donner des directives concernant la détermination des niveaux de tolérance aux risques et de prendre des décisions éclairées.

À Innovation, Sciences et Développement économique Canada (ISDE), le processus de gestion des risques est mené à bien dans le cadre d'un processus plus global de planification et établissement de rapports intégrés (PERI) à l'échelle ministérielle sous la direction du Secteur de la gestion intégrée (SGI). Le processus de PERI est un exercice ministériel coordonné conçu pour cerner les priorités clés, les risques et les possibilités qui vient appuyer l'élaboration du Plan d'entreprise ministériel, y compris le Profil de risque de l'organisation.

1.2 Contexte de l'audit

L'objectif de l'audit était de veiller à ce qu'ISDE dispose d'un Cadre de gestion intégrée des risques (GIR) utilisé de manière constante pour la détermination et l'évaluation des risques à des fins de planification, de surveillance et de décisions.

La portée de l'audit était axée sur le Cadre de GIR d'ISDE pour ce qui est des activités de gestion des risques entreprises à l'échelle ministérielle, sectorielle et opérationnelle, entre le 1er avril 2016 et le 30 septembre 2017, notamment les suivantes :

  • les rôles et responsabilités;
  • les processus de gouvernance;
  • les mécanismes de communication;
  • les processus de gestion des risques;
  • les outils de gestion des risques;
  • les activités liées aux initiatives de sensibilisation et d'innovation en matière de gestion des risques.

1.3 Aperçu des résultats de l'audit

Forces

Le Cadre de gouvernance d'entreprise d'ISDE définit le processus de PERI du Ministère, qui englobe les activités de gestion des risques. Un Profil de risque de l'organisation est élaboré chaque année en s'appuyant sur le processus de PERI.

Certaines pratiques exemplaires ont été relevées dans les secteurs, notamment un cadre de gestion intégrée des risques personnalisé et de nombreuses initiatives pour élaborer des activités et des outils de gestion des risques plus officiels. À l'échelle des programmes et des projets, des processus et des outils de gestion des risques sont en place; on a relevé des exemples d'outils utilisés dans les programmes pour traiter de la question de la tolérance aux risques.

Points à améliorer

Les possibilités d'amélioration ci-dessous ont été définies dans le cadre de l'audit. Les obligations redditionnelles, les rôles et les responsabilités se rapportant à la gestion des risques ne sont pas bien définis et ne sont pas compris par l'ensemble des différents secteurs. Aucun processus n'a été mis en place pour intégrer l'information sur les risques à l'échelle sectorielle dans le Profil de risque de l'organisation; il n'existe pas non plus de catégories de risques types ni de directives sur la tolérance aux risques ou les seuils de risque que les secteurs peuvent utiliser quand ils effectuent des évaluations des risques.

Les activités de gestion des risques sont différentes d'un secteur à l'autre; en effet, certains secteurs ont élaboré des processus et des outils sur les risques, tandis que d'autres secteurs comptent des processus informels.

Finalement, on compte peu de directives et de communications venant appuyer les activités de gestion des risques, notamment sur le renforcement de la capacité de gestion des risques; par ailleurs, l'amélioration continue ne fait pas partie intégrante des pratiques de gestion des risques.

1.4 Opinion et conclusion de l'audit

Les activités de gestion des risques se déroulent à l'échelle ministérielle, sectorielle et opérationnelle. Toutefois, il serait avantageux pour le Ministère que l'on accorde une plus grande attention à la gestion des risques, grâce à la mise en place d'un plus grand nombre de processus officiels, de l'ajout de documents et d'une surveillance régulière à l'échelle ministérielle et sectorielle. Il serait également profitable pour le Ministère de recevoir davantage de directives et de communications de la part de la fonction intégrée afin d'étayer les pratiques de gestion des risques des secteurs.

1.5 Réponse de la direction

La direction accepte les constatations énoncées dans le présent rapport et prendra des mesures pour donner suite à toutes les recommandations d'ici au 31 mars 2020.

1.6 Énoncé de conformité

L'audit a été effectuée conformément aux Normes relatives à l'audit interne au sein du gouvernement du Canada, comme en témoignent les résultats du programme d'assurance et d'amélioration de la qualité de la Direction générale de la vérification et de l'évaluation.

space to insert signature

Michelle Gravelle
Dirigeante principale de la vérification
Innovation, Sciences et Développement économique

2.0 Contexte

2.1 Aperçu de la gestion intégrée des risques

Le but premier de toute organisation est de réaliser ses objectifs, et le risque correspond à l'incertitude avec laquelle une organisation doit composer lorsqu'elle tente d'atteindre ses objectifs. Toutes les activités présentent des risques à divers degrés, et les risques peuvent comporter à la fois des menaces et des possibilités. Il se peut qu'une organisation soit confrontée à des risques internes, qui découlent des activités courantes d'une entreprise, ainsi qu'à des risques externes, qui proviennent de l'environnement opérationnel plus global.

La gestion des risques se définit comme étant un ensemble d'activités coordonnées servant à orienter et à contrôler une organisation en ce qui a trait aux risquesNote de bas de page 1. Il s'agit d'établir la meilleure façon de procéder dans des circonstances incertaines par la détermination, l'évaluation, la compréhension et la communication des questions liées aux risques et la prise de décisions à cet égard. La gestion des risques ne signifie pas nécessairement l'évitement des risques dans le cas de menaces; elle doit être perçue comme un élément clé d'un processus décisionnel solide. De plus, la gestion des risques suppose que l'on prend des décisions éclairées sur les risques devant être gérés au lieu de tenter de gérer l'ensemble des risques.

