Audit des pratiques de gestion des risques d’ECCC

Sommaire

Pourquoi est-ce important?

La gestion des risques est reconnue comme étant un élément central d’une administration publique efficace. Dans un environnement dynamique et complexe, les organisations doivent avoir la capacité nécessaire pour reconnaître et comprendre les nouveaux défis et nouvelles opportunités, ainsi que pour s’y adapter et en tirer parti. La gestion efficace des risques contribue à une meilleure prise de décision, à une meilleure affectation des ressources et, ultimement, procure de meilleurs résultats pour la population canadienne.

La réalisation du mandat et des priorités d’ECCC est influencée par l’environnement dynamique dans lequel le Ministère réalise ses activités. Ce dernier a connu une croissance importante au cours des dernières années, avec un nombre sans cesse croissant de nouvelles activités, des augmentations de financement sans précédent et une évolution de son mandat principalement réglementaire et scientifique vers une approche axée davantage sur les programmes pour soutenir les priorités du gouvernement, notamment en ce qui concerne le changement climatique et le développement durable. À ce titre, les risques sont nombreux et divers, incluant les risques financiers et en matière de ressources humaines, la désuétude des actifs, les failles de sécurité potentielles et les cyberattaques, les inquiétudes en matière de santé et sécurité au travail, les risques juridiques et de réputation, pour n’en citer que quelques-uns. Des pratiques efficaces de gestion des risques sont importantes pour permettre au Ministère de remplir son mandat, ses priorités et ses engagements nationaux et internationaux croissants.

Les facteurs clés qui soutiennent la prise de décision à tous les niveaux au sein du Ministère comprennent la détermination proactive des risques touchant le mandat de celui-ci, la mise en œuvre des programmes, les activités au sein de toutes les directions générales et leur analyse conduisant à des mesures d’atténuation, ainsi que leur communication et la production de rapports à cet effet.

Objectif

L’objectif de l’audit était d’évaluer l’application et l’efficacité des processus de gestion intégrée du risque d’ECCC pour appuyer la prise de décisions éclairées. L’audit s’est concentré sur les activités en place en matière de gouvernance, de contrôle, de surveillance des risques et de production de rapports pour soutenir l’intégration de la gestion des risques dans l’ensemble du Ministère.

Ce que nous avons constaté

Gouvernance : Une structure de gouvernance est en place pour soutenir une approche intégrée de la gestion des risques. Les rôles et les responsabilités sont définis et des organismes de surveillance sont en place pour soutenir l’intégration des renseignements sur les risques afin d’appuyer la prise de décision. Les rôles et responsabilités en matière de gestion des risques des personnes et groupes concernés sont généralement compris.

Quelques possibilités d'amélioration ont été recensées. Il est nécessaire d'accroître la connaissance de certaines responsabilités, en particulier celles des champions de risques ministériels et des responsables des plans d’action. L’efficacité de la surveillance de la gestion des risques pourrait être renforcée, notamment en ce qui concerne la fréquence des discussions sur les risques et le suivi des stratégies de gestion des risques par les comités de gouvernance. En outre, il est nécessaire que la haute direction définisse et communique les niveaux de tolérance au risque et la propension à prendre des risques du Ministère.

Processus de gestion des risques : Il existe des outils de gestion intégrée des risques (Profil de risque ministériel, Cadre de gestion intégrée du risque et Stratégie de surveillance intégrée du risque) pour aider les directions générales à gérer les risques. Cependant, ces outils ne sont pas bien connus ou ne sont pas faciles à trouver.

Le Profil de risque ministériel est considéré comme un outil pertinent pour comprendre les risques ministériels. Cependant, il existe peu de preuves de son utilisation dans les processus de planification et de prise de décision opérationnelle des directions générales.

Des possibilités d’amélioration ont été recensées pour renforcer le suivi et l'établissement de rapports sur les risques et les activités d'atténuation associées définis dans le Profil de risque ministériel, ainsi que pour améliorer les connaissances et la maîtrise de la gestion des risques par la communication, l’orientation et la sensibilisation aux possibilités de formation.

Recommandations

En réponse à ces constatations, 3 recommandations ont été mises au point pour traiter les possibilités d’amélioration recensées dans le présent rapport.

  1. La sous-ministre adjointe de la Direction générale des services ministériels et des finances devrait renforcer la prise en compte de la gestion intégrée des risques dans les délibérations de la gouvernance ministérielle en prenant les mesures suivantes :
    • Réviser le mandat du Comité exécutif de gestion et du Comité des SMA sur les ressources et les opérations ministérielles afin de refléter leurs responsabilités en matière de surveillance de la gestion intégrée des risques;
    • Mettre au point une approche structurée pour l'examen et le suivi des risques horizontaux lors des réunions des comités de gestion;
    • Établir et communiquer un niveau de tolérance au risque clair pour le Ministère, fondé sur sa propension globale à prendre des risques et en tenant compte de sa capacité à gérer les risques.
  2. La sous-ministre adjointe de la Direction générale des services ministériels et des finances devrait revoir et renforcer les processus de développement, de mise à jour, de maintien et de la communication du Profil de risque ministériel, afin de s’assurer qu’il demeure un outil efficace pour soutenir une prise de décision éclairée; et renforcer le suivi et l'établissement de rapports sur le Profil de risque ministériel.
  3. La sous-ministre adjointe de la Direction générale des services ministériels et des finances devrait trouver des moyens de mieux faire connaître les outils existants de gestion intégrée des risques ministériels, ainsi que les possibilités de formation.

1. Contexte

Le Cadre stratégique de gestion du risque de 2010 du Secrétariat du Conseil du Trésor (SCT) guide les administrateurs généraux sur la mise en œuvre de pratiques efficaces de gestion du risque à tous les niveaux de leur organisation. Des pratiques efficaces de gestion du risque permettent aux organismes du gouvernement fédéral de répondre au changement et à l’incertitude en utilisant des données, des renseignements et des analyses pour soutenir la prise de décision.

