Audit des pratiques de gestion des renseignements personnels des programmes sélectionnés
De : Emploi et Développement social Canada
Titre officiel : Audit des pratiques de gestion des risques
Sur cette page
- 1 Renseignements généraux
- 2 Constatations de l’audit
- 3 Conclusion
- 4 Énoncé d’assurance
- Annexe A : Évaluation des critères de l’audit
- Annexe B : Glossaire
Formats substituts
Audit des pratiques de gestion des risques
[PDF - 581 Ko]
Les formats en gros caractères, braille, MP3 (audio), texte électronique, et DAISY sont disponibles sur demande en commandant en ligne ou en composant le 1 800 O-Canada (1-800-622-6232). Si vous utilisez un téléscripteur (ATS), composez le 1-800-926-9105.
1 Renseignements généraux
1.1 Contexte
Dans un environnement dynamique et complexe, les organisations doivent gérer les risques de façon à réduire les menaces à un niveau acceptable et à optimiser leur potentiel. La gestion des risques exige l’établissement de processus et de pratiques pour identifier, évaluer, traiter, surveiller et communiquer des renseignements relatifs aux risques permettant ainsi d’atteindre les objectifs organisationnels.
Le gouvernement du Canada s’est engagé à améliorer ses pratiques de gestion des risques au sein de la fonction publique afin de favoriser l’adoption de sains processus de prise de décisions et de reddition de comptes. À cet égard, le Conseil du Trésor (CT) a élaboré un Cadre stratégique de gestion du risque (le Cadre) qui est entré en vigueur en août 2010.
Le Cadre fournit les principes et l’orientation que la haute direction peut utiliser pour établir de saines pratiques de gestion des risques au sein de son organisation. Selon le Cadre, une gestion des risques efficace permet à la haute direction de :
- Cerner et expliquer les différents types de risque à tous les niveaux de leur organisation, et comprendre comment ils peuvent être gérés;
- Donner des indications sur l’établissement des niveaux de tolérance aux risques et prendre des décisions éclairées basées sur des considérations de risque et des stratégies d’atténuation;
- Appuyer les possibilités d’apprentissage dans leur organisation, y compris les pratiques formelles et informelles en matière de gestion des risques qui répondent aux besoins et à la culture de leur organisation;
- Prêcher par l’exemple en tenant en compte des principes et des pratiques de gestion des risques dans la gestion de leur organisation;
- Harmoniser les pratiques de gestion des risques avec les pratiques et politiques de gestion du CT.
La Direction générale des politiques stratégiques et de service (DGPSS)Note de bas de page 1 d’Emploi et Développement social Canada (EDSC) dirige les processus d’analyse de la conjoncture et du risque organisationnel du Ministère. De plus, la DGPSS prépare les mises à jour du profil de risque ministériel (PRM), communique et met en place la stratégie ministérielle de gestion intégrée des risques (GIR) et veille à ce que le suivi soit adéquat.
1.2 Objectif de l’audit
L’objectif de cet audit était de donner l’assurance à la haute direction que le cadre et les pratiques de gestion des risques d’EDSC étaient adéquats, qu’ils fonctionnaient tel que prévu et appuyaient la prise de décisions éclairées.
1.3 Portée
La portée de cet audit comprenait les principaux processus, structures et pratiques du Ministère ayant trait à la gestion des risques et à l’élaboration du PRM.
En plus des activités d’audit menées à l’Administration centrale, des visites régionales ont eu lieu dans les quatre régions d’EDSC afin d’examiner les pratiques existantes en matière de gestion des risques et de déterminer le niveau de conformité aux normes nationales dans les différents secteurs géographiques.
1.4 Méthodologie
L’audit a été réalisé au moyen de différentes méthodologies, notamment :
- Examen et analyse de documents;
- Entrevues avec le personnel et la direction de la DGPSS;
- Entrevues avec le personnel et la direction des régions et des directions générales;
- Examen de dossiers;
- Analyse et validation de l’information pour appuyer les conclusions.