La gestion des risques permet à une organisation :

  • de renforcer la probabilité d'atteindre ses objectifs stratégiques;
  • de favoriser la gestion proactive des risques;
  • d'améliorer la mise à jour des possibilités et des menaces;
  • de se conformer aux exigences juridiques et réglementaires pertinentes ainsi qu'aux normes internationales;
  • d'améliorer son efficacité et son efficience organisationnelles;
  • de renforcer sa gouvernance et ses contrôles internes;
  • d'établir une base fiable pour la prise de décisions éclairées, l'affectation de ressources et la planification.

La gestion des risques ne doit pas se faire en vase clos; on s'attend plutôt à ce que les organisations élaborent, mettent en œuvre et améliorent continuellement un cadre de gestion des risques qui intègre la question de la gestion des risques dans la gouvernance, les structures et les programmes de l'organisation. Le cadre présente le contexte global de la gestion des risques au sein d'une organisation et vient faciliter la compréhension et la communication des risques à l'échelle de l'organisation. Cela englobe les instruments requis à tous les niveaux d'une organisation pour gérer les risques, comme les politiques, les obligations redditionnelles, les ressources, les activités et les mécanismes de déclaration.

Par ailleurs, un cadre de gestion des risques énonce un processus de gestion des risques, qui fournit à une organisation un ensemble précis d'étapes à suivre pour définir, évaluer, atténuer et suivre les risques de manière uniforme. Ce processus doit faire l'objet d'un examen périodique pour vérifier qu'il est toujours pertinent et efficace.

Concrètement, le cadre et le processus de gestion des risques devraient être intégrés à un cycle de planification des activités de l'organisation en vertu duquel les activités de planification définiraient l'orientation stratégique, les priorités et les étapes clés pour l'exécution des programmes et des services. Dans le cadre de ces activités de planification, il faudrait définir, évaluer et classer par priorité les risques, puis prendre une décision afin de cibler les risques devant faire l'objet de mesures d'atténuation. Cette information sur les risques sert ensuite à étoffer le processus d'élaboration des plans opérationnels d'une organisation, y compris les décisions d'investissement. Il faudrait établir des plans d'action pour réagir aux risques, puis intégrer une fonction de surveillance et de production de rapports fondée sur les risques aux activités et aux programmes.

Parmi les bonnes pratiques de gestion des risques, mentionnons la détermination des leçons retenues pour appuyer l'amélioration continue, en apportant des modifications au besoin. Par ailleurs, les résultats du cycle de planification intégrée des activités devraient être communiqués aux intervenants internes et externes afin de favoriser la sensibilisation aux risques, d'offrir des occasions de rétroaction (p. ex. mesure dans laquelle les risques sont cernés adéquatement) et de réunir différents domaines de compétence pour évaluer le risque.

2.2 La gestion des risques au gouvernement fédéral

Le Cadre stratégique de gestion du risque du Conseil du Trésor décrit une approche fondée sur des principes de gestion des risques à l'intention des ministères et des organismes. Le Cadre permet aux ministères de cerner et de gérer différents types de risques à tous les niveaux de leur organisation, de donner des directives dans leur organisation concernant la détermination des niveaux de tolérance aux risques et de prendre des décisions éclairées.

En vertu des principes clés du Cadre, la gestion des risques au gouvernement fédéral doit :

  • appuyer la prise des décisions et le respect des priorités à l'échelle du gouvernement, ainsi que la réalisation des objectifs organisationnels et l'obtention des résultats prévus, tout en maintenant la confiance du public;
  • appuyer la prise de décisions internes en permettant aux organisations de repérer et de gérer les risques associés à leurs propres objectifs et résultats attendus;
  • être adaptée et réagir aux contextes externes et internes de l'organisation, y compris son mandat, ses priorités, sa culture de risques organisationnels, sa capacité de gestion des risques et les intérêts de ses partenaires et intervenants;
  • ajouter de la valeur en tant qu'élément clé du processus décisionnel, de la planification opérationnelle, de l'attribution des ressources et de la gestion des opérations;
  • être transparente, inclusive, intégrée et systématique;
  • assurer un équilibre entre le degré d'intervention en réponse aux risques et les contrôles établis et favoriser la souplesse et l'innovation pour améliorer le rendement et les résultats obtenus.

2.3 La gestion des risques à Innovation, Sciences et Développement économique

À ISDE, les activités de gestion des risques relèvent du Secteur de la gestion intégrée (SGI), tandis qu'un cadre ministériel décrit des processus simultanés à l'échelle ministérielle, sectorielle et fonctionnelle :

  • À l'échelle ministérielle : Cerner, évaluer et atténuer les principaux risques qui pourraient nuire à la capacité d'ISDE de réaliser son mandat ou ses priorités. Ce processus est centralisé et coordonné par le SGI, avec l'aide des secteurs. 
  • À l'échelle sectorielle : Cerner, évaluer et atténuer les risques qui pourraient nuire à la capacité des secteurs de réaliser leurs priorités ou d'atteindre leurs cibles de programme en fonction des besoins opérationnels de chaque secteur. Ce processus est décentralisé; il laisse une marge de manœuvre aux chefs de secteurs quant à la façon de gérer leurs risques en fonction de leurs besoins opérationnels. 
  • À l'échelle fonctionnelle : Les secteurs fonctionnels sont dotés de processus de gestion des risques et de processus décisionnels fondés sur les risques qui sont intégrés à leurs activités quotidiennes, comme le financement sous forme de subventions et de contributions, la gestion de projets et la sécurité. 

Les activités de gestion des risques sont dictées par le processus de PERI, sous la direction du SGI, comme le montre l'Annexe A. Le processus de PERI est un exercice coordonné à l'échelle ministérielle conçu pour cibler les priorités clés, les défis, les risques, les tendances et les possibilités. Le processus de PERI vient étayer l'élaboration du Plan d'entreprise ministériel, qui comporte le Profil de risque de l'organisation d'ISDE.

