Secrétariat du Conseil du Trésor du Canada
Symbole du gouvernement du Canada

ARCHIVÉ - Vérification interne horizontale des profils de risque des organisations dans les grands ministères et organismes

Avertissement Cette page a été archivée.

Information archivée dans le Web

Information archivée dans le Web à  des fins de consultation, de recherche ou de tenue de documents. Cette dernière n’a aucunement été modifiée ni mise à  jour depuis sa date de mise en archive. Les pages archivées dans le Web ne sont pas assujetties aux normes qui s’appliquent aux sites Web du gouvernement du Canada. Conformément à  la Politique de communication du gouvernement du Canada, vous pouvez demander de recevoir cette information dans tout autre format de rechange à  la page « Contactez-nous ».

Sommaire excutif

L'objectif de la vrification tait de dterminer si des systmes et des pratiques de gestion des risques organisationnels, plus particulirement ceux associs aux profils de risque organisationnel (PRO), sont en place en vue de confirmer l'existence de stratgies d'identification et d'attnuation de ces risques au sein des grands ministres et organismes (GMO). Nous avons examin comment les processus de gestion des risques organisationnels sont rgis, quels systmes et pratiques servent leur laboration, comment ils sont intgrs la planification organisationnelle et comment les GMO font rapport sur le rendement au chapitre de la gestion de ces risques.

Pourquoi est-ce important

Un PRO permet un ministre ou un organisme d'laborer une stratgie globale pour la gestion des risques. Il comprend une liste des risques l'chelle organisationnelle auxquels est accorde la plus haute priorit ainsi que des stratgies destines assurer une gestion adquate de ces risques; les risques ne peuvent tre limins, ils peuvent seulement tre grs. Il est donc important pour une organisation d'identifier non seulement rgulirement les activits ou les dangers pouvant l'empcher d'atteindre ces objectifs, mais aussi d'laborer des stratgies visant attnuer ces risques. La gestion des risques organisationnels permet l'organisation de revoir ses ressources ou ses priorits de manire assurer le maintien de son succs. La gestion des risques a t choisie comme une des principales composantes de gestion devant faire l'objet d'une valuation annuelle par le Secrtariat du Conseil du Trsor du Canada l'chelle du gouvernement.

valuation globale

La plupart des GMO ont mis au point des modles de gouvernance pour la gestion des risques organisationnels. De plus, la plupart d'entre eux ont confi des tches de gestion des risques des personnes ou des comits de l'chelon de la haute direction. En rgle gnrale, les GMO disposent du soutien de la haute direction pour laborer et mettre en œuvre les PRO.

Les pratiques et les systmes de gestion des risques organisationnels sont toujours en cours d'laboration dans l'ensemble de la collectivit des GMO. Bien que de nombreux GMO aient consacr des ressources humaines considrables l'laboration des PRO et des systmes et pratiques correspondants, il faudra approfondir la dmarche afin de prendre en compte tous les aspects d'une gestion des risques efficace.

La plupart des GMO n'ont pas pleinement intgr la gestion des risques organisationnels leur processus de planification oprationnelle et stratgique. Certains d'entre eux viennent tout juste d'tablir leur PRO et n'ont pas encore termin le processus de mise en œuvre. La prochaine tape est l'intgration de la gestion des risques la planification stratgique et oprationnelle pour la plupart des GMO.

Mme si la prsentation de rapports sur les rsultats des activits de gestion des risques organisationnels pour vrifier l'efficacit des activits du PRO est primordiale, il y a peu de ministres qui ont un processus officiel de PRO en place depuis suffisamment longtemps pour qu'il soit intgr leurs activits redditionnelles sur le rendement organisationnel. Ainsi, la plupart des GMO ne sont pas mme de rendre compte sur la mesure dans laquelle les PRO les aident efficacement atteindre leurs objectifs stratgiques.