2 Constatations de l’audit
2.1 La gouvernance des risques pourrait être améliorée
EDSC est une organisation de grande taille, complexe et diverse sur le plan géographique. La gestion des programmes ministériels est habituellement faite au sein de plusieurs directions générales et régions afin de fournir des services aux Canadiens. À l’échelle des directions générales et des régions, les risques sont gérés par les propriétaires des risques au niveau sous-ministre adjoint (SMA). La DGPSS facilite la gestion du risque d’entreprise (GRE).
Nous nous attendions à découvrir une structure de gouvernance qui surveillerait les pratiques de gestion des risques dans l’ensemble du Ministère et qui comprendrait des rôles et des responsabilités clairement définis et diffusés.
Nous avons constaté que les rôles et les responsabilités des principaux intervenants en matière de gestion des risques étaient clairement définis dans le cadre de GIR du Ministère et le PRM. Par exemple, le PRM stipule qu’il incombe au sous-ministre d’assurer la mise en place de pratiques de gestion des risques efficaces dans l’ensemble du Ministère. Les SMA et leurs comités de direction sont tenus de gérer les risques touchant les programmes, les services, les projets et les secteurs d’activité relevant de leurs directions générales ou de leurs régions respectives. Ces responsabilités comprennent la nécessité de disposer d’une capacité et d’une compétence suffisantes pour faire une gestion efficace des risques. Il incombe aux cadres et aux gestionnaires de mettre en pratique un processus de gestion des risques et de communiquer les principaux risques aux comités de gouvernance et de surveillance au sein de leur direction ou de leur région.
Dans le cadre des entrevues, nous avons pu noter que la majorité des planificateurs de risques au sein des directions générales et des régions comprenaient clairement leurs rôles et leurs responsabilités, de même que la répartition des responsabilités entre la DGPSS et les directions générales/régions. Cette situation visait les responsabilités des directions générales et des régions à l’égard de la mise en place et la mise à jour des registres de risques des directions générales (RRDG) ainsi qu’au rôle de la DGPSS dans la préparation et la mise à jour du PRM.
Le cadre de GIR d’EDSC ainsi que le PRM décrivent les nombreux comités qui surveillent les pratiques de gestion des risques au Ministère. Nous avons constaté que ces comités n’évaluaient pas les renseignements sur les risques signalés dans le PRM. Nous avons aussi observé que les directions générales et les régions transmettaient constamment leurs renseignements sur les risques à la DGPSS. Bien que la DGPSS fournit des conseils et des orientations aux directions générales et aux régions pour l’élaboration des énoncés de risque et des stratégies d’atténuation, la fonction de remise en question est minime, que ce soit dans la remise en question des risques signalés dans les RRDG ou dans la confirmation de la mise en œuvre appropriée des stratégies d’atténuation décrites dans le PRM. Nous avons remarqué que l’équipe de gestion des risques ministérielle au sein de la DGPSS disposait de capacités limitées pour exercer une fonction de remise en question, fonction visant à confirmer que les risques identifiés dans les RRDG reflétaient les éléments pertinents des environnements internes et externes du Ministère. En fait, au cours de l’audit, la fonction de gestion des risques ministérielle disposait de l’équivalent de 1,5 employé à temps plein pour s’occuper de l’ensemble des activités de gestion des risques au Ministère, y compris la formation.
D’après la littérature sur la gestion des risques que nous avons pu consulter, les organisations les plus performantes disposent d’une fonction de gestion des risques disposant d’un mandat clair qui consiste à :
- Se procurer et développer les ressources et les capacités nécessaires;
- Sensibiliser l’organisation quant à l’importance de la gestion des risques;
- Mobiliser toutes les personnes concernées et les tenir imputables en matière de gestion des risques;
- Fournir une expertise ainsi qu’une fonction de remise en question fiable.
Selon nous, le renforcement de la fonction de remise en question au sein de la DGPSS permettrait à EDSC d’améliorer sa gouvernance des risques et de parfaire la gestion des risques au sein du Ministère. Cette possibilité d’amélioration devrait être abordée au moment de mettre à jour le cadre de GIR (se reporter à la recommandation 1).