3.0 À propos de l'audit

Conformément au Plan de l'audit interne axé sur les risques de 2016-2017 à 2019-2020 d'ISDE qui a été approuvé, la Direction générale de la vérification et de l'évaluation (DGVE) a entrepris un audit de la gestion intégrée des risques.

3.1 Objectif de l'audit

L'objectif de l'audit était de veiller à ce qu'ISDE dispose d'un cadre de gestion intégrée des risques (GIR) utilisé de manière constante pour la détermination et l'évaluation des risques à des fins de planification, de surveillance et de décisions.

3.2 Portée de l'audit

La portée de l'audit était axée sur le Cadre de GIR d'ISDE pour ce qui est des activités de gestion des risques entreprises à l'échelle ministérielle, sectorielle et opérationnelle, entre le 1er avril 2016 et le 30 septembre 2017, notamment les suivantes :

  • les rôles et responsabilités;
  • les processus de gouvernance;
  • les mécanismes de communication;
  • les processus de gestion des risques;
  • les outils de gestion des risques;
  • les activités liées aux initiatives de sensibilisation et d'innovation en matière de gestion des risques. 

3.3 Méthodologie

L'audit a été menée conformément aux Normes relatives à la vérification interne pour le gouvernement du Canada.

Selon les risques définis, la DGVE a établi des critères et des sous-critères de l'audit liés à l'objectif global de l'audit (se reporter à l'Annexe B).

La méthodologie utilisée pour la présente audit a exigé la réalisation de diverses procédures pour atteindre l'objectif de l'audit. Parmi celles-ci, on comptait un examen de la documentation, des entrevues, des revues générales, un examen d'un échantillon de dix programmes et de quatre projets pour évaluer les cadres de gestion des risques ainsi que des processus et des outils liés aux risques dans des environnements opérationnels (voir l'Annexe C).

L'échantillon a été sélectionné en vue d'assurer une couverture adéquate des éléments suivants :

  • les Responsabilités essentielles et le Répertoire des programmes d'ISDE tels qu'ils sont énoncés dans le Cadre ministériel des résultats;
  • les programmes contenus dans le Répertoire des programmes dont la valeur dépasse 60 M$;
  • les secteurs fonctionnels;
  • les subventions et les contributions, qui sont sélectionnées selon leur importance relative;
  • les programmes qui ont été peu exposés à des audits.

Les secteurs ont pris part à cette mission dans le but d'évaluer leurs cadres de gestion des risques respectifs, y compris les processus et les outils pour cibler, suivre et atténuer les risques. Les conclusions des audits antérieures ont aussi été passées en revue pour documenter la façon dont la gestion des risques a été évaluée dans les dernières années.

Une rencontre de débreffage a eu lieu avec le dirigeant principal des finances et le sous-ministre adjoint, SGI, le 2 août 2018, pour valider les conclusions qui servent d'assises au présent rapport. Cette séance a également donné l'occasion à l'entité faisant l'objet de l'audit de fournir des précisions et des renseignements supplémentaires concernant les constatations.

4.0 Constatations et recommandations

4.1 Introduction

Cette section présente les constatations détaillées tirées de l'audit de la gestion intégrée des risques. Les constatations sont fondées sur les données probantes et l'analyse tirées de l'évaluation initiale des risques et de l'audit détaillée.

4.2 Gouvernance

À l'échelle ministérielle, il existe un certain nombre de comités de gouvernance; c'est à ce niveau que se tiennent les discussions sur les risques. Toutefois, les obligations redditionnelles, les rôles et les responsabilités se rapportant aux activités de gestion des risques ne sont pas bien définis et ne sont pas compris par l'ensemble des différents secteurs.

La gestion des risques fait partie intégrante de la planification stratégique et opérationnelle puisque les risques correspondent à l'incertitude relative à la capacité d'une organisation d'exécuter son mandat. Le cadre de gouvernance devrait permettre de s'assurer que la gestion des risques facilite l'établissement des priorités et la prise de décisions et qu'elle est pleinement intégrée au processus de planification. Comme pour tous les cadres de gouvernance, les rôles et les responsabilités qui concernent la gestion des risques devraient être bien définis et compris par l'ensemble des parties pour s'assurer que le processus se déroule comme prévu.

ISDE a mis en place un modèle de gouvernance conçu pour garantir que les activités et décisions du Ministère sont gérées de façon cohérente et stratégique. Son objectif est d'appuyer les fonctionnaires du Ministère dans l'exercice de leur responsabilité collective afin d'assurer une gestion solide et stratégique des affaires du Ministère. En vertu de ce modèle, les structures et processus de gouvernance d'entreprise, y compris les comités ministériels principaux et le cycle de planification intégrée des activités du Ministère, deviennent les moyens par lesquels ISDE établit ses priorités organisationnelles, ses stratégies, ses instruments d'intervention et ses processus.

Le Cadre de gouvernance d'entreprise d'ISDE définit à un niveau élevé les rôles et responsabilités des hauts fonctionnaires, y compris du dirigeant principal des finances (DPF), du dirigeant principal de la vérification (DPV) et des chefs de secteurs. Toutefois, les obligations redditionnelles, les rôles et les responsabilités se rapportant à la gestion des risques ne sont pas définis à l'échelle ministérielle ou sectorielle.