Conclusion

Dans l'ensemble, mme si les GMO ont dploy des efforts concerts pour tablir leur PRO, l'harmonisation de leurs efforts pour identifier et attnuer les risques organisationnels reste faire. La plupart des GMO ont mis au point des modles de gouvernance pour la gestion des risques organisationnels qui permettront de mettre en place une approche coordonne et uniforme la gestion des risques. Les systmes et les pratiques de gestion des risques organisationnels des GMO, ne sont pas encore entirement point et auront besoin d'tre amliors. La plupart des GMO doivent encore intgrer leur PRO leurs plans oprationnels et stratgiques pour achever la mise en œuvre. Enfin, les rapports sur le rendement au chapitre de la gestion des risques organisationnels restent une activit future pour la plupart des GMO.

Le Secteur de la vrification interne du Bureau du contrleur gnral a demand aux dirigeants principaux de la vrification de voir ce que l'administration de leur ministre ou organisme prpare des plans d'action de la gestion et ce que les plans soient entrins par les comits de vrification correspondants. Il y a de fortes raisons de croire que des amliorations seront apportes. Les comits de vrification des organismes et des ministres recevront priodiquement des rapports de la direction sur les mesures prises dans les cas o des plans d'action de la gestion sont en place.

nonc d'assurance

Selon mon jugement professionnel, en tant que contrleur gnral adjoint du secteur de la vrification interne, je suis d'avis que nous avons suivi des procdures satisfaisantes et appropries et que nous avons recueilli des preuves suffisantes pour tayer l'exactitude de la conclusion de la vrification. Les rsultats et la conclusion de la vrification reposent sur une comparaison entre les conditions qui existaient le 9 septembre 2009 dans les ministres ayant fait l'objet d'une vrification et des critres de vrification prtablis. De plus, les lments de preuve ont t recueillis conformment aux Normes relatives la vrification interne au sein du gouvernement du Canada et aux Normes internationales pour la pratique professionnelle de la vrification interne.[1]


Brian M. Aiken
Contrleur gnral adjoint
Secteur de la vrification interne, Bureau du contrleur gnral

Contexte

La Politique sur la vrification interne du Conseil du Trsor exige que le contrleur gnral effectue des vrifications horizontales dans les grands ministres et organismes (GMO). Les vrifications horizontales visent traiter des risques qui transcendent les ministres afin de prsenter des rapports sur l'tat de la gouvernance, des processus de contrle et de la gestion des risques l'chelle du gouvernement du Canada. Le rapport prsente les rsultats de la vrification horizontale des profils de risques organisationnels des GMO.

La gestion des risques vise cerner les incertitudes et les dangers qui pourraient empcher une organisation d'atteindre ses objectifs. Mais elle vise surtout laborer et mettre en œuvre des stratgies afin de minimiser et de grer les risques. Ces risques peuvent tre vidents (dommages causs par le feu ou pannes d'ordinateur) ou plus hypothtiques (occasions manques en raison d'une affectation des ressources inefficaces).

En 2001, la gestion des risques a t dsigne comme tant l'une des principales priorits du gouvernement en vue de garantir un gouvernement plus responsable la population canadienne. Le Cadre de gestion intgre du risque (CGIR) labor par le Secrtariat du Conseil du Trsor du Canada (le Secrtariat) peu aprs offre des lignes directrices aux ministres et aux organismes pour formuler une stratgie axe sur la gestion des risques. Le CGIR reste le fondement en matire de gestion des risques au gouvernement du Canada, et le rendement des GMO en gestion des risques est l'une des 10 composantes de gestion cl qui est value annuellement par le Secrtariat.

Le CGIR a t conu pour aider dfinir les principaux lments qu'une organisation devrait prendre en compte pour grer ses risques efficacement. Il donne des lignes directrices sur les attentes qu'une organisation devrait avoir l'gard de la fonction de gestion des risques et sur les activits ou les lments cls devant tre intgrs au processus.

Un profil de risque organisationnel s'inspire du CGIR en regroupant toute l'information sur la gestion des risques organisationnels dans un document stratgique et en donnant une orientation claire la gestion des risques. Les processus de planification stratgique et oprationnelle de l'organisation devraient idalement alimenter le PRO. Avant de mettre la dernire main leurs budgets et leurs plans des ressources humaines, les organisations prennent souvent un recul face leurs activits oprationnelles quotidiennes afin de cerner les dangers guettant les objectifs organisationnels. Le PRO approfondit cet examen et fournit un guide pour la gestion du risque. Lorsque l'organisation a bien compris les incertitudes qui l'attendent et la faon d'y faire face, elle peut alors raliser sa planification oprationnelle habituelle et elle croira davantage en ses chances de succs.