2.2 Le cadre de gestion intégrée des risques d’EDSC pourrait être amélioré
Au sein de la DGPSS, la Direction de la planification et de la gestion ministérielle a élaboré un cadre de GIR pour le Ministère qui comporte les éléments clés suivants :
- Les rôles et les responsabilités;
- Les définitions, la terminologie et la taxonomie;
- Le processus de gestion des risques;
- L’intégration de la gestion des risques;
- Les communications;
- Les processus de suivi et de production de rapports.
Nous avons examiné le cadre de GIR d’EDSC et avons recensé certains domaines à améliorer. Par exemple, nous avons remarqué que ce cadre n’avait pas été officiellement approuvé et qu’il demeurait à l’état d’ébauche depuis 2015. Certains éléments du contenu font référence à une version désuète (2013) du Committee of Sponsoring Organizations of the Treadway Commission. En outre, le cadre manque de clarté et comporte certaines inexactitudes. Par exemple, la section portant sur l’évaluation des risques confond des outils et des méthodes de gestion des risques avec des documents qui énumèrent les risques. Le cadre de GIR mélange également les concepts d’imminence ou de proximité du risque avec celui de la probabilité d’occurrence. En outre, les entrevues nous ont permis de déterminer que ce cadre n’était pas largement diffusé.
La création d’une version mise à jour, améliorée, approuvée et largement diffusée du cadre de GIR est une composante importante d’une bonne gestion des risques. Elle permettrait d’obtenir une approche normalisée et systématique pour la gestion des risques au Ministère, et favoriserait la création et le maintien de meilleures pratiques pour éclairer la prise de décisions et l’établissement des priorités.
Recommandation
1. La DGPSS devrait réviser et mettre à jour le cadre de GIR et le transmettre officiellement à l’ensemble des intervenants participant au processus de gestion des risques.
Réponse de la direction
La direction est d’accord. La DGPSS mettra à jour le cadre intégré de la GRE en utilisant la littérature et les concepts de risque récents (méthodologies, définitions et tolérance aux risques). Basé sur les résultats de la recommandation 3, le cadre de GIR sera mis à jour avec la gouvernance, ainsi que tout changement apporté aux processus, aux rôles et aux responsabilités, incluant la fonction de remise en question. Les actions devraient être complétées d’ici juin 2019.
2.3 Les pratiques de gestion des risques d’EDSC pourraient être améliorées
Processus de gestion des risques
Le processus de gestion des risques d’EDSC commence par l’envoi d`une lettre d’appel de la SMA principale de la DGPSS à tous les SMA afin de leur demander la mise à jour trimestrielle du RRDG, de l’analyse de la conjoncture et des documents connexes. Les équipes de planificateurs au sein des directions générales et des régions , en collaboration avec leurs directions ou leurs secteurs d’activité, mettent à jour leurs RRDG en utilisant le modèle prescrit et les présentent pour qu’ils soient discutés à leurs comités de direction respectifs. Enfin, les équipes de planificateurs compilent les mises à jour et transmettent les documents remplis à leurs SMA pour fins d’examen et d’approbation avant de les faire suivre à la DGPSS. Les renseignements recueillis au cours des mises à jour trimestrielles du RRDG sont utilisés pour informer l’établissement du PRM.
Notre examen a montré que la DGPSS avait fait des progrès importants en vue d’améliorer et de normaliser le processus au Ministère en élaborant des lignes directrices, des formations, des outils et des modèles. Certaines améliorations doivent cependant être apportées concernant les énoncés de risque, l’intégration du processus de gestion des risques au cycle de planification, la surveillance de l’identification et de l’évaluation des risques et le traitement des risques. Ces éléments sont analysés plus en détail ci-dessous.
Tolérance aux risques
Nous nous attendions à ce que des discussions portant sur la tolérance aux risques aient lieu tout au long du cycle de gestion des risques pour aider les membres du personnel à comprendre les niveaux de risque à l’intérieur desquels on s’attend à ce qu’ils travaillent alors qu’ils cherchent à atteindre les objectifs d’EDSC. Ces discussions permettent aux intervenants concernés par la gestion des risques de déterminer si un risque donné doit être accepté, atténué ou évité.