Le Cadre définit également les rôles et responsabilités des principaux comités de gouvernance. Les comités de surveillance responsables des discussions sur les risques sont les suivants :

  • Comité de gestion du Ministère (CGM) : assure l'orientation stratégique et la surveillance des politiques, des programmes et des services publics d'ISDE ainsi que la gestion des ressources du Ministère. À titre de principal comité décisionnel du Ministère, est responsable de donner des directives et d'approuver les stratégies, les cadres, les plans et les activités qui sont proposés, y compris les initiatives d'évaluation et d'atténuation des risques.
  • Comité consultatif de gestion des directeurs généraux (CCGDG) : examine les propositions concernant la gestion du Ministère et la gérance de ses ressources (les personnes, les finances, les renseignements, les systèmes et les biens) avant leur examen par le CGM.
  • Comité ministériel de vérification (CMV) : examine et fournit des conseils objectifs et formule des recommandations au sous-ministre concernant le caractère suffisant, la qualité et les résultats en matière de missions d'audit interne quant à la pertinence et au fonctionnement des processus et des cadres de gestion des risques, de contrôle et de gouvernance du Ministère.
  • Réseau des services généraux (RSG) : transmet de l'information sur les stratégies, plans, enjeux, initiatives et investissements ministériels ainsi que sur les priorités et les pratiques de gestion afin que les secteurs soient tenus au courant de l'orientation et des discussions ayant une incidence sur les services généraux au Ministère.

Des discussions sur les risques ont eu lieu au sein de ces comités de gouvernance principaux, l'accent étant alors mis sur la détermination des risques d'entreprise pour le Plan d'entreprise 2017-2018 d'ISDE en tenant compte des activités récentes d'harmonisation au Ministère et de la mise en œuvre du Plan pour l'innovation et les compétences du Canada. Même si les risques présentés dans le Plan d'entreprise ont été consignés dans le cadre de ces discussions, la nature et l'ampleur des discussions sur les risques n'ont pas été documentées.  

Les activités de gouvernance se rapportant à la gestion des risques sont différentes d'un secteur à l'autre. De bonnes pratiques ont été relevées dans le Secteur du spectre et des télécommunications (SST) et à l'Office de la propriété intellectuelle du Canada (OPIC), qui comptent dans les deux cas des responsabilités et des rôles définis ainsi que des décisions documentées concernant la gestion des risques qui ont été prises par leurs comités de surveillance.

Cependant, les rôles et les responsabilités se rapportant à la gestion des risques ne sont pas définis et documentés de façon cohérente dans tous les secteurs et ne sont pas compris par l'ensemble des secteurs. De nombreux secteurs ont l'impression que le SGI est le seul groupe responsable des activités de gestion des risques, et les secteurs ne savent pas exactement en quoi consistent leurs responsabilités lorsqu'il est question de la gestion des risques à l'échelle sectorielle et ne sont pas au courant des attentes relatives à l'exécution d'activités connexes à l'extérieur du processus de PERI. Dans le cadre des entrevues, on a mentionné que les réunions de la haute direction constituaient le principal outil de gouvernance pour discuter des risques dans l'ensemble des secteurs; toutefois, ces discussions n'ont pas été consignées et se sont déroulées sur une base épisodique.

Sans définition claire des responsabilités en matière de gestion des risques à l'échelle ministérielle et sectorielle, la capacité du Ministère de réaliser ses priorités ou d'atteindre ses objectifs stratégiques pourrait être entravée. Par ailleurs, si les rôles et les responsabilités concernant la gestion des risques ne sont pas définis de façon uniforme et ne sont pas généralement compris, les activités de gestion des risques pourraient s'avérer incohérentes, ne pas respecter les objectifs organisationnels ou être inexistantes.

Recommandation 1 (risque modéré) :

Le SGI devrait définir et communiquer les obligations redditionnelles, les rôles et les responsabilités s'appliquant aux activités de gestion des risques à l'échelle ministérielle et sectorielle.

4.3 Processus ministériel de gestion des risques

Il existe un processus d'élaboration du Profil de risque de l'organisation dans le cadre du processus de PERI. Cependant, l'information fournie par les secteurs dans le cadre de ce processus n'est pas mise à profit. De plus, il n'existe pas de catégories de risques types ni de directives sur la tolérance aux risques ou les seuils de risque que les secteurs peuvent utiliser quand ils effectuent des évaluations des risques

Le processus de PERI est un exercice coordonné à l'échelle ministérielle conçu pour cibler les priorités clés, les difficultés, les risques, les tendances et les possibilités. Le processus de PERI vise à faciliter l'exécution des obligations redditionnelles individuelles et collectives par la production de rapports sur les progrès, le rendement et les résultats. La plupart des données stratégiques, financières et opérationnelles qui étoffent les processus de planification et de prise de décisions du Ministère sont recueillies dans le cadre de cet exercice annuel. Cela englobe la gestion des risques, dont les résultats sont repris dans le Plan d'entreprise d'ISDE.

Dans le cadre du processus de PERI, les secteurs font part de leurs commentaires au SGI concernant leurs principaux livrables et des risques propres à leur secteur pour une période donnée. Le processus est géré par l'entremise d'un appel officiel lancé par le SGI aux secteurs, qui comprend des modèles devant être remplis par ces derniers. Ces modèles contiennent des directives générales sur la définition de l'incidence et la probabilité qu'un risque donné survienne. Toutefois, ils n'englobent pas un ensemble type de risques ou de catégories de risques que les secteurs peuvent utiliser quand ils effectuent des évaluations des risques; il n'existe pas non plus de directives sur la tolérance aux risques ou les seuils de risque à l'intention du Ministère qui permettraient d'assurer une uniformité dans le processus de détermination des risques. Par conséquent, le niveau de l'information sur le risque qui est soumis au SGI dans le processus de PERI est différent d'un secteur à l'autre.