La gestion des risques est un volet important des activits de tous les ministres et organismes depuis de nombreuses annes. Pour offrir des services et des programmes la population canadienne, les organisations doivent tenir compte des risques qui pourraient compromettre leurs activits. Les risques l'chelle oprationnelle sont lis aux activits quotidiennes, ils peuvent donc varier d'une rgion l'autre.

La porte des risques organisationnels est diffrente de la porte des risques oprationnels; la gestion des risques organisationnels n'a pas ncessairement de rpercussions sur les activits quotidiennes, mais plutt sur les programmes de l'organisation dans leur ensemble. Alors que les services oprationnels et les services organisationnels mettent en place des plans d'activits qui, tout en tant aussi importants les uns que les autres, leur sont propres, le profil de risque organisationnel cerne les risques qui menacent les objectifs organisationnels gnraux. Certains risques oprationnels peuvent tre relevs l'chelle locale, mais, sans planification organisationnelle, il est possible que les ressources ncessaires leur gestion ne soient pas adquatement dployes.

Les organisations qui russissent grer le risque sont celles qui parviennent intgrer les risques l'chelle oprationnelle et les risques l'chelle organisationnelle. La prsente vrification porte uniquement sur la gestion du risque organisationnel.

Objectifs, porte et approche de vrification

Objectifs et porte

L'objectif de la vrification tait de dterminer si des systmes et des pratiques de gestion des risques organisationnels, plus particulirement ceux associs aux PRO, sont en place afin de confirmer l'existence de stratgies d'identification et d'attnuation des risques dans le cadre des activits des GMO. Nous avons examin comment les processus de gestion des risques organisationnels sont rgis, quels systmes et pratiques servent leur laboration, comment ils sont intgrs la planification organisationnelle et comment les GMO font rapport sur le rendement au chapitre de la gestion de ces risques.

La porte de cette mission de vrification englobe des activits lies au PRO en place dans un chantillon de GMO en date du 9 septembre 2009. La mission portait sur les systmes, les processus et les pratiques qui servent laborer, peaufiner, communiquer et mettre en œuvre les PRO.

Approche de vrification

La vrification s'est droule en deux tapes. Des consultants ont t recruts pour appuyer l'quipe de vrification du Bureau du contrleur gnral pendant ces deux tapes.

Phase 1

Pour choisir les GMO devant faire l'objet de la vrification, nous avons effectu une analyse des pratiques de gestion des risques dans tous les GMO l'aide d'valuations pangouvernementales visant la gestion des risques organisationnels efficace et d'un examen prliminaire des documents sur les principaux risques organisationnels. Nous nous sommes assurs que notre slection englobait un ventail des niveaux de rendement au chapitre de la gestion du risque organisationnel. Nous avons choisi, partir de cette analyse, les 13 GMO qui figurent l'annexe 1.

Phase 2

La vrification comprenait trois mthodes d'examen, chacune ayant un poids gal dans les rsultats finaux. Nous avons d'abord demand aux 13 GMO de remplir un questionnaire d'auto-valuation sur leur interprtation de la gestion des risques. Nous avons ensuite ralis un examen exhaustif des documents pour valuer les PRO et les processus qui les alimentent. Parmi les documents examins, il y avait des plans oprationnels, des rapports sur le rendement et le PRO. Enfin, nous avons interrog le personnel de tous les secteurs de la gestion du risque organisationnel, de la planification la mise en œuvre. Nous avons finalement compil les rsultats des trois examens pour veiller ce que les valuations soient uniformes et quilibres.

Constatations dtailles et recommandations

Constatation 1 : Gouvernance et amlioration continue

La plupart des GMO ont le soutien de la haute direction pour laborer et mettre en œuvre les PRO.

Nous avons examin les modles de gouvernance mis sur pied par les GMO pour laborer les PRO. Nous avons examin si la communication des stratgies de gestion des risques tait efficace dans l'ensemble de l'organisation et si la formation ncessaire tait offerte pour aider les gestionnaires et les employs mettre en pratique la gestion du risque. Enfin, nous avons examin comment les GMO valuaient continuellement la pertinence du PRO, afin d'en assurer l'applicabilit dans un contexte changeant.