Nous avons constaté que des discussions étaient menées à propos du niveau de risque exigeant des mesures d’atténuation au cours de la mise à jour trimestrielle des RRDG ainsi qu’au moment de l’élaboration du PRM. Le cadre de GIR fournit également des concepts et des principes clés concernant la tolérance aux risques. En outre, au cours de l’audit, on nous a informé que le Ministère était en train de mettre en place des évaluations des risques de fraude pour les programmes clés qui pourraient produire des données pouvant servir à élaborer des tolérances aux risques. L’équipe d’audit encourage EDSC à poursuivre et à étendre les discussions sur la tolérance aux risques ainsi qu’à les intégrer dans ses pratiques de gestion des risques.
Énoncés de risque
Nous nous attendions à ce que les énoncés de risque comprennent et décrivent l’événement à risque, les facteurs potentiels de l’événement ainsi que les conséquences en cas de concrétisation du risque.
Nous avons évalué les énoncés de risque dans le PRM et les RRDG et avons constaté que ces énoncés étaient souvent trop généraux et qu’ils ne ciblaient pas des événements précis et spécifiques. Les risques sont parfois décrits comme des problèmes, des objectifs, des mesures de contrôle ou des stratégies d’atténuation. Dans notre examen de dossiers, sur les 238 énoncés de risque, l’équipe d’audit a constaté que seuls 120 (50 %) correspondaient à la définition d’un énoncé de risque décrite ci-dessus. Dans notre examen du PRM, nous avons constaté qu’aucun des neuf énoncés de risque ne correspondait à la définition exacte d’un énoncé de risque.
L’utilisation d’énoncés de risque clairs, concis et bien formulés est fondamentale si l’on souhaite une bonne gestion des risques. De tels énoncés faciliteraient la communication et une compréhension des risques auxquels fait face EDSC et aideraient la haute direction à comprendre les facteurs de risque ainsi que les répercussions qu’ont ces derniers sur l’atteinte des objectifs du Ministère. Ces énoncés faciliteraient également l’affectation et l’utilisation des ressources grâce à l’élaboration de mesures d’atténuation plus précises et plus ciblées.
À notre avis, la mise en œuvre des recommandations 1, 3 et 4 permettrait de résoudre les problèmes liés aux énoncés de risque soulignés dans la présente section.
Intégration du processus de gestion des risques dans le cycle de planification
Nous nous attendions à ce que les risques recensés dans le PRM soient liés aux objectifs stratégiques pertinents d’EDSC, et à ce que les risques recensés dans les RRDG soient liés aux objectifs stratégiques des directions générales et des régions.
Le calendrier 2017-2018 d'EDSC pour le processus ministériel de planification et de production de rapports intègre la gestion des risques (analyse de la conjoncture, des RRDG et du PRM) dans le cycle de planification ministérielle. Notre examen du PRM a toutefois révélé que les risques ministériels ne sont pas toujours explicitement liés aux objectifs stratégiques d’EDSC. Nous avons également constaté que l'élaboration du PRM n'était pas complètement intégrée au cycle de planification ministérielle. Par exemple, nous avons noté que le PRM 2017-2018 a été approuvé en janvier 2018, vers la fin de l’exercice, alors que le cycle de planification du Ministère a habituellement lieu au début de l’exercice.
À l’échelle des directions générales et des régions, des activités sont en cours pour harmoniser la gestion des risques et le cycle de planification. La plupart des directions générales et des régions ont intégré leurs fonctions de gestion des risques à leurs unités de planification, de manière à réduire la duplication des efforts et, dans certains cas, à établir un lien plus étroit entre les risques et l’atteinte des objectifs des directions générales ou des régions. Les résultats de notre examen ont montré que 42 % des directions générales et des régions d’EDSC présentaient certains liens entre les risques recensés dans leurs RRDG et leurs objectifs stratégiques.
Selon nous, une intégration complète des pratiques de gestion des risques dans le cycle de planification du Ministère contribuerait à l’atteinte des objectifs stratégiques en éclairant la prise de décisions et en permettant une utilisation plus efficace des ressources.
Recommandation
2. La DGPSS, en collaboration avec les intervenants appropriés, devrait complètement intégrer le processus de gestion des risques dans le cycle de planification du Ministère.