La contribution des secteurs sert à étoffer le processus de détermination des risques ministériels devant être intégrés au Profil de risque de l'organisation, comme le montre l'Annexe D, et laisse entendre que la gestion des risques est prise en charge à l'échelle sectorielle. Le Profil de risque de l'organisation énonce les principaux secteurs de risque qui pourraient avoir une incidence sur l'organisation en ce qui a trait à l'atteinte de ses objectifs et présente des plans d'atténuation pour les risques cernés. Dans la pratique, la contribution des secteurs n'est pas analysée ni mise à profit par le SGI, car le Profil de risque de l'organisation d'ISDE est présentement défini en fonction d'un examen des risques de l'organisation de l'année précédente et selon les risques relevés par la haute direction lors des discussions tenues pendant les réunions du CGM et du CCGDG. Une fois les risques ministériels définis, des plans d'atténuation sont élaborés par les secteurs désignés comme étant les propriétaires du risque, puis sont soumis au SGI dans le cadre du processus de PERI. Il n'y a toutefois pas de surveillance des activités d'atténuation des risques ministériels permettant de déterminer si les risques sont gérés efficacement.

En l'absence de catégories de risques types ou de directives sur la tolérance aux risques ou les seuils de risque, il se peut que l'on observe une incohérence dans les activités de définition et de gestion des risques dans l'ensemble du Ministère et que certains risques importants soient oubliés. Le fait de ne pas regrouper ni analyser les renseignements sur les risques sectoriels limite la capacité de cerner stratégiquement les risques qui pourraient avoir la plus grande incidence sur la capacité du Ministère d'exécuter son mandat. Finalement, le fait de ne pas avoir de processus de surveillance des activités d'atténuation pour donner suite aux risques relevés pourrait mener à l'apparition de risques ministériels non gérés.

Recommandation 2 (risque élevé) :

Le SGI devrait élaborer, communiquer et mettre en œuvre une méthode et un processus de définition des risques ministériels qui comportent des catégories de risques types et devrait donner des directives sur la tolérance aux risques et les seuils de risque au Ministère.

Recommandation 3 (risque élevé) :

Le SGI devrait optimiser et analyser l'information fournie par les secteurs pour étoffer le Profil de risque de l'organisation ainsi que pour définir et mettre en œuvre un processus de surveillance des activités d'atténuation des risques ministériels.

4.4 Processus de gestion des risques opérationnels

Les activités de gestion des risques sont différentes d'un secteur à l'autre; en effet, certains secteurs ont élaboré des processus et des outils sur les risques, tandis que d'autres secteurs comptent des processus informels. Des processus et des outils de gestion des risques sont en place à l'échelle des programmes et des outils.

Une harmonisation des pratiques de gestion des risques dans l'ensemble des secteurs, des programmes et des projets ainsi qu'une utilisation cohérente des outils peuvent renforcer la capacité d'une organisation d'intégrer efficacement les risques et des stratégies d'atténuation tant horizontalement que verticalement. Cette vision intégrée encourage une approche par portefeuille pour la gestion des risques et peut contribuer à réduire les processus et la prise de décisions en vase clos. En utilisant un cadre pleinement intégré, on obtiendrait également de l'information sur le rendement ainsi que des résultats ciblés directement associés aux activités d'évaluation et d'atténuation des risques.

Au niveau sectoriel

La cohérence et la maturité des activités de gestion des risques varient d'un secteur à l'autre. Plusieurs pratiques exemplaires ont été relevées, notamment à l'Office de la propriété intellectuelle du Canada (OPIC), où l'on a élaboré un cadre de gestion intégrée des risques qui comporte des obligations redditionnelles portant précisément sur la gestion des risques, comme la conformité et la surveillance, des processus d'intégration pour la gestion des risques avec des outils de consignation des risques, des processus de surveillance, de production de rapports et de communications, une stratégie de gestion des risques et des enjeux dans les programmes ainsi qu'un registre des risques.

D'autres secteurs et Directions générales mènent à bien des initiatives d'amélioration de la gestion des risques, comme le Bureau de la concurrence et Corporations Canada, qui ont chacun établi des processus d'analyse de l'environnement pour faciliter la détermination des risques, ainsi que le SST, qui s'est lancé récemment dans l'élaboration et la mise en œuvre d'un cadre de gestion des risques.

Dans les autres secteurs, les pratiques de gestion des risques sont souvent de nature informelle et, selon les indications reçues, sont appliquées principalement lors des réunions de la haute direction. Par ailleurs, il n'existe pas de cadres sur les risques à l'échelle sectorielle ni de profils de risque sectoriels, au-delà de ceux mentionnés précédemment; par ailleurs, les processus et les outils de gestion des risques qui sont en place sont limités.

S'ils ne disposent pas de cadres sur les risques à l'échelle sectorielle ni de profils de risque sectoriels, les décideurs risquent de ne pas avoir une vue d'ensemble complète et cohérente de l'environnement de risque du Ministère. L'absence de processus et d'outils à l'échelle sectorielle pour définir, évaluer, gérer et surveiller les risques pourrait nuire à la capacité d'une organisation d'intégrer et d'harmoniser efficacement les activités de gestion des risques avec le cadre ministériel.

Au niveau des projets et des programmes

Dans l'ensemble des programmes et des projets composant l'échantillon, on a observé l'utilisation de processus et d'outils servant à intégrer la gestion des risques dans la planification, les opérations et les activités de production de rapports. Dans le cas des programmes formant l'échantillon, des risques ont été relevés dans les présentations au Conseil du Trésor, tandis que des mesures d'atténuation connexes ont été définies dans les accords de contribution. Pour les projets contenus dans l'échantillon, on a défini des risques et inclus des stratégies d'atténuation dans l'outil du système en ligne Gestion du portefeuille ministériel de projets (GPMP).