Nous nous attendions ce que les GMO aient clairement dfini les structures de gouvernance pour la gestion des risques ainsi que pour l'laboration et le maintien des PRO. Un processus de gouvernance efficace inclut normalement un organe de gestion suprieur qui est responsable de coordonner toutes les tapes de l'laboration d'un PRO, et ce, de la dsignation des responsables de chaque tche la coordination de chaque activit. Une fois la stratgie mise au point, elle devrait tre communique au plus grand nombre possible de gestionnaires et d'employs, selon les besoins. La stratgie de gestion du risque devrait aussi faire l'objet d'un examen et d'une mise jour priodiques pour veiller ce qu'elle continue de rpondre aux besoins de l'organisation.

La gestion des risques devrait tre mise en place uniformment au sein d'un GMO afin d'assurer une comprhension commune des priorits. Comme il s'agit d'une initiative organisationnelle, la stratgie nationale globale pour la gestion des risques devrait tre uniforme d'une direction l'autre. Il est donc essentiel d'obtenir la participation des chelons les plus levs de la direction pour s'assurer que tous les secteurs de l'organisation utiliseront la mme approche de gestion des risques. La haute direction doit communiquer avec les gestionnaires et le personnel pour veiller ce que la gestion des risques soit applique uniformment dans l'ensemble de l'organisation. Les stratgies de gestion des risques doivent aussi faire l'objet de mises jour rgulires. Une stratgie qui demeure inchange pendant une longue priode permet de nouveaux risques de se dvelopper et de menacer l'organisation si une stratgie d'attnuation n'a pas t mise au point.

Les GMO ont labor des structures de gouvernance de la gestion des risques tayes par des politiques ministrielles. En rgle gnrale, les GMO ont charg la haute direction de la gouvernance de la gestion des risques. Certains ministres ont cr un poste d'agent principal de la gestion des risques qui est responsable de la gestion des risques temps plein tandis que d'autres GMO ont confi des comits de la haute direction l'laboration de stratgies de gestion des risques. La plupart des ministres font aussi appel leurs structures de gouvernance en place pour coordonner l'laboration du PRO, en tablissant des attentes et des chances. Par contre, quelques GMO n'ont toujours pas dfini leurs structures de gouvernance pour la gestion des risques, entranant ainsi un manque de responsabilisation cet gard.

Le niveau de communication et de formation lies la gestion du risque varie entre les GMO. L'efficacit des communications sur la gestion des risques de la haute direction au reste de l'organisation varie. La plupart des GMO comptent sur des groupes oprationnels ou rgionaux pour faire connatre leurs stratgies de gestion des risques. Quelques-uns d'entre eux ont veill ce que les communications et les activits correspondent aux objectifs organisationnels de gestion des risques. La plupart des GMO offrent une formation sur la gestion des risques. Certaines de ces formations adoptent une formule de discussion gnrale sur le concept de gestion des risques, alors que d'autres sont conues pour tre des outils pratiques pour la mise en œuvre des stratgies de gestion des risques de l'organisation.

Les GMO prvoient procder des examens annuels de leurs pratiques de gestion des risques. Nous avons trouv des lments de preuve montrant que les GMO ont commenc vrifier rgulirement la pertinence de leurs PRO. En fait, la plupart des GMO se sont engags passer en revue leur PRO chaque anne. Mais comme une grande partie d'entre eux vient tout juste d'tablir leur PRO, il n'existe pas encore d'lments de preuve pour ce cycle d'examen.

Grce au soutien de la gestion des risques par la haute direction, il est possible que les GMO parviennent instaurer des stratgies de gestion des risques qui perdureront. Les pratiques exemplaires recommandent qu'une organisation labore une politique exposant en dtail quels postes au sein de l'organisation incombera la gestion des risques et quels seront les rles et les responsabilits s'y rattachant (divis par sous-activits). Certains GMO demandent leurs comits de vrification externe de les aider raliser des examens de leurs processus de gestion des risques ou le rendement de leur PRO. Certains ont aussi mis en place un calendrier annuel pour que le comit de vrification discute rgulirement de la gestion des risques.