Réponse de la direction
La direction est d’accord. La DGPSS reconnaît la nécessité de mieux intégrer le processus de gestion des risques avec le cycle de planification ministérielle. Les actions devraient être complétées d’ici juillet 2019.
Identification et évaluation des risques
À l’échelle des directions générales et des régions, les risques sont identifiés lors des discussions qui ont lieu durant les diverses réunions et divers comités ainsi que par un examen des documents relatifs aux risques, comme les Évaluations des répercussions sur la protection des renseignements personnels, les Analyses des répercussions sur les activités, les mémoires au Cabinet et les présentations au Conseil du Trésor. La plupart des directions générales réalisent également une analyse trimestrielle de la conjoncture qui recense les menaces et les possibilités tout en tenant compte des facteurs internes et externes.
Les entrevues ont révélé que la réalisation des analyses trimestrielles de la conjoncture a permis de renforcer les discussions sur la gestion des risques à tous les niveaux et qu’elle a favorisé la sensibilisation à l’égard de la gestion des risques ainsi que les connaissances en la matière. L’audit a noté certaines possibilités d’amélioration du processus de gestion des risques, tant à l’échelle ministérielle qu’à l’échelle des directions générales et des régions. Nous avons constaté l’absence d’une méthodologie formelle, documentée et reproductible pour identifier les principaux risques qui pourraient entraver l’atteinte des objectifs stratégiques et évaluer les répercussions et la probabilité des risques ainsi recensés. Nous avons également remarqué une utilisation limitée de données appuyant les processus d’identification et d’évaluation des risques. Par conséquent, les risques sont identifiés et évalués en fonction de l’expérience et du jugement professionnel des personnes qui contribuent à la création du PRM et des RRDG.
Nous avons constaté que les pratiques relatives à l’identification et à l’évaluation des risques variaient grandement au sein d’EDSC. Dans certaines directions générales et dans certaines régions, ce processus est complet et bien établi, alors qu’il n’en est qu’aux premiers stades de développement dans d’autres. Certaines directions générales et régions ont mis en place des ressources et des structures spécifiques destinées à appuyer un processus rigoureux d’identification et d’évaluation des risques, alors que d’autres voient ce processus comme une exigence administrative à accomplir. Ceux qui disposent d’un processus rigoureux estiment qu’un élément clé de leur réussite réside dans le soutien qui leur est apporté par leur haute direction.
On a également noté des incohérences au niveau de la rigueur et de la précision des processus d’identification et d ’évaluation des risques dans les différentes directions générales et régions.
Traitement des risques
Les mesures d’atténuation sont consignées dans le PRM pour l’ensemble des risques identifiés à l’échelle du Ministère, et sont consignées dans les RRDG pour ceux identifiés à l’échelle des directions générales et des régions. Les mesures d’atténuation ministérielles consignées dans le PRM comprennent les principaux facteurs de risque à atténuer, le bureau de première responsabilité (BPR) à l’échelle de la direction générale, le statut des mesures ainsi que les dates d’achèvement prévues. Les renseignements clés fournis pour les mesures d’atténuation figurant dans les RRDG comprennent le statut des activités d’atténuation et les dates d’achèvement prévues. Des faiblesses importantes ont été relevées dans les mesures d’atténuation décrites dans le PRM et les RRDG. Par exemple, les mesures d’atténuation n’étaient pas précises ni énumérées sous la forme d’une liste de mesures à prendre pour que les risques identifiés soient réduits à un niveau acceptable. En outre, pour le PRM, les BPR étaient recensés à l’échelle des directions générales et des régions; le nom de la personne ou du poste précis responsable des risques en question ou devant s’assurer de la mise en œuvre et de l’efficacité des mesures prises pour y répondre n’était pas mentionné. La plupart des RRDG ne citent aucun BPR et aucun responsable des risques. Cela engendre une certaine confusion à propos de l’obligation de rendre compte des responsables des risques et de la mise en œuvre des mesures d’atténuation. Cette situation est en partie liée à l’orientation et aux outils du Ministère qui n’exigent pas d’identifier explicitement les responsables des risques.