On a aussi relevé des exemples de définitions bien assimilées de tolérance aux risques dans le cas de certains programmes, dont le Programme de financement des petites entreprises du Canada et le Programme de développement du Nord de l'Ontario (PDNO), qui comportaient des définitions de la tolérance et des mesures d'atténuation connexes. Le PDNO utilise un outil propre au programme qui permet d'évaluer les risques de chaque projet en tenant compte de divers niveaux d'atténuation selon le niveau de risque.

Les programmes et projets de l'échantillon comptaient effectivement des processus et des outils de gestion des risques individuels, mais aucune méthode ni aucun cadre commun n'était utilisé pour intégrer les principaux risques du programme ou du projet aux profils de risque du secteur ou du Ministère. Par ailleurs, l'harmonisation des activités de gestion des risques avec le processus de mesure du rendement pourrait mener à l'établissement de liens plus clairs entre les risques et les résultats attendus des programmes.

En l'absence d'un cadre ou d'un processus commun d'intégration des principaux risques des programmes et des projets, il pourrait s'avérer impossible d'obtenir une image d'ensemble de tous les principaux risques; il se peut également que les efforts visant à classer les activités de gestion des risques par priorité dans l'ensemble du secteur soient restreints. Si les activités relatives aux risques ne sont pas bien ancrées dans les résultats des programmes, il se peut que l'on ne puisse pas rattacher directement les initiatives d'atténuation des risques aux objectifs des programmes.

Recommandation 4 (risque modéré) :

Le SGI devrait élaborer et communiquer des outils pour appuyer des activités de gestion des risques à l'échelle sectorielle qui vont dans le même sens que les activités de planification stratégique.

4.5 Communication et directives

Des outils de communication des risques ont été mis en place dans le contexte du processus de PERI. En dehors de ce processus, il existe peu de directives et de communications venant étayer les activités de gestion des risques et renforcer la capacité de gestion des risques au sein du Ministère.

Des communications et des consultations avec des intervenants doivent avoir lieu à toutes les étapes du processus de gestion des risques. Le responsable du processus amorce le cycle en lançant un appel officiel pour obtenir de l'information; entre-temps, on s'assure grâce à des échanges continus que l'information est exacte et qu'elle est utilisée de façon uniforme dans l'ensemble de l'organisation et qu'il est possible d'obtenir des directives rapidement. L'approche consultative en place contribue à définir adéquatement le contexte, à valider que les intérêts des intervenants sont compris et à bien cerner les risques.

Le processus de PERI est le principal moyen utilisé pour recueillir et intégrer l'information sur les risques dans l'ensemble du Ministère. Le processus est géré par l'entremise d'un appel officiel lancé par le SGI aux secteurs, qui comprend des modèles qui devront être remplis suivant les directives générales sur la présentation de l'information. Les secteurs recueillent de l'information dans l'ensemble des Directions générales et des programmes, puis soumettent la synthèse de cette information au SGI qui, par la suite, élabore le Plan d'entreprise du Ministère. Le SGI communique avec les secteurs pendant le processus d'élaboration du Plan d'entreprise, y compris pour élaborer le Profil de risque de l'organisation et les stratégies d'atténuation. 

Toutefois, les secteurs reçoivent peu de directives, à l'exception des modèles de PERI, ni de conseils pour étayer les pratiques de gestion des risques à l'extérieur du processus de PERI. Les secteurs ont démontré qu'ils ne connaissaient pas bien le cadre de gestion des risques du Ministère, notamment les attentes relatives aux activités de gestion des risques devant être réalisées par les secteurs. Ils ont indiqué qu'ils ne comprenaient pas bien les incitatifs à la gestion des risques du Ministère ni le processus suivi pour intégrer l'information au Profil de risque de l'organisation. Les secteurs ont également fait savoir que, en général, ils ne disposent pas des connaissances ni de la capacité requises pour s'acquitter de la gestion des risques à l'échelle sectorielle.

Par ailleurs, il n'existe pas de processus systématique continu de communication des activités et des priorités en matière de gestion des risques à l'échelle du Ministère, que ce soit horizontalement ou verticalement. Abstraction faite du Plan d'entreprise et du cycle annuel de PERI, l'information sur les risques – comme les résultats des activités d'atténuation des risques ou ceux de toute analyse de l'environnement exécutée à l'échelle ministérielle – n'est pas communiquée aux secteurs.

S'ils ne reçoivent pas des directives et des communications proactives et suffisantes sur les attentes en matière de gestion des risques, il se peut que les secteurs n'appliquent pas de façon uniforme un cadre commun de gestion des risques. Le fait qu'il n'y ait pas de boucle de rétroaction continue entre les secteurs et le SGI pourrait également nuire à la capacité du Ministère d'intégrer l'information sur les risques aux activités de planification stratégique.

Recommandation 5 (risque modéré) :

Le SGI devrait élaborer des directives officielles sur la gestion des risques pour les secteurs et établir un plan de mobilisation afin de vérifier que les directives sont comprises et sont couramment mises en œuvre.

4.6 Amélioration continue

Une tribune a été créée pour permettre aux secteurs de discuter de la gestion des risques et des leçons retenues. Cependant, l'amélioration continue ne fait pas partie intégrante des pratiques de gestion des risques; les occasions de renforcement de la capacité de gestion des risques au sein du Ministère sont restreintes.

Pour être efficace, un processus de gestion des risques doit être dynamique, répétitif et réactif au changement et doit comporter de bonnes pratiques et des leçons tirées. Les organisations devraient élaborer et mettre en œuvre des stratégies pour améliorer leurs activités de gestion des risques, notamment en renforçant la capacité de gestion des risques, en offrant des possibilités de formation, en échangeant de bonnes pratiques et des connaissances et en appliquant les leçons tirées tout au long du cycle de vie du processus de gestion des risques.