Recommandations

1. La majorit des GMO ont dj mis sur pied des structures de gouvernance de la gestion des risques organisationnels; ceux qui ne l'ont pas fait devraient attribuer des personnes ou des groupes de personnes l'chelon de la haute direction les rles et responsabilits de gestion des risques organisationnels.

2. Les GMO devraient examiner leurs PRO chaque anne afin de veiller ce qu'ils prennent toujours en compte les risques pertinents et rels.

Constatation 2 : Systmes et pratiques

L'laboration et la mise en œuvre des systmes et des pratiques de gestion des risques organisationnels dans les GMO en sont leurs premires tapes.

Nous avons examin les processus d'identification des risques utiliss par les GMO et les outils soutenant la gestion du risque. L'analyse du contexte est un outil d'identification des risques classique qui comprend une srie d'valuations approfondies des dangers et des occasions l'interne et l'externe. Nous avons examin cet outil afin de savoir s'il permettait d'intgrer les observations l'chelle de l'organisation de manire tenir compte de l'information de tous les secteurs d'activits pour l'identification et la gestion des risques. L'chelle des probabilits et des rpercussions est un autre outil d'identification des risques qui value la probabilit qu'un risque se concrtise et la gravit de ses rpercussions sur l'organisation. Cependant, il faudrait peaufiner davantage les chelles de probabilit et de rpercussion pour dterminer la tolrance au risque d'une organisation. Les organisations peuvent dcider qu'elles ne peuvent tolrer les risques qui auraient des rpercussions majeures, mme si ceux-ci sont improbables. Elles auraient alors concevoir des mesures d'attnuation des risques dans ces secteurs. La tolrance au risque varie d'une organisation l'autre. Cependant, la tolrance doit tre dfinie et doit tre comprise de manire uniforme pour que des mesures d'attnuation puissent s'appliquer dans tous les secteurs.

Nous nous attendions ce que les outils existants, par exemple les analyses du contexte, servent recueillir de l'information sur les risques l'chelle d'un GMO. Ces outils intgreraient l'information de toutes les directions et de tous les secteurs d'activits, en corrlation avec les objectifs des GMO. Nous nous attendions aussi ce que des processus dfinis soient en place pour mener les exercices d'identification des risques afin de s'assurer que les processus taient complets et prts tre appliqus de manire uniforme. Il faudrait mettre au point des mthodes pour concevoir une stratgie de gestion des risques et veiller ce que toutes les personnes participant l'exercice les comprennent.

Les systmes et les processus de gestion des risques organisationnels sont importants parce que les risques sont prsents dans tous les secteurs d'un GMO, qui devraient tous participer l'identification des risques et l'laboration d'une stratgie de gestion des risques. Tous les gestionnaires et les employs dans l'ensemble de l'organisation devraient tre en mesure de cerner facilement les risques identifis et de mettre en œuvre les stratgies d'attnuation des risques dans leur secteur d'activits. De plus, l'identification des risques devrait runir tous les risques dans une stratgie cohsive. Il faut reprer les risques de tous les secteurs de l'organisation et en tenir compte, mais la stratgie au niveau national risque fortement de se fragmenter et d'chouer sans une coordination centrale. De plus, la tolrance au risque doit tre clairement dfinie, comprise et communique dans l'ensemble de l'organisation pour faire en sorte que tous les gestionnaires aient recours aux mmes hypothses de gestion des risques et qu'ils affectent leurs ressources en consquence.

L'intgration des risques encourus par la direction aux risques organisationnels varie d'un GMO l'autre. Bien que la plupart des GMO aient recours de vastes consultations l'chelle de leurs organisations pour intgrer un nombre important de risques, certains GMO accordent plus d'importance aux risques quotidiens et ceux encourus par leur direction qu'aux risques moyen et long terme qui touchent l'ensemble de l'organisation. Par consquent, de nombreux exercices d'identification des risques n'ont pas de vision coordonne et ne concernent que les risques internes. De plus, peu de GMO tiennent compte des risques externes dans leurs stratgies d'attnuation. Certains ministres utilisent des analyses du contexte structures pour s'assurer d'avoir cern tous les risques internes et externes.