En outre, tant pour le PRM que pour les RRDG, aucune preuve ne montre que des mesures du rendement ont été élaborées et mises en œuvre pour évaluer si les mesures d’atténuation ont été mises en place et si elles ont l’effet désiré. L’équipe d’audit a examiné un échantillon composé de deux mesures d’atténuation choisies au hasard dans chacun des 19 RRDG. Sur les 38 mesures d’atténuation examinées, nous avons constaté que trois d’entre elles contenaient des renseignements suffisants à propos des mesures d’atténuation, que cinq d’entre elles pouvaient être améliorées et que les 30 autres étaient inappropriées.
Selon nous, il est important que les mesures d’atténuation soient élaborées et consignées de manière à fournir suffisamment de détails quant aux tâches précises à entreprendre, et notamment quand elles doivent être entreprises, où elles doivent l’être, à quelle fréquence elles doivent l’être et par qui elles doivent l’être. Il convient de définir clairement les responsabilités pour la mise en place des mesures d’atténuation et des outils d’évaluation afin de confirmer qu’un traitement propre au risque est déployé et que ce traitement a l’effet voulu sur la réduction du niveau de risque.
Recommandation
3. La DGPSS devrait concevoir et mettre en oeuvre :
- Un mécanisme de surveillance permettant de confirmer si l’identification des risques, l’évaluation des risques et les mesures d’atténuation sont appropriées.
- Un mécanisme de surveillance permettant de s’assurer que les mesures d’atténuation ont été exécutées.
Réponse de la direction
La direction est d’accord. La DGPSS proposera des options pour un mécanisme de surveillance au sein de la structure actuelle de gouvernance des risques d'EDSC afin d'accroître l’imputabilité et voir à ce que l'identification, l'évaluation et le traitement des risques soient appropriés. La DGPSS sera également responsable de l’élaboration de mécanismes permettant de surveiller la mise en œuvre des stratégies d’atténuation des risques. Les actions devraient être complétées d’ici mai 2019.
Registres des risques des directions générales
L’examen des RRDG a permis de constater que 95 % des directions générales et des régions avaient transmis un registre mis à jour et approuvé. Les directions générales et les régions consignent leurs risques pour le trimestre au moyen du modèle prescrit, qui comprend des catégories de risque (p. ex. risques pour les ressources humaines, risques stratégiques, etc.), des énoncés de risque, des cotes de risque (faible, moyen ou élevé), des mesures d’atténuation et des échéanciers de mise en œuvre prévue.
L’équipe d’audit a remarqué que toutes les directions générales et toutes les régions soumettaient leurs mises à jour trimestrielles après une approbation au niveau du SMA. La DGPSS a également lancé un formulaire d’attestation destiné au SMA. Une fois signé, ce formulaire atteste que les renseignements sur les risques relevant de la responsabilité du SMA sont exacts et prêts à être présentés au Conseil de gestion du portefeuille (CGP), aux autres organes de gouvernance et aux employés d’EDSC.
Les entrevues et l’examen de documents semblaient indiquer qu’il serait bon, pour le suivi des risques des directions générales et des régions ainsi que pour la production de rapports à ce sujet, d’exiger que les renseignements suivants soient fournis dans le modèle du RRDG :
- Liens entre les risques et les objectifs;
- Liens entre les risques et les programmes;
- Probabilités et répercussions des risques;
- Responsables des risques;
- Tendances des risques au fil du temps;
- Suivi des nouveaux risques et de ceux qui ont été enlevés des RRDG.
L’audit interne encourage la DGPSS à mettre à jour le modèle du RRDG pour exiger que les renseignements susmentionnés y soient demandés. Ce faisant, la qualité des renseignements recueillis pour préparer le PRM sera améliorée.
Profil de risque ministériel
D’après l’orientation fournie par le CT, le PRM est un outil permettant de décrire les risques importants susceptibles de nuire à l’atteinte des objectifs stratégiques de l’organisation. Le PRM doit être équilibré et comprendre un niveau de détail suffisant qui présente le contexte et une description claire de la manière dont les risques sont identifiés, analysés, évalués, traités et signalés, sans toutefois être excessivement détaillé, afin d’éviter que le lecteur y perde son latin ou que le document ne facilite pas la prise de décisions efficace.
Nous avons examiné le PRM d’EDSC et avons constaté qu’il présentait une vision regroupée des principaux risques ministériels sur une base annuelle. Toutefois, le PRM ne recensait aucun risque réglementaire. Nous avons également remarqué que les liens entre les risques et les objectifs d’EDSC n’étaient pas clairement établis. Nous avons appris, au cours des entrevues, que la structure, le volume et la quantité des renseignements présentés dans le PRM le rendaient très verbeux et difficile à comprendre et à utiliser.
Le PRM complété est présenté chaque année au CGP pour être discuté. Le PRM pour l’exercice 2017-2018 n’a été approuvé qu’en janvier 2018. Certaines des personnes interrogées ont laissé entendre que le PRM devrait être mieux intégré dans le cycle de planification, qu’il devrait être préparé bien avant le début de l’exercice et qu’il devrait être transmis à l’avance aux principaux intervenants pour qu’ils aient le temps d’en discuter et de le commenter avant son approbation.
L’audit interne encourage le Ministère à réfléchir au fait d’intégrer ou non les risques réglementaires dans le PRM. La mise en œuvre des recommandations 1, 2, 3 et 4 aiderait, selon nous, à résoudre les autres problèmes susmentionnés à propos du PRM.
2.4 La formation pourrait être améliorée
La DGPSS s’est efforcée d’améliorer continuellement les pratiques de gestion des risques, de sensibiliser le personnel à cette question et de favoriser l’uniformité dans l’ensemble du Ministère au moyen des éléments suivants :
- Élaborer et fournir de la formation;
- Élaborer et mettre à jour des modèles;
- Créer des groupes de travail;
- Échanger des informations et des pratiques exemplaires entre les agents de la gestion des risques.
La DGPSS a élaboré et fourni trois cours de formation facultatifs sur la gestion des risques à l’été 2017. Quatre séances de formation ont été proposées à ce jour. Nous avons appris que 89 employés avaient suivi une formation et que 16 directions générales et régions sur 19 avaient envoyé au moins un employé pour participer à un cours de formation sur la gestion des risques.
Notre examen a montré que le matériel de formation couvrait des concepts clés, comme la définition du risque, le cycle de vie du risque, la GRE et la distinction entre les problèmes et les risques. Nous avons remarqué que la formation n’était pas conçue pour cibler des fonctions ou des groupes précis, mais que la formation visait plutôt un large éventail de rôles et de responsabilités, de niveaux et de types de travail.
Les entrevues avec les membres du personnel et de la haute direction participant à la gestion des risques indiquaient qu’ils considéraient la formation comme un pas dans la bonne direction. Ces entrevues ont également révélé que certaines personnes n’étaient pas au courant qu’une formation ministérielle était proposée, tandis que d’autres qui l’avaient suivie indiquaient qu’une formation plus adaptée et plus pratique, avec des exemples concrets et des études de cas, serait plus utile.
Dans le cadre de nos discussions avec les praticiens de la gestion des risques de tout le Ministère, nous avons noté un désir constant d’apprentissage et d’amélioration, ainsi qu’une volonté d’adopter des pratiques de gestion des risques plus modernes. Certaines directions générales et régions ont apporté de manière proactive des améliorations aux modèles et aux outils du Ministère afin de fournir des renseignements plus utiles à la haute direction tout en continuant de transmettre les mises à jour trimestrielles obligatoires. Certaines régions ont même pris l’initiative d’envoyer leurs employés suivre des formations externes sur la gestion des risques dans des universités locales.
Recommandation
4. La DGPSS devrait revoir la formation du Ministère en matière de gestion des risques pour s’assurer qu’elle est adaptée aux niveaux et aux types de fonctions exercées dans le processus de gestion des risques dans l’ensemble du Ministère.
Réponse de la direction
La direction est d’accord. La DGPSS évaluera la formation existante à EDSC et à l'École de la fonction publique du Canada afin d’identifier et d'adapter la formation aux besoins des divers niveaux et types de travaux liés aux risques exécutés dans le Ministère. La DGPSS veillera également à ce que le programme de formation sur la gestion des risques soit accessible aux groupes cibles. Les actions devraient être complétées d’ici décembre 2019.
3 Conclusion
L’audit conclut que le cadre et les pratiques de gestion des risques d’EDSC correspondent aux principes et à l’orientation fournis par le CT. Tous les éléments fondamentaux décrits dans le Cadre stratégique de gestion du risque du CT ont été mis en place à EDSC.
L’audit conclut également que les éléments clés du cadre et des pratiques de gestion des risques d’EDSC sont adéquats et qu’ils fonctionnent comme prévu. Ces éléments comprennent les rôles et les responsabilités, la tolérance aux risques, l’identification des risques et les catégories de risque.
D’autres éléments doivent encore être améliorés pour peaufiner la gestion des risques d’EDSC et mieux éclairer la prise de décisions. Ces éléments comprennent l’intégration du processus de gestion des risques dans le cycle de planification du Ministère et la mise en place d’une surveillance appropriée en ce qui a trait à l’identification, l’évaluation et l’atténuation des risques.
4 Énoncé d’assurance
Selon notre jugement professionnel, les procédures d’audit appliquées et les éléments probants recueillis sont suffisants et appropriés pour confirmer l’exactitude des constatations présentées dans ce rapport. Ces dernières sont fondées sur des observations et des analyses des situations qui existaient au moment de l’audit. Les conclusions ne s’appliquent qu’à l’Audit des pratiques de gestion des risques. Les éléments probants ont été recueillis conformément à la Politique sur l’audit interne du Conseil du Trésor et aux Normes internationales pour la pratique professionnelle de l’audit interne.
Annexe A : Évaluation des critères de l’audit
Critères de l’audit | Cotation | |
---|---|---|
On prévoyait que le Ministère aurait mis en place une structure de gouvernance permettant de surveiller les pratiques ministérielles en matière de gestion des risques et de favoriser l’uniformité au sein de l’organisation. | Les contrôles sont exercés, mais ils pourraient être renforcés; exposition modérée au risque | |
On prévoyait que le Ministère aurait clairement défini et communiqué : | les rôles et les responsabilités liés à la gestion des risques. | les obligations de rendre compte liées à la gestion des risques |
Les contrôles sont suffisants; exposition faible au risque | Les contrôles sont exercés, mais ils pourraient être renforcés; exposition modérée au risque | |
On prévoyait que le Ministère aurait conçu et tenu à jour des documents fournissant de l’orientation, des lignes directrices, des formations et des outils pertinents, compréhensibles et conformes aux exigences du CT. | Les contrôles sont exercés, mais ils pourraient être renforcés; exposition modérée au risque | |
On prévoyait qu’EDSC aurait mis en place un processus pour identifier les risques, les évaluer, les classer par ordre de priorité, les traiter, les surveiller et produire des rapports à leur sujet. | Les contrôles sont exercés, mais ils pourraient être renforcés; exposition modérée au risque | |
On prévoyait que les méthodes, les approches, les directives, les formations et les outils du Ministère en matière de gestion des risques seraient appliqués de manière uniforme dans l’ensemble des directions générales. | Les contrôles sont exercés, mais ils pourraient être renforcés; exposition modérée au risque | |
On prévoyait que des mesures appropriées seraient en place pour surveiller les tendances au niveau des risques et les stratégies de traitement des risques. | Les contrôles sont exercés, mais ils pourraient être renforcés; exposition modérée au risque | |
On prévoyait que des mécanismes de rétroaction et de révision seraient utilisés pour tirer parti des leçons apprises dans le cadre de risques précédemment gérés, des échecs survenus dans la gestion des risques ou des incidents évités de justesse en vue d’améliorer le processus de gestion des risques d’EDSC. | Les contrôles sont exercés, mais ils pourraient être renforcés; exposition modérée au risque |
Annexe B : Glossaire
BPR : Bureau de première responsabilité
CGP : Conseil de gestion du portefeuille
CT : Conseil du Trésor
DGPSS : Direction générale des politiques stratégiques et de service
EDSC : Emploi et Développement social Canada
GIR : Gestion intégrée des risques
GRE : Gestion du risque d’entreprise
PRM : Profil de risque ministériel
RRDG : Registre de risques des directions générales
SMA : Sous-ministre adjoint
Détails de la page
- Date de modification :