Les réunions du Groupe de travail sur la planification sectorielle, qui sont dirigées par le SGI par l'entremise du Réseau des services généraux et qui réunissent des planificateurs de chaque secteur, ont été définies comme étant une tribune d'échange de renseignements sur la gestion des risques. Ces réunions se tiennent sur une base récurrente et offrent la possibilité aux planificateurs des secteurs de discuter du processus de PERI avec le SGI. Le Groupe de travail tient des réunions régulièrement en respectant le calendrier de PERI, y compris une réunion rétrospective de PERI après chaque cycle de planification. Cependant, la mesure dans laquelle la discussion sur la gestion des risques est approfondie ou non n'est pas indiquée dans la documentation ni dans les procès-verbaux de réunions; il n'existe pas non plus de processus permettant de vérifier si les leçons apprises dans les réunions rétrospectives sont appliquées dans le cycle de planification suivant.

Par ailleurs, aucun processus officiel ne permet de confirmer que l'information sur les risques et les processus de gestion des risques sont examinés et mis à jour suivant un cycle régulier dans l'ensemble du Ministère. Il convient cependant de noter que, depuis la tenue de l'audit, le SGI a entrepris un important examen de ses processus et outils de gestion des risques et s'est penché sur la façon dont ceux-ci pourraient être davantage intégrés au cycle de PERI. L'examen est étayé par un plan détaillé accompagné d'étapes clés. On encourage le SGI à mettre en œuvre et à évaluer périodiquement cette nouvelle initiative d'amélioration.

Il serait possible de renforcer davantage les efforts d'amélioration continue et de renforcement des capacités grâce à des activités de formation additionnelles destinées aux responsables de la gestion des risques. Sachant qu'il existe de nombreuses possibilités de formation dans les secteurs public et privé, il pourrait être profitable pour les personnes chargées des risques d'être informées des autres activités de formation disponibles, ce qui pourrait contribuer à établir une solide culture axée sur le risque dans l'ensemble du Ministère.

Si aucune possibilité d'amélioration continue n'est offerte, la capacité du Ministère de se pencher sur les risques qui sont nouveaux ou qui changent pourrait s'avérer limitée; parallèlement, sa capacité de gestion des risques pourrait ne pas atteindre sa maturité complète. L'absence d'un processus d'examen et de mise à jour sur une base régulière des activités de gestion des risques peut nuire à la capacité du Ministère de réagir face à un environnement et à des besoins opérationnels en évolution.

Recommandation 6 (risque modéré) :

Le SGI devrait mettre en œuvre un processus permettant d'examiner les pratiques de gestion des risques d'ISDE sur une base annuelle, de promouvoir les possibilités d'apprentissage et de perfectionnement et de communiquer activement les bonnes pratiques et les leçons tirées à l'échelle du Ministère.

4.7 Réponse et plan d'action de la direction

Réponse et plan d'action de la direction — Vérification de la gestion intégrée des risques rapport final[PDF - 73.9 Ko]

Les constatations et les recommandations faisant suite à l'audit ont été soumises au Secteur de la gestion intégrée. La direction accepte les constatations énoncées dans le présent rapport et prendra des mesures pour donner suite à toutes les recommandations d'ici au 31 mars 2020.

5.0 Conclusion

Les activités de gestion des risques se déroulent à l'échelle ministérielle, sectorielle et opérationnelle. Toutefois, il serait avantageux pour le Ministère que l'on accorde une plus grande attention à la gestion des risques, grâce à la mise en place d'un plus grand nombre de processus officiels, de l'ajout de documents et d'une surveillance régulière à l'échelle ministérielle et sectorielle. Il serait également profitable pour le Ministère de recevoir davantage de directives et de communications de la part de la fonction intégrée afin d'étayer les pratiques de gestion des risques des secteurs.

Annexe A : Processus de planification et établissement de rapports intégré

Figure 1 : 2018-2019 Processus de planification et établissement de rapports intégré

Description de la figure 1

Le schéma de l'annexe A illustre le processus de planification intégré et d'établissement de rapports (PIER) dirigé par le Secteur de la gestion intégrée en 2018-2019.

Les étapes du processus de PIER :

  1. La préparation du Secteur, du mois d'août au mois de septembre : les équipes sectorielles de planification évaluent leur milieu respectif, leur plan d'action et autres considérations stratégiques. Cette activité vient soutenir l'examen de mi-exercice du Plan stratégique et l'établissement des priorités et des risques ministériels.
  2. Réunion du Comité consultatif de gestion des directeurs généraux (CCGDG) du mois d'octobre : discussions sur les priorités ministérielles, les ressources nécessaires et les priorités relatives à la gestion des ressources humaines. Les résultats de ces discussions servent ensuite aux étapes de planification intégrée et d'établissement de rapports.
  3. L'étape 1 de la planification intégrée et de l'établissement de rapports se déroule d'octobre à janvier. Cette étape est divisée en deux parties :
    1. La partie A comprend la collecte d'information concernant les plans, les priorités et les principaux livrables en vue de soutenir l'élaboration du Plan ministériel et des tableaux supplémentaires, ainsi que le Plan stratégique et le Plan de TI.
    2. La partie B comprend la collecte de l'information qui servira à l'élaboration des plans relatifs aux priorités en matière d'investissement, à la gestion de l'information, aux stratégies en matière de RH, à la sécurité et aux plans d'action sur les risques.
  4. L'étape 2 de la planification intégrée et de l'établissement de rapports se déroule de mars à mai. Cette étape est divisée en deux parties :
    1. La partie A comprend la collecte de l'information sur le rendement en fonction des plans et priorités et des risques et investissements définis à l'étape 1, en vue de soutenir la mise à jour de fin d'exercice du Plan stratégique, l'élaboration du Rapport sur les résultats ministériels et le Bilan sur les langues officielles.
    2. La partie B comprend la collecte d'information sur les résultats liées aux indicateurs de rendement, sur les contributions à la Stratégie fédérale de développement durable (SFDD), sur les stratégies relatives aux RH et à la GI, et sur l'approvisionnement auprès des Autochtones.