La tolrance au risque est mal comprise dans les GMO. La plupart des GMO ont labor des chelles de probabilit et de rpercussion pour les aider fixer l'ordre de priorit de leurs mesures d'attnuation des risques. Cependant, l'utilisation de la tolrance au risque pour dterminer le seuil des risques inacceptables et qui exigent par consquent un attention immdiat reste gnralement indfini. dfaut d'une comprhension de la notion de la tolrance au risque commune l'ensemble de l'organisation, les gestionnaires et les employs sont amens dfinir individuellement la tolrance au risque, une approche pouvant s'loigner des principes de la gestion des risques organisationnels ou des valeurs canadiennes. Certains GMO ont demand des lignes directrices supplmentaires, tant donn qu'il n'y a pas eu beaucoup de coordination l'chelle de la collectivit.

Recommandations

3. Les GMO devraient s'assurer que le processus d'identification des risques organisationnels englobe les risques encourus par la direction et par l'ensemble de l'organisation, et qu'il cerne aussi les risques externes. Il faudrait structurer ce processus et l'intgrer dans leurs outils d'analyse des risques, comme les analyses du contexte.

4. Les GMO devraient faire en sorte qu'il existe une comprhension uniforme de la notion de tolrance au risque et qu'elle soit communique l'chelle de l'organisation.

Constatation 3 : Planification oprationnelle et stratgique

La gestion des risques oprationnels n'est pas directement intgre la planification oprationnelle et stratgique.

Nous avons examin les plans oprationnels et stratgiques des GMO pour dterminer si la gestion des risques avait t intgre dans la planification et les activits organisationnelles. Nous nous attendions ce que les stratgies de gestion des risques soient labores avant le cycle annuel de planification oprationnelle afin de veiller ce que le plan oprationnel en tienne compte. L'tablissement du PRO devrait faire partie d'un cycle d'activits prtabli, intgr au processus global. Lier le PRO aux objectifs oprationnels et stratgiques d'une organisation permettra d'harmoniser la stratgie de gestion des risques avec ses activits oprationnelles.

Puisque le PRO est conu pour favoriser l'atteinte des objectifs organisationnels, il est un lment important du plan oprationnel annuel d'une organisation. Si le PRO est labor avant la mise en œuvre du plan oprationnel, il devient possible d'intgrer les stratgies d'attnuation des risques dans les activits prvues pour l'exercice. La pleine intgration d'un PRO la planification oprationnelle aide garantir que les stratgies d'attnuation des risques sont oprationnelles et que les ressources sont rparties efficacement pour mettre en œuvre les stratgies. Cette intgration accrot la probabilit que la gestion des risques passe d'une stratgie une pratique adopte par les gestionnaires et les employs dans l'ensemble de l'organisation.

La plupart des GMO tablissent leurs PRO trop tard dans l'exercice pour les intgrer aux plans oprationnels de leurs organisations. Bien que la plupart des GMO indiquent qu'ils souhaitent intgrer leurs PRO leurs plans oprationnels, peu, jusqu'ici, y sont parvenus. Seuls quelques PRO ont t labors suffisamment rapidement pour le cycle de planification oprationnelle de 2009-2010, ce qui a entrav l'intgration des stratgies d'attnuation des risques aux activits oprationnelles. De nombreux GMO ont manifest leur intention d'intgrer pleinement les deux processus dans un futur prochain.

Recommandation

5. Les GMO devraient laborer, achever et approuver leurs profils de risque des organisations au dbut de l'exercice et les intgrer au processus de planification oprationnelle.

Constatation 4 : Surveillance et rendement

Les GMO n'ont toujours pas tabli un processus officiel pour faire rapport sur le rendement en matire de gestion des risques organisationnels.

Nous avons examin les processus tablis par les GMO pour surveiller le rendement en matire de gestion des risques, notamment les processus annuels de planification oprationnelle, les lments de preuve d'examens priodiques par les responsables de la gouvernance de la gestion des risques et les rapports ministriels sur le rendement (RMR) annuels. La surveillance reprsente normalement l'tape finale d'un processus de gestion des risques maturit. Une fois que l'laboration et la mise en œuvre de la stratgie de gestion des risques sont chose faite, son rendement est valu pour s'assurer qu'elle satisfait aux besoins de l'organisation.

Nous nous attendions ce que les rapports sur le rendement indiquent clairement le rendement d'une organisation en matire de gestion des risques par rapport ses objectifs oprationnels et stratgiques. Nous escomptions que les rapports sur le rendement tablissent si les stratgies d'attnuation des risques avaient aid une organisation atteindre ses objectifs.

Il est impossible de dterminer dans quelle mesure une organisation attnue les risques qui menacent ces objectifs oprationnels si le rendement n'est pas mesurable. Il est aussi important d'officialiser et de documenter les exigences et les processus au chapitre de la mesure du rendement afin que toute l'organisation soit au fait des attentes et des rsultats.

Les GMO ne font pas rapport sur le rendement de leurs stratgies d'attnuation des risques. Mme si les PRO sous-jacents sont souvent directement lis aux objectifs stratgiques d'une organisation, les RMR ne donnent habituellement pas de dtails sur l'efficacit des stratgies de gestion des risques. Quelques GMO indiquent leur rendement en matire de gestion des risques dans leurs RMR, alors que d'autres font aussi allusion la gestion des risques, mais sans description dtaille de leur rendement. La plupart des GMO ne mentionnent pas la gestion des risques dans leur RMR de manire significative. Comme la plupart des GMO dfinissent leurs stratgies de gestion des risques indpendamment de leurs plans oprationnels, les rapports sur le rendement refltent gnralement les rsultats des activits oprationnelles, mais pas les activits lies la gestion des risques qui ont contribu ces rsultats.

Peu de ministres disposent d'un processus officiel pour les PRO depuis suffisamment longtemps pour l'avoir intgr aux activits de rapport sur le rendement organisationnel. Au 31 dcembre 2008, moins de la moiti des GMO inclus dans la vrification avait un PRO approuv et jour. Bien que les GMO se soient gnralement engags laborer un PRO, les progrs accomplis l'gard de la prsentation de rapports sur le rendement ne sont pas apparents pour l'instant.

Recommandation

6. Les GMO devraient intgrer le rendement de la gestion des risques organisationnels dans le Rapport ministriel sur le rendement pour s'assurer de rendre compte de l'efficacit du profil de risque organisationnel.

Conclusion

Dans l'ensemble, mme si les GMO ont dploy des efforts concerts pour tablir leur PRO, l'harmonisation de leurs efforts pour identifier et attnuer les risques organisationnels reste faire. La plupart des GMO ont mis au point des modles de gouvernance pour la gestion des risques organisationnels qui permettront de mettre en place une approche coordonne et uniforme la gestion des risques. Les systmes et les pratiques de gestion des risques organisationnels des GMO ne sont pas encore entirement point et auront besoin d'tre amliors. La plupart des GMO doivent encore intgrer leur PRO leurs plans oprationnels et stratgiques pour achever la mise en œuvre. Enfin, les rapports sur le rendement au chapitre de la gestion des risques organisationnels restent une activit venir pour la plupart des GMO.

Plans d'action de la direction

Les constatations et les recommandations de la prsente vrification ont t prsentes chaque ministre et organisme vis par la vrification. Les rsultats et les recommandations de la vrification ont suscit des ractions positives parmi les fonctionnaires responsables des GMO. Le Secteur de la vrification interne du Bureau du contrleur gnral a demand aux dirigeants principaux de la vrification de veiller ce que la direction de leurs ministres et organismes respectifs prpare des plans d'action de la gestion et de les faire entriner par les comits de vrification de leurs organismes et ministres. Il y a de fortes raisons de croire que des amliorations seront apportes. Les comits de vrification des organismes et des ministres recevront priodiquement des rapports de la direction sur les mesures prises dans les cas o des plans d'action de la gestion sont en place.

Les administrateurs gnraux des GMO qui ont t exclus de la vrification tiendront compte des rsultats de cette vrification interne horizontale et laboreront des plans d'action de la direction, selon les besoins. Ils peuvent aussi choisir de donner des instructions au sujet de cette vrification aux comits de vrification de leur ministre ou organisme.

Annexe 1 : Ministres et organismes inclus dans la mission de vrification

  • Affaires trangres et Commerce international Canada
  • Affaires indiennes et du Nord Canada
  • Agence canadienne de dveloppement international
  • Agence canadienne d'inspection des aliments
  • Agence de dveloppement conomique du Canada pour les rgions du Qubec
  • Agence spatiale canadienne
  • Gendarmerie royale du Canada
  • Parcs Canada
  • Pches et Ocans Canada
  • Ressources humaines et Dveloppement des comptences Canada
  • Transports Canada
  • Travaux publics et Services gouvernementaux Canada
  • Statistique Canada

Annexe 2 : Objectifs et critres connexes

L'objectif de la vrification tait de dterminer si des systmes et des pratiques de gestion des risques organisationnels, plus particulirement ceux associs aux profils de risque organisationnel (PRO), sont en place afin de confirmer l'existence de stratgies d'identification et d'attnuation des risques dans le cadre des activits des grands ministres et organismes (GMO).

Objectifs Critres

Dterminer si des processus et des systmes efficaces et efficients sont en place pour soutenir l'laboration de PRO, notamment l'identification, l'valuation et l'tablissement de l'ordre de priorit des risques.

  • Un GMO devrait avoir une approche et des processus efficaces et documents pour laborer son PRO.
  • Un GMO devrait disposer d'une structure de gouvernance officielle pour guider l'laboration de son PRO.

Dterminer si les processus et les systmes en place rpondent efficacement l'volution du contexte en matire de risque.

  • Un GMO devrait avoir des processus et des systmes en place pour continuellement amliorer, peaufiner et mettre jour son PRO.

Dterminer si des liens efficaces existent entre les PRO, les objectifs organisationnels et la mesure du rendement.

  • Un GMO devrait harmoniser et intgrer son PRO sa planification oprationnelle et stratgique.
  • Un GMO devrait harmoniser et intgrer son PRO aux rapports sur la mesure du rendement.

Annexe 3 : Cotes de risque des recommandations

Le tableau suivant prsente les recommandations et leur attribue une cote de risque leve, moyenne ou faible. La cote de risque a t dtermine selon les priorits relatives des recommandations et la mesure dans laquelle celles-ci indiquent une absence de conformit aux principes du Cadre de gestion intgre du risque (CFIR).

Recommandations Niveau de priorit

1. La majorit des GMO ont dj mis sur pied des structures de gouvernance de la gestion des risques organisationnels; ceux qui ne l'ont pas fait devraient attribuer des personnes ou des groupes de personnes l'chelon de la haute direction les rles et responsabilits de gestion des risques organisationnels.

lev

2. Les GMO devraient examiner leurs PRO chaque anne afin de veiller ce qu'ils prennent toujours en compte les risques pertinents et rels.

Moyen

3. Les GMO devraient s'assurer que le processus d'identification des risques organisationnels englobe les risques encourus par la direction et par l'ensemble de l'organisation, et qu'il cerne aussi les risques externes. Il faudrait structurer ce processus et l'intgrer dans leurs outils d'analyse des risques, comme les analyses du contexte.

Moyen

4. Les GMO devraient faire en sorte qu'il existe une comprhension uniforme de la notion de tolrance au risque et qu'elle soit communique l'chelle de l'organisation.

Moyen

5. Les GMO devraient laborer, achever et approuver leurs profils de risque des organisations au dbut de l'exercice et les intgrer au processus de planification oprationnelle.

lev

6. Les GMO devraient intgrer le rendement de la gestion des risques organisationnels dans le Rapport ministriel sur le rendement pour s'assurer de rendre compte de l'efficacit du profil de risque organisationnel.

Moyen

Annexe 4 : Liens aux politiques, aux cadres de gestion, aux normes et aux lignes directrices applicables

[1]  Cette vrification a t effectue en conformit avec les Normes internationales pour la pratique professionnelle de la vrification interne. Toutefois, le Bureau du contrleur gnral n'a subi aucune valuation externe au cours des cinq dernires annes et il n'a pas fait l'objet d'une surveillance continue ou d'valuations internes priodiques de son activit de vrification interne horizontale qui permettraient de confirmer sa conformit aux normes