L’environnement dynamique dans lequel le Ministère réalise ses activités a une influence marquée sur la réalisation du mandat et des priorités d’ECCC. Ce dernier a connu une croissance importante au cours des dernières années avec un nombre de plus en plus élevé de nouvelles activités, des augmentations de financement sans précédent et une évolution de son mandat principalement réglementaire et scientifique vers une approche plus axée sur les programmes afin de soutenir les priorités du gouvernement, notamment les changements climatiques et le développement durable. À ce titre, les risques sont nombreux et divers, incluant les risques financiers et en matière de ressources humaines, la désuétude des actifs, les failles de sécurité potentielles et les cyberattaques, les inquiétudes en matière de santé et de sécurité au travail et les risques juridiques et de réputation, pour n’en citer que quelques‑uns. Des pratiques efficaces de gestion des risques sont importantes pour permettre au Ministère de remplir son mandat, ses priorités et ses engagements nationaux et internationaux croissants.

1.1 Gestion intégrée du risque à ECCC

La gestion intégrée du risque est une démarche systématique, continue et proactive visant à comprendre, à gérer et à communiquer les risques dans une perspective organisationnelle. De cette façon, le risque peut être pris en compte dans le cadre du processus décisionnel, de l’établissement des priorités, de la planification des activités, de l’affectation des ressources et de la gestion opérationnelle.

L’approche de la gestion intégrée des risques du Ministère repose sur 3 éléments fondamentaux, qui ont été approuvés par le Comité exécutif de gestion du Ministère (voir le tableau 1) : le Cadre de gestion intégrée du risque, le Profil de risque ministériel et la Stratégie de surveillance intégrée du risque.

Tableau 1 : Principaux éléments de l’approche de la gestion des risques ministériels d’ECCC
Élément Description

Cadre de gestion intégrée du risque

Fixe les attentes et les orientations communes pour une gestion efficace et cohérente des risques dans l’ensemble du Ministère, y compris les rôles clés et les attentes de la haute direction en ce qui concerne la manière dont les renseignements sur les risques doivent éclairer la prise de décision. La Politique sur la gestion intégrée du risque d’ECCC, qui soutient la réalisation des objectifs et du mandat du Ministère, en est une composante essentielle.

Profil de risque ministériel

Le Profil de risque ministériel est une analyse ponctuelle des risques. Il présente les points suivants :

  • les principales expositions aux risques ministériels qui peuvent survenir dans un avenir prévisible en raison de l’environnement opérationnel actuel et émergent auquel le Ministère est confronté;
  • une brève analyse de chaque risque, y compris les principaux facteurs (causes profondes), les répercussions potentielles et un résumé des mesures d’atténuation existantes et futures pour gérer ou atténuer ces risques.

Le Profil de risque ministériel est approuvé par la haute direction et vise à soutenir et à améliorer la prise de conscience des risques afin que tous les employés soient informés des principaux risques susceptibles de toucher ECCC dans l’exécution de son mandat.

Stratégie de surveillance intégrée du risque

La stratégie décrit les grands principes et les stratégies de surveillance et de production de rapports sur les risques, lesquels :

  • comprennent des orientations pour tous les niveaux de l’organisation;
  • décrivent les processus et mécanismes proposés pour la mise en œuvre d’une approche de surveillance des risques ministériels;
  • définissent les responsabilités et obligations en matière de surveillance des risques et de production de rapports dans l’ensemble du Ministère.

Elle vise à garantir l’actualité et la pertinence des principaux risques dans un contexte opérationnel en constante évolution, à renforcer la capacité du Ministère à communiquer et à consolider les renseignements sur les risques provenant de diverses sources internes et à réduire le risque de redondance ou de conflit dans les analyses et les rapports sur les risques provenant de différentes sources.

Risques ministériels 2020-2023

Le Profil de risque ministériel 2020-2023 a relevé les principaux risques suivants :

Obligations redditionnelles, rôles et responsabilités

Le sous-ministre est responsable de la mise en œuvre des pratiques de gestion des risques au sein du Ministère, bien que la gestion des risques reste une responsabilité partagée à tous les niveaux et dans tous les domaines d’ECCC. La Direction de la gestion ministérielle, Direction générale des services ministériels et des finances, est chargée de mettre au point, d’établir, de mettre en œuvre et de maintenir une approche ministérielle de la gestion intégrée des risques.

Le Cadre de gestion intégrée des risques définit les rôles et les responsabilités des différents intervenants du Ministère en matière de surveillance et de gestion du risque.

Plusieurs comités de gouvernance officiels existent pour surveiller les risques horizontaux et les questions connexes, notamment le Comité exécutif de gestion (CEG) et le Comité des SMA sur les ressources et les opérations ministérielles (SMA, Opérations). En outre, au moins une fois par an, des renseignements sur les risques sont fournis au Comité ministériel d’audit dans le cadre de son rôle consultatif auprès du sous-ministre.

2. Objectif, portée et méthodologie

2.1 Objectif

L’objectif de l’audit était de confirmer l’application et l’efficacité des processus de gestion intégrée du risque d’ECCC pour appuyer la prise de décisions éclairée.

2.2 Portée

L’audit s’est concentré sur les activités en place en matière de gouvernance, de contrôle, de surveillance des risques et de production de rapports pour soutenir l’intégration de la gestion des risques dans l’ensemble du Ministère, à savoir :

Les éléments suivants ont été exclus de l’audit :

La Direction générale des services ministériels et des finances a mené sa propre évaluation de la maturité de la gestion du risque et des résultats d’ECCC, parallèlement à cet audit interne. Les résultats viennent compléter le travail d’audit.

Les champs d’enquête et les critères de l’audit sont présentés à l’annexe A. Ces critères ont été développés en fonction des résultats d’une évaluation des risques effectuée au cours de la phase de planification de l’audit.

L’audit couvre la période allant de janvier 2020 à mars 2023, afin d’inclure l’ensemble du cycle du Profil de risque ministériel 2020-2023 d’ECCC.

2.3 Méthodologie

L’approche suivante a été utilisée pour effectuer et mener à bien l’audit :

2.4 Énoncé de conformité

L’audit est conforme aux Normes internationales pour la pratique professionnelle de l’audit interne, comme le démontrent les résultats du programme d’amélioration et d’assurance de la qualité.

3. Constatations, recommandations et réponses de la direction

Les principales constatations de l’audit sont présentées sous les thèmes suivants : la gouvernance et les processus de gestion des risques.

3.1 Gouvernance

Conclusion : Une structure de gouvernance est en place pour soutenir une approche intégrée de la gestion du risque. Les rôles et les responsabilités sont définis et des organismes de surveillance sont en place afin d’appuyer l’intégration des renseignements sur les risques dans la prise de décision. Les rôles et responsabilités en matière de gestion du risque des personnes et groupes concernés sont généralement bien compris.

Quelques possibilités d'amélioration ont été recensées. Il est nécessaire d'accroître la connaissance de certaines responsabilités, en particulier celles des champions de risques ministériels et des responsables des plans d’action. L’efficacité de la surveillance de la gestion des risques pourrait être renforcée, notamment en ce qui concerne la fréquence des discussions sur les risques et le suivi des stratégies de gestion des risques par les comités de gouvernance. En outre, il est nécessaire que la haute direction définisse et communique les niveaux de tolérance au risque et la propension à prendre des risques du Ministère.

Ce que nous avons examiné

L’audit visait à déterminer dans quelle mesure les mécanismes de gouvernance en place permettent de soutenir efficacement la gestion intégrée du risque dans l’ensemble du Ministère. Plus précisément, on voulait savoir si :

Ce que nous avons constaté

Organismes de surveillance

Le Cadre de gestion intégrée du risque (CGIR) définit les rôles du CEG et du Comité SMA, Opérations en tant que principaux organismes de gouvernance chargés de surveiller les risques horizontaux. Il définit également les responsabilités précises de chaque comité en matière de gestion intégrée du risque. Les rôles et responsabilités définis dans le CGIR ne correspondent pas directement aux responsabilités définies dans le mandat officiel de chacun des comités.

Selon le CGIR, le rôle du CEG est de fournir un moyen d’examiner les risques ministériels et d’en arriver à une entente générale à ce sujet. Ses responsabilités sont les suivantes :

Alors que le CGIR énumère 4 domaines de responsabilité en matière de risques, le cadre de référence du CEG ne définit pas explicitement les responsabilités en matière de surveillance du risque. Les responsabilités correspondantes peuvent être déduites de son mandat, qui est de fournir une gouvernance globale, une orientation stratégique et une prise de décision fondée sur des données probantes pour soutenir les responsabilités du sous-ministre et les pouvoirs qui lui sont délégués dans le cadre de l’exécution du mandat d’ECCC.

De même, selon le CGIR, le Comité SMA, Opérations est chargé de surveiller la gestion du risque et d’appuyer le sous‑ministre en définissant, analysant et évaluant les risques ministériels et en établissant des stratégies d’atténuation des risques afin d’améliorer la réalisation des objectifs. Le comité est également chargé de veiller à ce que les risques ministériels définis dans le Profil de risque ministériel fassent l’objet d’un suivi et d’une surveillance appropriés et que les ressources affectées à la gestion des risques atteignent les résultats escomptés. En outre, il est chargé de veiller à ce que les risques potentiels soient pris en compte dans toutes les propositions présentées au comité, de contrôler et d’évaluer l’atténuation des risques pour des programmes, des directions générales ou des régions déterminés, au besoin, et de rendre compte de l’exposition aux risques au CEG et au sous‑ministre, le cas échéant.

Le rôle du Comité SMA, Opérations est également défini dans le Profil de risque ministériel 2020-2023, qui stipule que celui-ci est chargé de valider le Profil de risque ministériel et de surveiller les risques ministériels et les stratégies d’atténuation des risques correspondantes sur une base périodique, dans le cadre de ses fonctions régulières de surveillance des risques et du rendement, en soutien au sous-ministre et au CEG.

Alors que le CGIR énumère un certain nombre de responsabilités en matière de risques, le cadre de référence du Comité SMA, Opérations mentionne qu’en passant la gestion du risque comme domaine de responsabilité, si ce n’est que le comité doit assurer la surveillance des ressources financières et des contrôles des risques et qu’il lui incombe d’approuver les produits ministériels liés aux risques et à la gouvernance.

L’examen des comptes rendus, des ordres du jour et des présentations de ces deux comités de gouvernance pour la période prise en considération a permis de constater que les risques sont examinés dans le contexte de présentations sur des sujets précis plutôt que comme un point récurrent à l’ordre du jour. L’examen des documents et des comptes rendus de 88 réunions du CEG a confirmé la discussion et l’approbation du Profil de risque ministériel 2020-2023, du Cadre de gestion intégrée des risques et de la Stratégie de surveillance intégrée des risques. Le risque a également été mentionné au cours de 13 autres réunions. Les discussions sur les risques ont principalement porté sur des thèmes généraux liés à la situation financière du Ministère, aux ressources humaines, à la réconciliation avec les Autochtones, aux priorités et initiatives réglementaires d’ECCC, aux subventions et contributions et à l’approvisionnement.

Les comptes rendus de décisions du Comité SMA, Opérations ont démontré que les risques étaient discutés lors de présentations sur des sujets précis comme les examens financiers trimestriels, le Cadre ministériel des résultats, la planification intégrée, les ressources humaines (formation, planification des effectifs), la cybersécurité et les subventions et les contributions. Ils ont également confirmé les discussions sur le Cadre de gestion intégrée du risque, la Stratégie de surveillance intégrée du risque et les mises à jour des plans d’action du Profil de risque ministériel 2020-2023.

Outre les discussions sur le Profil de risque ministériel et sur le Cadre de gestion intégrée du risque et la Stratégie de surveillance, il n’est pas certain que les discussions sur les risques au niveau du CEG et du Comité SMA, Opérations aient eu une incidence sur le Profil de risque ministériel, la stratégie de surveillance ou les mesures d’atténuation, ou aient mené à des modifications de ces documents. Lors des entrevues avec un certain nombre de cadres supérieurs concernant le rôle de ces comités, la nécessité d’avoir des discussions plus structurées sur les risques horizontaux a été évoquée à plusieurs reprises. Il a également été mentionné que les responsabilités de ces 2 comités en matière de surveillance des risques, telles qu’elles sont décrites dans le CGIR, pouvaient être mal connues.

De plus, il existe plusieurs autres comités de SMA et de directeurs généraux dans la structure de gouvernance d’ECCC (voir l’Annexe B). Ces comités fournissent une orientation et une rétroaction sur des domaines ministériels précis comme la gestion de l’information et les technologies de l’information, la gestion des urgences et de la sécurité, la gestion des projets, les ressources humaines, l’allocation et l’utilisation des ressources de fonctionnement et d’investissement du Ministère, les politiques ministérielles, les subventions et les contributions, les priorités et la mobilisation autochtones et intergouvernementales, l’évaluation et la réglementation environnementales, ainsi que le rendement et les résultats.

Bien que le mandat de chacun de ces comités ne leur confère pas explicitement de responsabilités en matière de gestion du risque, le large éventail d’activités assignées peut permettre de soutenir collectivement une approche intégrée de la gestion du risque au sein du Ministère. 43 % des répondants au questionnaire étaient d’accord ou tout à fait d’accord pour dire que la structure de gouvernance du Ministère surveille efficacement les pratiques de gestion intégrée du risque du Ministère, et 11 % n’étaient pas d’accord ou pas du tout d’accord. De la même manière, 40 % des répondants au questionnaire étaient d’accord ou tout à fait d’accord pour dire que la structure de gouvernance du Ministère applique efficacement les pratiques de gestion intégrée des risques du Ministère, et 13 % n’étaient pas d’accord ou pas du tout d’accord. Un pourcentage important des répondants ont répondu qu’ils ne savaient pas (45 % et 46 %, respectivement). Les résultats montrent que la structure de gouvernance soutient les éléments d’intégration de la gestion du risque dans le processus décisionnel, mais des améliorations sont possibles dans ce domaine.

L’examen des comptes rendus, des ordres du jour et des présentations aux réunions de ces comités a révélé que la plupart des discussions sur les risques ont eu lieu dans le contexte de sujets précis sur une base ad hoc. Les points saillants des réunions des comités des directeurs généraux (DG) sont communiqués aux comités des SMA qui les supervisent, ce qui favorise l’échange d’information tout au long de la chaîne de gouvernance.

Bonnes pratiques Le Comité des DG sur la gestion des investissements offre un exemple de bonne pratique en ce qui concerne la surveillance efficace de l’intégration des pratiques de gestion des risques pour appuyer une prise de décision éclairée. Ce comité a pour mandat de fournir des conseils au Comité SMA, Opérations sur l’affectation et l’utilisation des ressources opérationnelles et d’investissement du Ministère en vue de soutenir les priorités de l’organisation. L’examen des comptes rendus des réunions de ce comité a révélé des discussions régulières sur les risques financiers et les mesures d’atténuation. Nous avons également observé que la tolérance au risque était abordée dans le cadre des délibérations du comité.

Rôles et responsabilités

Les rôles, les responsabilités et l’obligation de rendre compte sont définis dans le Cadre de gestion intégrée des risques, qui est décrit dans la section « Contexte » du présent rapport.

Le Profil de risque ministériel 2020-2023 définit également les rôles et les responsabilités, et introduit le rôle de responsable des plans d’action, qui n’est pas officiellement défini dans le Cadre de gestion intégrée du risque. Selon le Profil de risque ministériel, contrairement aux champions de risques ministériels, les responsables des plans d’action sont les personnes désignées pour mettre en œuvre les mesures d’atténuation prévues qui sont jugées nécessaires afin de mieux gérer les risques. En règle générale, il s'agit du personnel de niveau directeur et DG qui possède une expertise dans le domaine concerné et qui peut déjà être responsable des mesures d'atténuation existantes. Les responsables des plans d’action sont proposés par l’équipe de gestion des risques de la Direction de la gestion ministérielle, en consultation avec les champions de risques ministériels et d’autres intervenants, le cas échéant.

Les résultats du questionnaire ont révélé que la plupart des répondants (74 %) étaient d’accord ou tout à fait d’accord avec l’affirmation « Je comprends mon rôle et mes responsabilités en ce qui concerne l’application des pratiques de gestion des risques au sein du Ministère ». Seuls 16 % n’étaient pas d’accord ou pas du tout d’accord, et 10 % ne savaient pas. En outre, plus de la moitié des personnes interrogées (57 %) connaissaient les responsabilités attribuées à leur direction générale ou à leur secteur en ce qui concerne le développement et la mise en œuvre de pratiques de gestion du risque, y compris les stratégies d’atténuation.

De même, la plupart des personnes interrogées ont indiqué qu’elles comprenaient leur rôle et leurs responsabilités en matière de gestion des risques et la manière dont celle-ci s’applique dans le contexte de leurs fonctions. Toutefois, nous avons constaté un manque de sensibilisation à l’égard de rôles précis comme les champions de risques ministériels et les responsables des plans d’action. Parmi les cadres supérieurs interrogés, les nouveaux cadres embauchés au cours des 2 dernières années n’étaient pas conscients de leur rôle en tant que responsable de plans d’action, et de nombreux cadres ne connaissaient pas le Profil de risque ministériel, et donc leur rôle précis en tant que responsable des plans d’action.

Tolérance et propension à prendre des risques

La tolérance au risque désigne le niveau de risque qu’une organisation est prête à accepter en vue d’atteindre ses objectifs. La propension à prendre des risques représente le niveau de risque que le Ministère est prêt à prendre en vue d’atteindre ses objectifs. L’audit tentait de déterminer dans quelle mesure le Ministère a défini et communiqué sa tolérance au risque ainsi que sa propension à prendre des risques.

Nous avons constaté que les niveaux de tolérance au risque du Ministère étaient fixés pour les principaux risques relevés dans le Profil de risque ministériel 2020-2023 d’ECCC. Ce document décrit le processus d’élaboration de réponses officielles aux risques stratégiques relevés lors de l’exercice d’évaluation des risques ministériels, au cours duquel la tolérance aux risques individuels a fait l’objet de discussions et de débats. Selon le Profil de risque ministériel, des stratégies d’atténuation supplémentaires ont été proposées pour les risques jugés inacceptables (c’est-à-dire dépassant la tolérance de la haute direction). Les réponses aux risques et les plans d’action ont été élaborés à la suite de discussions avec le sous-ministre délégué et des entrevues individuelles avec des champions désignés des risques ministériels. Il a été noté que, pour les 7 risques stratégiques clés du Profil de risque ministériel 2020-2023, le niveau de tolérance était fixé à « inacceptable », la réponse globale étant « réduire » (c’est-à-dire réduire le niveau de risque). Il n’est pas certain que le niveau « inacceptable » de la tolérance au risque définie dans le Profil de risque ministériel oriente la prise de décision aux niveaux opérationnels au sein du Ministère, car les concepts de tolérance et de propension à prendre des risques n’ont pas été définis en dehors dudit profil.

L’équipe d’audit a interrogé des cadres supérieurs pour connaître leur point de vue sur la tolérance au risque et le niveau de risque acceptable. Il a été demandé aux personnes interrogées si la tolérance au risque était définie au sein de leurs directions générales et ce qui était considéré comme un niveau de risque acceptable. Bon nombre des personnes interrogées considèrent que la culture du risque au sein du Ministère est peu encline à prendre des risques, avec un manque de clarté concernant la tolérance au risque et la propension à prendre des risques. Les personnes interrogées ont indiqué que la gestion des risques était une priorité essentielle pour le Ministère et ont souligné l’importance de créer une culture de sensibilisation et d’appropriation des risques. Il n’y a pas eu de consensus clair sur ce qui constitue un niveau de risque acceptable, mais il a été généralement admis que cela dépendait du contexte et des circonstances particulières. Enfin, certains directeurs ont mentionné la nécessité d’équilibrer la gestion des risques avec l’innovation et la recherche d’occasions commerciales favorables, tandis que d’autres ont souligné la nécessité de faire preuve de prudence et d’attention face aux risques et incertitudes potentiels.

Dans le cadre du questionnaire administré, l’équipe d’audit a posé des questions similaires sur les concepts de risque, de tolérance au risque et de propension à prendre des risques :

Dans les cas où des risques ont été pris pour innover, 44 % des répondants ont indiqué que les réussites et les échecs sont pris en compte de la même manière lors de l’examen des leçons apprises, tandis que 23 % n’étaient pas d’accord ou pas du tout d’accord avec cette affirmation. Environ 33 % n’étaient pas certains. La communication des réussites et des échecs est considérée comme une bonne pratique pour soutenir une culture ministérielle d’apprentissage et d’innovation. Le fait que la plupart des personnes interrogées sont en désaccord ou incertaines suggère qu’il est peut-être nécessaire d’ancrer davantage une culture d’apprentissage et d’amélioration, où les échecs sont considérés comme des occasions d’apprendre et de favoriser une culture organisationnelle axée sur l’innovation, la croissance et le développement.

Ceux qui n’étaient pas d’accord ou pas du tout d’accord ont fourni des commentaires supplémentaires pour étayer leur réponse. Le thème principal était la perception selon laquelle le Ministère est peu enclin à prendre des risques, avec une faible tolérance à l’échec et un manque de compréhension de la différence entre les risques réels et les risques perçus. Certains répondants ont estimé qu’il y avait peu de communication ou d’orientations sur la tolérance au risque et la propension à prendre des risques, et que les échecs et les succès n’étaient pas pris en compte de la même manière. Des inquiétudes ont également été exprimées quant à la microgestion et au manque d’expertise au sein de la haute direction. Certaines personnes interrogées ont estimé qu’elles étaient capables de gérer les risques dans le cadre de leur travail, mais qu’elles manquaient d’indications sur la tolérance au risque du Ministère. Dans l’ensemble, il est nécessaire de renforcer la communication et les orientations en matière de gestion du risque et d’adopter une approche plus cohérente pour recueillir la rétroaction et les leçons apprises.

Des énoncés clairs et bien communiqués concernant la tolérance au risque et la propension à prendre des risques soutiennent des pratiques de gestion des risques efficaces, car ils permettent de s’assurer que celles-ci concordent avec les objectifs stratégiques du Ministère. La tolérance au risque peut varier d’une direction générale à l’autre et au sein d’une même direction générale en fonction de divers facteurs comme le milieu opérationnel et l’engagement des intervenants. Cela dit, elle doit être bien comprise par les personnes qui prennent des décisions relatives aux risques dans un dossier particulier. La tolérance au risque doit être claire à tous les niveaux de l’organisation afin de favoriser une prise de décision éclairée par l’analyse du risque et le recours à des approches tenant compte du risque.

Recommandation 1

La sous-ministre adjointe de la Direction générale des services ministériels et des finances devrait renforcer la prise en compte de la gestion intégrée des risques dans les délibérations de la gouvernance ministérielle en prenant les mesures suivantes :

  • Réviser le mandat du Comité exécutif de gestion et du Comité des SMA sur les ressources et les opérations ministérielles afin de refléter leurs responsabilités en matière de surveillance de la gestion intégrée des risques;
  • Mettre au point une approche structurée pour l'examen et le suivi des risques horizontaux lors des réunions des comités de gestion;
  • Établir et communiquer un niveau de tolérance au risque clair pour le Ministère, fondé sur sa propension globale à prendre des risques et en tenant compte de sa capacité à gérer les risques.
Réponse de la direction

La direction est d’accord avec la recommandation.

La sous-ministre adjointe de la Direction générale des services ministériels et des finances renforcera l’inclusion de la gestion intégrée des risques dans la gouvernance ministérielle :

3.2 Processus de gestion des risques

Conclusion : Il existe des outils de gestion intégrée du risque (Profil de risque ministériel, Cadre de gestion intégrée du risque et Stratégie de surveillance intégrée du risque) pour aider les directions générales à gérer les risques. Cependant, ces outils ne sont pas bien connus ou ne sont pas faciles à trouver.

Le Profil de risque ministériel est considéré comme un outil pertinent pour comprendre les risques ministériels. Cependant, il existe peu de preuves de son utilisation dans les processus de planification et de prise de décision opérationnelle des directions générales.

Des possibilités d’amélioration ont été recensées pour renforcer le suivi et l'établissement de rapports sur les risques et les activités d'atténuation associées définis dans le Profil de risque ministériel, ainsi que pour améliorer les connaissances et la maîtrise de la gestion des risques par la communication, l’orientation et la sensibilisation aux possibilités de formation.

Ce que nous avons examiné

L’audit a permis de déterminer dans quelle mesure les processus de gestion des risques sont efficaces pour soutenir la prise de décision. Spécifiquement, l’audit a examiné si :

Ce que nous avons constaté

Profil de risques ministériels et gestion stratégique du risque

Le Secrétariat du Conseil du Trésor du Canada (SCT) a élaboré le Cadre stratégique de gestion du risque pour aider les ministères à gérer les risques. Il fournit un ensemble de principes à appliquer dans tous les domaines de travail, y compris la mise en œuvre des politiques et des programmes. Le SCT a également élaboré un Guide de gestion intégrée du risque, qui inclut une approche recommandée pour le développement d’un Profil de risque ministériel. C’est sur ces éléments fondamentaux qu’ECCC s’appuie pour mettre à jour le Profil de risque ministériel, qui est développé selon un cycle de 3 ans. Le Profil de risque ministériel détermine les risques stratégiques les plus importants susceptibles de se répercuter sur le Ministère dans l’exécution de son mandat et la prestation de ses services. Le dernier exercice d’évaluation globale des risques ministériels s’est achevé au cours de l’année financière 2020 à 2021, avec des mises à jour annuelles jusqu’à la prochaine itération du profil, prévue au cours de l’année financière 2023 à 2024.

L’audit visait à déterminer dans quelle mesure le Profil de risque ministériel est utile pour améliorer l’analyse et la prise de décision de la haute direction en ce qui concerne l’établissement des priorités et l’affectation des ressources. L’audit a révélé que l’approche de planification intégrée récemment adoptée par le Ministère et dirigée par la Direction générale des services ministériels et des finances tient compte des principaux risques stratégiques du Profil de risque ministériel. L’exercice d’allocation budgétaire notionnel et de planification intégrée de 2022 à 2023 a été achevé et une stratégie recommandée pour le fonctionnement, les pressions financières et les subventions et contributions a été présentée au Comité SMA, Opérations en avril 2022. Il a été noté que les pressions étaient liées aux principaux risques relevés dans le Profil de risque ministériel. Les recommandations s’appuyaient sur les risques recensés en consultation avec les directions générales dans le cadre de l’exercice de planification intégrée.

L’audit a relevé peu d’éléments attestant que les renseignements sur les risques ministériels sont pris en compte dans la planification et la prise de décisions opérationnelles des directions générales. En outre, les résultats des entrevues et du questionnaire indiquent une connaissance relativement limitée du Profil de risque ministériel à différents niveaux du Ministère, au-delà de la portée de l’exercice de planification intégrée du Ministère. Des inquiétudes ont également été exprimées quant au caractère opportun du Profil de risque ministériel, et donc à son utilité pour la prise de décisions au niveau opérationnel.

Les discussions avec la haute direction à propos du Profil de risque ministériel indiquent qu’il est considéré comme un outil pertinent pour comprendre les risques ministériels et que son utilité peut varier en fonction de facteurs comme la facilité d’accès au document et la pertinence par rapport à des domaines de programme précis. En fait, quelques personnes interrogées étaient au courant de l’existence du Profil de risque ministériel ainsi que du Cadre de gestion intégrée du risque et de la Stratégie de surveillance intégrée du risque, mais n’étaient pas familières avec leur contenu.

En outre, certaines personnes interrogées ont indiqué qu’elles n’utilisaient pas activement le Profil de risque ministériel dans leur gestion quotidienne des risques. D’après les résultats de nos discussions, il pourrait s’avérer nécessaire de fournir davantage d’orientations et de soutien pour l’intégrer dans les processus de gestion existants. En outre, certaines personnes interrogées ont mentionné la nécessité d’un effort coordonné pour résoudre ou atténuer les risques relevés, plutôt que de simplement les soulever et de passer au point suivant dans la liste.

Les résultats du questionnaire indiquent que 35 % des répondants sont d’accord ou tout à fait d’accord pour dire que l’approche de la gestion intégrée des risques permet de synthétiser efficacement les risques liés aux directions générales pour éclairer les risques ministériels globaux. Les autres répondants n’étaient pas certains, pas d’accord ou pas du tout d’accord avec ces affirmations.

Surveillance des risques du Profil de risque ministériel et production de rapports

La Stratégie intégrée de surveillance du risque d’ECCC et l’Approche de surveillance des risques ministériels attenante définissent les principes fondamentaux qui devraient guider les processus de surveillance et de production de rapports à tous les niveaux. Elles donnent également une orientation sur la manière d’appliquer ces principes à la mise à disposition d’une orientation stratégique et d’outils pour le suivi et la production de rapports sur les risques ministériels relevés dans le Profil de risque ministériel d’ECCC. Conformément à l’approche de surveillance des risques, la surveillance et la production de rapports concernant ces risques et les activités d’atténuation connexes doivent être dirigées par le Centre de gestion intégrée des risques d’ECCC au sein de la Direction des services ministériels et des finances, en collaboration avec les responsables des plans d’action liés au Profil de risque ministériel.

Nous avons été informés que les responsables des plans d’action ne rendent pas compte des progrès accomplis aux champions des risques déterminés dans le Profil de risque ministériel. En revanche, des mises à jour sont fournies chaque année dans le cadre de l’exercice d’actualisation du Profil de risque ministériel. Après avoir complété les gabarits fournis par la Direction de la gestion ministérielle, les responsables des plans d’action ou les planificateurs des directions générales ont affirmé ne plus avoir d’interaction avec la Direction de la gestion ministérielle en ce qui concerne la mise à jour du Profil de risque ministériel. Cela concorde avec les résultats de notre questionnaire. 63 % des répondants ont indiqué qu’ils ne recevaient pas de mises à jour régulières sur l’état des risques et les mesures d’atténuation connexes identifiés dans le Profil de risque ministériel.

L’examen de la dernière mise à jour des plans d’action associés au Profil de risque ministériel a montré que 20 des 35 mesures ou actions d’atténuation (soit 57 %) étaient en cours, sans toutefois préciser une date de mise en œuvre. De plus, il est indiqué que pour 31 (89 %) mesures d’atténuation comportaient une note indiquant que les responsables des plans d’action allaient maintenir les mesures d’atténuation existantes, peu importe si le niveau de risque perçu augmente ou diminue. Notamment, 2 plans d’action visant à atténuer les risques définis dans le Profil de risque ministériel n’ont fait l’objet d’aucune réponse. L’absence de mise en œuvre d’un plan d’action afin d’atténuer les risques ne semble pas avoir de répercussions, ce qui peut entraîner un manque de responsabilité. Cela souligne la nécessité de revoir l’exercice de surveillance et d’en ajuster son administration, le cas échéant.

Orientation, outils et formation

Les résultats des entrevues et du questionnaire suggèrent que les employés à tous les niveaux pourraient ne pas connaître les outils mis au point par la Direction de la gestion ministérielle pour soutenir la gestion intégrée du risque. Bien que des outils soient disponibles sur l’intranet d’ECCC, ils sont difficiles à trouver et n’ont pas fait l’objet d’une promotion efficace au sein du Ministère au-delà de leur présentation et de leur approbation lors des comités de gouvernance. Les personnes interrogées ou les répondants au questionnaire qui connaissaient ces outils ont indiqué qu’ils ne les utilisaient pas parce qu’ils étaient trop généraux pour être utiles dans leur gestion quotidienne des risques.

Les répondants au questionnaire ont été invités à évaluer leur degré de connaissance des rôles et responsabilités de la Direction de la gestion ministérielle en matière de gestion du risque. Les résultats indiquent que les répondants connaissent mal pas cette organisation. La majorité des répondants n’avaient qu’une connaissance limitée, voire aucune connaissance. Par exemple, 9 % des répondants connaissaient très bien le rôle de la direction en tant que fonction de soutien ministériel qui dirige le développement du Profil de risque ministériel, tandis que 25 % ne connaissaient pas du tout ce rôle. De même, 7 % des répondants connaissaient très bien le rôle de la direction en tant que fonction de soutien ministériel pour l’élaboration d’outils et de formations sur la gestion des risques, tandis que 32 % ne connaissaient pas du tout ce rôle.

L’examen de la documentation fournie par la Direction de la gestion ministérielle a montré les efforts déployés pour fournir une orientation et des conseils aux directions générales sur les pratiques de gestion des risques, comme des présentations sur la manière de créer des profils de risque pour les directions générales, une orientation sur la manière de créer des cadres de gestion du risque au niveau des directions générales et des renseignements permettant d’aider les responsables de programmes à inclure une évaluation des risques dans les mémorandums au Cabinet et les soumissions au Conseil du Trésor. La Direction de la gestion ministérielle a reconnu la nécessité d’adopter une approche plus proactive pour soutenir et fournir une orientation en matière de gestion du risque et a reconnu que les efforts sont entravés par un manque de capacités et de ressources.

La formation à la gestion du risque a été mentionnée dans les entrevues et dans les réponses au questionnaire, en particulier en ce qui concerne les niveaux généraux de connaissances en matière de gestion des risques. Plusieurs répondants ont souligné la nécessité d’obtenir une formation et des outils qui pourraient les aider à identifier les risques et à évaluer les probabilités d’impact et les éventualités, ainsi qu’à déterminer comment mettre au point des mesures d’atténuation. La Direction de la gestion ministérielle n’offre pas de formation interne. Toutefois, dans les Nouvelles d’ECCC d’avril 2022, elle a fait connaître plusieurs cours de gestion du risque proposés par l’École de la fonction publique du Canada.

Les résultats du questionnaire montrent que la formation à la gestion du risque pourrait être améliorée. Alors que 35 % des répondants étaient tout à fait d’accord ou d’accord pour dire que des possibilités de formation à la gestion des risques sont disponibles, 53 % n’étaient pas certains ou ne connaissaient pas la disponibilité de telles occasions et 11 % n’étaient pas d’accord ou pas du tout d’accord.

En outre, 24 % des répondants étaient tout à fait d’accord ou d’accord pour dire qu’ils actualisent régulièrement leurs connaissances des pratiques de gestion du risque grâce aux formations disponibles, tandis que 53 % n’étaient pas d’accord ou pas du tout d’accord; les 23 % restants étaient incertains ou ne savaient pas. Cela indique une lacune potentielle dans les connaissances en matière de gestion du risque et suggère qu’il pourrait être nécessaire de renforcer la communication et la sensibilisation aux options de formation disponibles.

Communication de renseignements sur les risques

L’audit a permis de constater l’existence de diverses pratiques de gestion du risque dans les différentes directions générales. Ainsi, l’approche de l’analyse, du suivi, de la surveillance, de la production de rapports et de la communication des risques varie en fonction de la direction générale ou du secteur. Il a été observé que certaines directions générales disposaient d’un système bien structuré et utilisaient des registres de risques et des outils de suivi pour discuter des risques avec leurs homologues dans d’autres ministères. En revanche, d’autres directions générales étaient en train de mettre au point des outils pour faire le suivi des risques et les documenter. L’équipe d’audit a été informée que divers moyens de communication sont utilisés pour diffuser des renseignements sur les risques au sein d’une direction générale ou d’un secteur donné, notamment des retraites, des réunions d’équipe, des réunions bilatérales et des discussions informelles ad hoc. Les réunions bilatérales sont souvent utilisées comme première étape pour transmettre les risques à l’échelon de la haute direction.

Les résultats du questionnaire indiquent qu’il y a des points à améliorer en ce qui concerne la communication de renseignements sur les risques. Par exemple, 28 % des répondants étaient tout à fait d’accord ou d’accord pour dire qu’ils reçoivent des mises à jour régulières sur l’état des risques relevés dans leur direction générale ou secteur, tandis que 55 % n’étaient pas d’accord ou pas du tout d’accord. De même, 28 % des répondants étaient tout à fait d’accord ou d’accord pour dire qu’ils reçoivent des mises à jour régulières sur l’état des mesures d’atténuation liées aux risques relevés dans leur direction générale ou secteur, tandis que 55 % n’étaient pas d’accord ou pas du tout d’accord.

Au niveau ministériel, 16 % des répondants étaient tout à fait d’accord ou d’accord pour dire qu’ils reçoivent des mises à jour régulières sur l’état des risques et les mesures d’atténuation connexes définies dans le Profil de risque ministériel, tandis que 63 % n’étaient pas d’accord ou pas du tout d’accord.

Les résultats suggèrent également que de nombreux répondants estiment ne pas être suffisamment informés des principaux risques et des mesures d’atténuation connexes lorsqu’ils prennent des décisions. Alors que 41 % des répondants étaient tout à fait d’accord ou d’accord pour dire qu’ils sont informés des principaux risques et des mesures d’atténuation connexes, 46 % n’étaient pas d’accord ou pas du tout d’accord.

Sur une note positive, de nombreux répondants ont indiqué qu’ils transmettaient les renseignements sur les risques à leurs collègues et leurs pairs au sein du Ministère. 60 % des personnes interrogées étaient tout à fait d’accord ou d’accord avec le fait que des renseignements sur les risques sont partagés avec des collègues et des pairs au sein de leur direction générale, tandis que 48 % étaient d’accord ou tout à fait d’accord qu’ils échangeaient des renseignements sur les risques avec des collègues et des pairs au sein d’autres directions générales d’ECCC.

On devrait donc tirer profit de ces résultats pour renforcer la cohérence des approches de gestion du risque utilisées dans l’ensemble du Ministère et sensibiliser davantage le personnel à l’élaboration, à la mise en œuvre et au suivi en continu des risques ministériels et des mesures d’atténuation comme elles sont définies dans le Profil de risque ministériel.

Recommandation 2

La sous-ministre adjointe de la Direction générale des services ministériels et des finances devrait revoir et renforcer les processus de développement, de mise à jour, de maintien et de la communication du Profil de risque ministériel, afin de s’assurer qu’il demeure un outil efficace pour soutenir une prise de décision éclairée; et renforcer le suivi et l'établissement de rapports sur le Profil de risque ministériel.

Réponse de la direction

La direction est d’accord avec la recommandation.

La sous-ministre adjointe de la Direction générale des services ministériels et des finances poursuivra sa révision des processus d'élaboration et de mise à jour du Profil de risque ministériel afin de s'assurer qu'il demeure un outil efficace pour soutenir une prise de décision éclairée et renforcera le suivi et l’établissement de rapports sur le Profil de risque ministériel.

Recommandation 3

La sous-ministre adjointe de la Direction générale des services ministériels et des finances devrait trouver des moyens de mieux faire connaître les outils existants de gestion intégrée des risques ministériels, ainsi que les possibilités de formation.

Réponse de la direction

La direction est d’accord avec la recommandation.

La sous-ministre adjointe de la Direction générale des services ministériels et des finances développera des moyens d'accroître la sensibilisation aux outils existants de gestion intégrée des risques ministériels et aux possibilités de formation.

4. Conclusion

Somme toute, une structure de gouvernance est en place pour soutenir une approche intégrée de la gestion des risques. Les rôles et les responsabilités sont définis et des organismes de surveillance sont en place pour soutenir l’intégration des renseignements sur les risques afin d’appuyer la prise de décision. Les rôles et responsabilités en matière de gestion des risques des personnes et groupes concernés sont généralement compris. Il existe des outils de gestion intégrée des risques (Profil de risque ministériel, Cadre de gestion intégrée du risque et Stratégie de surveillance intégrée du risque) pour aider les directions générales à gérer les risques. Cependant, ces outils ne sont pas bien connus ou ne sont pas faciles à trouver. Il existe des outils de gestion intégrée des risques (Profil de risque ministériel, Cadre de gestion intégrée du risque et Stratégie de surveillance intégrée du risque) pour aider les directions générales à gérer les risques. Cependant, ces outils ne sont pas bien connus ou ne sont pas faciles à trouver.

Quelques possibilités d'amélioration ont été recensées. Il est nécessaire d'accroître la connaissance de certaines responsabilités, en particulier celles des champions de risques ministériels et des responsables des plans d’action. L’efficacité de la surveillance de la gestion des risques pourrait être renforcée, notamment en ce qui concerne la fréquence des discussions sur les risques et le suivi des stratégies de gestion des risques par les comités de gouvernance. En outre, il est nécessaire que la haute direction définisse et communique les niveaux de tolérance au risque et la propension à prendre des risques du Ministère. Des possibilités d’amélioration ont aussi été recensées pour renforcer le suivi et l'établissement de rapports sur les risques et les activités d'atténuation associées définis dans le Profil de risque ministériel, ainsi que pour améliorer les connaissances et la maîtrise de la gestion des risques par la communication, l’orientation et la sensibilisation aux possibilités de formation.

Annexe A : Champs d’enquête et critères de l’audit

Champ d’enquête 1 : La gouvernance ministérielle est utilisée efficacement pour soutenir l’intégration de la gestion des risques dans l’ensemble de l’organisation.

Champ d’enquête 2 : Des processus efficaces sont en place pour faciliter la détermination, l’analyse, l’évaluation et la communication cohérentes et opportunes des principaux risques afin d’étayer la prise de décision.

Annexe B : Structure de gouvernance d’ECCC

Description textuelle

Le diagramme dépeint la structure de gouvernance et comment les comités sont reliés. la gouvernance ministérielle est dirigée par deux comités présidés par la sous-ministre: le Comité exécutif de gestion et le Comité de la mesure du rendement, de l’évaluation et des résultats. Le sous-ministre reçoit également des conseils et un soutien indépendant sur les opérations d'ECCC de la part du Comité ministériel d'audit.

Le Comité exécutif de gestion est appuyé par des comités présidés par des chefs de direction générale. Il s'agit des:

  • Comité de gestion des questions juridiques
  • Comité consultatif sur les ressources en cadres supérieurs pour les sous-ministres
  • Comité de gestion des ressources humaines, qui est soutenu par le:
  • Comité consultatif sur l’accessibilité
  • Comités consultatifs patronaux-syndicaux
  • Conseil du leadership sur la diversité et l’inclusion
  • Comité consultatif sur la santé mentale
  • Comité de santé et de sécurité au travail (duquel relèvent les comités régionaux de santé et sécurité au travail)

Comité des SMA en matière de politiques et des sciences, qui est soutenu par le:

  • Comité des DG sur les politiques
  • Comité des DG de la planification réglementaire et des priorités
  • Comité des DG sur l’évaluation environnementale
  • Comité des DG sur les priorités et la mobilisation autochtones et intergouvernementales

Comité des SMA sur les ressources et les opérations ministérielles, soutenu par le:

  • Comité directeur sur la modernisation numérique
  • Comité des DG sur la gestion des investissements
  • Comité des DG sur la gestion des subventions et contributions
  • Comité des DG sur la sécurité et la gestion des urgences
  • Comité des DG sur la planification, le rendement et les résultats

Détails de la page

Date de modification :