Annexe B : Critères de l'audit

Audit de la gestion intégrée des risques
Critères de l'audit Sous-critères

1. Le Ministère a établi et mis en œuvre des processus de gouvernance efficaces pour soutenir la gestion intégrée des risques dans l'ensemble du Ministère.

1.1 Les rôles, les responsabilités et les obligations redditionnelles concernant la gestion des risques sont définis, mis à jour et communiqués.

1.2 La gestion des risques fait partie intégrante du cycle de planification et de rapports du Ministère.

1.3 Les résultats de la gestion des risques sont communiqués en temps opportun pour étayer le processus décisionnel.
Gestion des risques
Critères de l'audit Sous-critères

2. Il existe un cadre de gestion des risques doté de processus et d'outils pour cibler, surveiller et atténuer les risques.

2.1 Les processus de gestion des risques d'entreprise du Ministère sont définis et communiqués.

2.2 Des outils de planification fondée sur les risques stratégiques et opérationnels sont en place et sont utilisés de façon systématique pour appuyer les processus.

2.3 Des processus efficaces sont en place à l'échelle sectorielle et fonctionnelle pour cibler, atténuer et surveiller les risques.

2.4 Un processus a été établi afin d'intégrer les profils de risque des secteurs au Plan d'entreprise du Ministère.

2.5 Il existe des mécanismes de communication et des directives sur la gestion des risques dans l'ensemble de l'organisation.
Contrôles internes
Critères de l'audit Sous-critères

3. L'innovation et l'amélioration continue font partie intégrante des pratiques de gestion des risques.

3.1 3.1 L'information sur les risques et les processus sont examinés et mis à jour sur une base continue.

3.2 Le Ministère et les secteurs participent activement à l'échange de pratiques exemplaires et de leçons tirées avec des intervenants internes et externes.

3.3 Les possibilités de formation sont annoncées et sont imposées aux employés occupant des fonctions pertinentes.

Annexe C : Échantillon de l'audit

Secteurs fonctionnels Programmes sélectionnés

Conseils et analyse des politiques

  • Politique d'entrepreneuriat
  • Politique de l'entreprise et analyse
Programmes (subventions et contributions)
  • Futurpreneur
  • Programme de développement du nord de l'Ontario (PDNO)
  • Fondation canadienne pour l'innovation
  • Programme de financement des petites entreprises du Canada
Conformité et application de la réglementation
  • Spectre et télécommunications
  • Promotion et application du droit de la concurrence
  • Constitution en société de régime fédéral
Recherche et développement
  • Recherche et innovation dans les domaines des technologies et des communications
Gestion de projets
  • Regroupement des centres de données/Transition des charges de travail
  • Solution de gestion des clients et du bureau de FedNor (COMS)
  • Initiative de modernisation du processus d'achat
  • GCdocs

Annexe D : Processus ministériel de gestion des risques

Figure 2 : Processus ministériel de gestion des risques

Description de la figure 2

Le schéma en annexe D illustre le processus de gestion des risques ministériels d'ISDE.

Ce processus comprend les neuf étapes suivantes :

  1. En collaboration avec les différents secteurs d'ISDE, le Secteur de la gestion intégrée (SGI) commence par faire une liste des principaux risques qui pourraient nuire à la capacité d'ISDE de réaliser son mandat ou ses priorités.
  2. Les sous-ministres (SM) et les sous-ministres adjoints (SMA) discutent de ces principaux risques lors de réunions bilatérales et lors de l'activité annuelle de réflexion sur la planification du Comité de gestion ministériel (CGM).
  3. À partir des discussions ayant eu lieu pendant l'activité de réflexion du CGM, une liste préliminaire des risques ministériels est dressée, laquelle devra être plus formellement revue au niveau ministériel.
  4. Un risque pour le Ministère est assigné à chaque SMA, et le SGI travaille avec les secteurs à l'élaboration de stratégies d'atténuation et de plans d'action pour chacun des risques associés aux secteurs.
  5. L'information sur les risques, y compris les stratégies d'atténuation et les plans d'action, est intégrée au Plan stratégique d'ISDE, en plus de renseignements sur les projets d'ISDE, ses investissements et ses besoins en ressources humaines.
  6. Le Plan stratégique, lequel comprend l'information sur les risques issue de la première étape, est approuvé par le CGM et examiné par le Comité ministériel de vérification (CMV). Le CMV peut suggérer certains domaines de risque en fonction des conversations qu'il a eues avec les représentants ministériels. Il peut aussi donner des conseils quant aux pratiques de gestion des risques au sein du Ministère. Enfin, le CMV remplit une fonction d'analyse critique en vue d'assurer l'efficacité et l'efficience des plans d'action.
  7. Le Plan stratégique accompagné des plans d'action sur les risques fait alors l'objet d'une mise à jour en milieu d'exercice et à la fin de l'exercice de façon à tenir à compte de tout changement qui se serait produit pendant l'année quant aux risques ministériels et sectoriels.
  8. Les SM, par l'entremise du CGM et du CMV, examinent et approuvent le Plan stratégique mis à jour.
  9. Enfin, la mise à jour de fin d'exercice du Plan stratégique sert de base à l'élaboration de la liste des risques principaux pendant l'activité de réflexion sur la planification du CGM de l'année suivante. Le cycle du processus recommence chaque année.
 Signaler un problème sur cette page
Date de modification: