Vérification interne des pratiques de gestion des risques des projets

Septembre 2013

7050-11-44 (CRS)

Revu par le CS Ex conformément à la Loi sur l’accès à l’information (LAI).Renseignements NON CLASSIFIÉS.

Acronymes et abréviations

Sommaire des résultats

Le Chef – Service d’examen (CS Ex) a effectué plusieurs vérifications d’acquisitions d’immobilisations qui ont mis en évidence des enjeux liés aux pratiques de gestion des risques des projets. C’est pour cette raison qu’il a inclus une vérification de ces pratiques dans son plan de vérification axé sur les risques pour les années financières (AF) 2012-2013 à 2014-2015. La présente vérification visait à déterminer et à évaluer les pratiques de gestion des risques employées dans le cadre de projets pour faire en sorte que les risques stratégiques et opérationnels soient cernés et gérés de façon proactive. La gestion des risques est un domaine qui continue d’évoluer et de prendre de l’importance, comme l’indiquent les cadres et politiques mis à jour qui ont été récemment diffusés par le Secrétariat du Conseil du Trésor (SCT) du Canada et le ministère de la Défense nationale (MDN).

Constatations et recommandations

Politique de gestion des risques. Des améliorations sont possibles en ce qui concerne les niveaux de tolérance au risque, la planification précoce de la gestion des risques et la diffusion des pratiques clés de l’industrie. Malgré l’exigence énoncée dans la politique de gestion intégrée des risques du MDN de janvier 2007, le Ministère n’a établi aucun niveau de tolérance au risque. Quant à la planification de la gestion des risques, la Directive d’approbation des projets (DAP) n’exige un plan de gestion des risques (PGR) qu’à la fin de la phase de définition, ce qui correspond habituellement à la quatrième année d’un projet. Toutefois, pour cerner les risques d’un projet aussitôt que possible, il faut dresser un PGR afin de fournir la méthode nécessaire de gestion des risques. La vérification a permis de déterminer certaines pratiques fondamentales de l’industrie qui pourraient également être incluses dans la DAP.

Avec la participation du Comité des capacités de la Défense et du Conseil de gestion du Programme (CGP), le Vice-chef d’état-major de la Défense (VCEMD) devrait recommander au Chef d’état-major de la Défense (CEMD) et au Sous-ministre (SM) que des niveaux de tolérance au risque soient établis pour le coût, le calendrier et les besoins du programme d’immobilisations à chaque phase d’un projet. En outre, le VCEMD devrait mettre à jour la DAP pour exiger qu’un PGR soit élaboré plus tôt pendant le cycle de vie d’un projet et inclure des techniques de classement des risques.

Surveillance de la gestion des risques. À l’heure actuelle, il n’est pas nécessaire d’inclure l’information sur les risques dans les énoncés de projet présentés au CGP. Bien que cette information soit communiquée au Comité supérieur de révision (CSR), aucun modèle normalisé n’a été élaboré sauf pour les projets de l’Armée canadienne. Le fait de signaler les risques à la haute direction de manière uniforme et de faire approuver les PGR par le CSR aidera les gestionnaires de projets à prendre des décisions plus éclairées et à mieux surveiller leurs projets. Les risques propres à un projet sont signalés au CGP, mais il n’existe aucun mécanisme pour surveiller les risques liés au programme d’immobilisations. Un tableau de bord organisationnel (regroupant les indicateurs de rendement clés au niveau ministériel) pourrait servir à communiquer ces risques à la haute direction. À l’heure actuelle, le CSR ne voit pas les PGR qui sont approuvés par les gestionnaires de projets. Dans le cas des projets complexes, il faut assurer une plus grande surveillance des PGR afin d’aider à établir les procédures nécessaires à la gestion des risques.

Il est recommandé que le VCEMD révise la DAP afin d’y inclure l’information standard sur les risques à présenter au CGP/CSR et exige que les énoncés de programme de niveau 1 présentés chaque trimestre au CGP incluent un tableau de bord sur les risques du programme d’immobilisations, et ce, au moins pour les projets complexes. Par ailleurs, le VCEMD devrait réviser la DAP afin d’exiger que le CSR approuve les PGR des projets complexes.

Pratiques de gestion des risques. Bien que certains bureaux de projet emploient de bonnes pratiques de gestion des risques qui sont enseignées durant la formation en gestion de projet du MDN, nous avons constaté des lacunes dans l’utilisation des techniques et outils de l’industrie pour déterminer et évaluer les risques de projets complexes, y réagir et en assurer la surveillance. D’autres techniques pourraient être employées afin de cerner les risques et de réunir assez d’information pour les évaluer et les atténuer. Dans la plupart des cas, les évaluations des risques ne permettaient pas de quantifier l’incidence possible sur le coût ou le calendrier du projet afin de déterminer les fonds de prévoyance. Les risques des projets d’immobilisations n’étaient pas surveillés une fois les plans d’atténuation mis en œuvre. Les pratiques, outils et techniques de l’industrie ne sont pas tous accessibles au personnel de projet sur le Réseau étendu de la Défense.

Il est recommandé que le Sous-ministre adjoint (Matériels) (SMA(Mat)), le Sous-ministre adjoint (Gestion de l’information) (SMA(GI)) et le Sous-ministre adjoint (Infrastructure et environnement) (SMA(IE)) mettent un ensemble complet d’outils et de techniques de gestion des risques à la disposition du personnel de projet sur leur site Web respectif. De plus, le VCEMD devrait modifier la DAP afin d’y inclure un renvoi aux outils de gestion des risques disponibles.

Nota : Une liste plus détaillée des recommandations du CS Ex et des réponses de la direction figure à l’annexe A—Plan d’action de la direction.

Introduction

Justification de la vérification

Conformément à la Politique sur la vérification interne du Conseil du Trésor du Canada, la gestion des risques est prise en compte dans chaque vérification du CS Ex. Dans huit vérifications¹ antérieures d’acquisitions d’immobilisations, le CS Ex a inclus au moins un enjeu lié à la gestion des risques. Étant donné que la gestion des risques est un élément clé du programme d’immobilisations du Ministère, les observations découlant de ces vérifications ont amené le CS Ex à inclure une vérification de la gestion des risques des projets dans son plan de vérification axé sur les risques pour les AF 2012-2013 à 2014-2015.

Contexte

Avantages de la gestion des risques. Le risque désigne la possibilité qu’un événement survienne et nuise à l’atteinte des objectifs.² La gestion des risques est une démarche systématique visant à établir la meilleure façon de procéder dans des circonstances incertaines par la détermination, l’évaluation, la compréhension, le règlement et la communication des questions liées aux risques.³ La gestion des risques remplit deux fonctions principales : tirer parti des possibilités et réduire au minimum les résultats négatifs dans l’avenir. Une gestion efficace des risques devrait entraîner des conséquences positives, notamment la prise de décisions plus efficaces.⁴ Si les risques ne sont pas gérés de manière efficace dans le programme d’immobilisations, cela pourrait retarder la capacité opérationnelle des FAC ou faire augmenter le coût des projets.

Politiques. Le Cadre stratégique de gestion du risque du Conseil du Trésor (CT) a été publié en 2010 pour remplacer le Cadre de gestion intégrée du risque de 2001. Le nouveau cadre n’a pas été rédigé sous forme de politique, et ce, intentionnellement, de sorte que les ministères aient la souplesse nécessaire pour élaborer leurs propres politiques en fonction de leurs objectifs. La politique du MDN sur la gestion intégrée des risques a été approuvée en 2007 dans le but d’accroître la sensibilisation du Ministère à la gestion des risques. Une nouvelle politique du MDN sur la gestion intégrée des risques est à l’état d’ébauche depuis novembre 2011. La DAP est un autre document clé qui fournit une politique de gestion des risques propre aux projets. Elle a remplacé le Guide d’approbation des projets en octobre 2011. On trouve aussi des lignes directrices sur la gestion des risques dans le Référentiel des connaissances en gestion de projet et la norme ISO 31000, deux documents faisant autorité qui émanent de l’extérieur du Ministère.

Gestion des risques des projets au MDN. Comme l’indique la figure 1, la gestion des risques est présente tout au long du cycle de vie d’un projet. La DAP exige qu’elle soit documentée dans les énoncés de projet, les registres des risques et les PGR. En outre, il faut présenter au SCT une évaluation de la complexité et des risques de chaque projet (ECRP) avant que celui-ci puisse passer à la phase de définition et à la phase de mise en œuvre. L’ECRP sert à déterminer si un projet peut être approuvé par le ministre de la Défense nationale (Min DN) ou par le CT. Chaque année, le MDN produit également un profil des risques de l’organisation qui renferme les principaux risques auxquels il fait face.

Figure 1. Documents de gestion des risques des projets et pouvoirs d’approbation. Cet organigramme montre les divers documents de gestion des risques et pouvoirs d’approbation exigés durant chaque phase du cycle de vie d’un projet. L’approbation du CT peut être requise, selon le niveau d’évaluation de la capacité de gestion organisationnelle du projet et les résultats de l’ECRP.

Objectif

La présente vérification visait à déterminer et à évaluer les pratiques de gestion des risques employées dans le cadre de projets pour faire en sorte que les risques stratégiques et opérationnels soient cernés et gérés de façon proactive.

Portée

La vérification a englobé ce qui suit :

• les grands projets de biens d’équipement, d’infrastructure et de gestion de l’information seulement – les petits projets de moins de 5 M$ ont été exclus;
• les pratiques de gestion des risques dans toutes les phases du cycle de vie d’un projet : identification, analyse des options, définition et mise en œuvre.

Les sujets suivants ont été exclus de la vérification :

• la gestion des risques ayant trait aux estimations des fonds de prévoyance des projets parce qu’une vérification distincte du CS Ex portant sur l’estimation des coûts des projets d’immobilisations était en cours au moment de la présente vérification;
• la gestion des risques assurée par les entrepreneurs du secteur de la défense.

Méthodologie

Les résultats de la vérification sont fondés sur des éléments de preuve tirés des sources suivantes :

• entrevues avec du personnel clé du MDN et du CT;
• examen des politiques, des guides, des cadres, des normes de l’industrie, de la documentation de projet et de la Base de données des investissements pour les capacités (BIC);
• échantillon de 15 projets actuels de gestion de l’information, d’infrastructure et d’équipement se trouvant à différentes phases et évalués à 38,8 milliards de dollars, ce qui représente 36 p. 100 du programme des grands projets d’immobilisations;
• groupes de discussion formés de membres du personnel de chaque bureau de projet inclus dans l’échantillon de vérification.

Critères

Les critères de vérification sont définis à l’annexe C.

Déclaration de conformité

Les constatations et les conclusions formulées dans le présent rapport de vérification sont fondées sur des éléments probants suffisants et appropriés recueillis conformément aux procédures qui respectent les Normes internationales pour la pratique professionnelle de la vérification interne de l’Institut des vérificateurs internes. La vérification est donc conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité. Les opinions exprimées dans le rapport reposent sur les conditions qui existaient au moment de la vérification, et elles ne s’appliquent qu’à l’entité examinée.

Constatations et recommandations

Politique de gestion des risques

Il est possible d’améliorer la politique de gestion des risques du Ministère en ce qui concerne les niveaux de tolérance au risque, la planification précoce de la gestion des risques et les pratiques de l’industrie.

Niveaux de tolérance au risque. La politique du MDN sur la gestion intégrée des risques exige que le Ministère fixe des niveaux de tolérance au risque, mais ces derniers n’ont pas encore été établis. La politique reflète le Cadre stratégique de gestion du risque du SCT, selon lequel des niveaux de tolérance au risque doivent être établis afin d’assurer une gestion efficace des risques. Avec des lignes directrices sur les niveaux de risque acceptables à chaque phase d’un projet, le personnel de projet pourrait gérer plus efficacement les risques liés au coût, au calendrier et aux besoins en capacités. Les niveaux de tolérance peuvent varier selon le type de projet. Par exemple, les projets de gestion de l’information sont habituellement plus risqués que les projets de construction. Bien que le guide d’établissement des coûts du MDN offre certaines directives sur les niveaux de confiance à l’égard du coût à chaque phase d’un projet, des niveaux de tolérance similaires n’existent pas pour les risques liés au calendrier ou aux besoins en capacités.

Moment choisi pour établir le PGR. Le processus actuel d’approbation des projets exige qu’un PGR soit créé avant la fin de la phase de définition d’un projet et annexé au plan de gestion du projet. Or, les pratiques de l’industrie et la norme ISO 31000 suggèrent de créer un PGR au début du projet. Le PGR renferme généralement la méthode utilisée pour élaborer l’évaluation des risques de la phase d’identification dans l’énoncé de projet, l’évaluation des possibilités et des risques du projet et le registre des risques. En établissant le PGR plus tôt dans le processus du cycle de vie du projet, il serait plus facile d’élaborer le registre des risques et l’énoncé de projet. Le PGR pourrait alors devenir un document évolutif qui serait mis à jour au besoin.

Pratiques d’évaluation des risques. On pourrait améliorer la DAP en y incluant les pratiques fondamentales de l’industrie quant à la gestion des risques. Plus précisément, la carte des risques ne renferme pas de cotes numériques pour l’incidence et la probabilité ni de seuils de résultats positifs. Le fait d’inclure des cotes numériques pour l’incidence et la probabilité rend plus exactes les évaluations de la gravité du risque, de sorte que les stratégies d’atténuation puissent être classées par ordre de priorité.

Outre les menaces pour les résultats futurs d’un projet, il faudrait examiner les possibilités durant le processus de gestion des risques. L’évaluation de l’incidence et de la probabilité de résultats positifs permettra aux équipes de projet d’examiner les possibilités avantageuses qui s’offrent au projet.

Contenu de l’évaluation des possibilités et des risques du projet. L’évaluation des possibilités et des risques du projet qui a été élaborée pour résumer les principaux risques du projet n’inclut pas de liste complète des catégories de risque communes. À moins qu’un énoncé de projet ne résume déjà l’information sur les risques, une version à jour de l’évaluation des possibilités et des risques du projet est nécessaire particulièrement dans le cas des projets complexes. Les renseignements requis dans l’évaluation sont un sommaire de la portée, du coût, du calendrier et des risques du projet. Les secteurs de risque communs qui n’y figurent pas concernent les ressources humaines et l’approvisionnement; toutefois, ces risques doivent être évalués au début du cycle de vie d’un projet afin d’éviter des retards importants dans le calendrier.⁵

Résumé. Malgré les exigences précisées dans la politique du MDN sur la gestion intégrée des risques, aucun niveau de tolérance au risque n’a été fixé pour le Ministère. Sans cette ligne directrice, les bureaux de projet pourraient adopter des stratégies d’atténuation inappropriées qui entraînent une hausse des coûts, des retards dans le calendrier ou une réduction des besoins en capacités. En vertu de la politique actuelle de la DAP sur la planification et l’évaluation des risques, les risques qui sont habituellement plus élevés au cours des premières phases ne seront pas atténués assez tôt ni classés par ordre de gravité. De plus, la politique n’inclut pas la détermination ou l’évaluation des risques liés à l’approvisionnement et aux ressources humaines.

Surveillance de la gestion des risques

Il faut améliorer la surveillance de la gestion des risques tant au niveau du programme qu’au niveau du projet.

Tableau de bord organisationnel. Bien que le CGP soit responsable d’évaluer le risque du programme d’immobilisations,⁶ il n’est pas nécessaire à l’heure actuelle qu’un tableau de bord organisationnel détermine les risques du programme; ce tableau de bord servirait à définir le niveau et le type de risque prévus par les bureaux de projet. ⁷ Un tableau de bord du rendement lié aux enjeux actuels est présenté chaque trimestre au CGP pour le compte du SMA(Mat), mais aucun rapport sur les risques liés au résultat futur du programme d’immobilisations pour chaque armée n’est présenté à la haute direction. L’analyse des données du BIC⁸ sur les risques des projets a révélé que les risques relatifs au calendrier étaient plus répandus que les risques associés au coût ou les risques techniques. Une vue d’ensemble de l’information sur les risques pourrait être utile à la haute direction, car elle indiquerait les catégories de risque du programme ou les projets à surveiller pour aider à réduire au minimum la perte ou le retard de la capacité opérationnelle future.

Rapports sur les risques présentés aux comités de surveillance. Dans sa forme actuelle, le modèle d’exposé du CGP pour les projets ne renferme aucune information standard sur les risques et se limite à sept diapositives. Qui plus est, à l’exception de l’Armée canadienne, il n’existe aucun modèle standard pour les exposés présentés au CGP. Il est important de signaler les risques à la fois au CGP et au CSR, car cela aide la haute direction à prendre les décisions et à donner l’assurance que les plans d’atténuation permettent de réduire les risques importants.

En ce qui concerne l’échantillon de 15 projets, l’équipe de vérification a examiné 84 exposés présentés au CGP et au CSR sur une période de dix ans et constaté que 21 d’entre eux ne renfermaient aucune preuve de discussion des risques des projets. L’inclusion de l’information sur les risques dans un modèle standard d’exposé ferait en sorte que les risques soient signalés à la haute direction de manière uniforme.

Planification de la gestion des risques des projets. Le PGR est approuvé par le gestionnaire de projet et décrit la méthodologie du projet. Il sert à effectuer une analyse continue des risques à chaque phase du projet. Bien que ce document clé n’exige pas l’approbation du CSR chargé du projet, il devrait détailler le processus de gestion des risques du projet ainsi que les outils et les approches employés pour atténuer les risques. Une analyse des 15 projets formant l’échantillon de vérification a toutefois montré que les projets n’avaient pas tous un PGR et que la plupart n’établissaient aucune distinction entre le risque inhérent et le risque résiduel.

Résumé. Lorsqu’il s’agit de favoriser la présentation de rapports sur les risques du programme à la haute direction, un tableau de bord organisationnel pourrait s’avérer un outil efficace pour recueillir l’information sur les risques des projets et la résumer lors des réunions du CGP. Sans une vue d’ensemble des risques du programme d’immobilisations, il est plus difficile d’adopter une approche stratégique pour préserver les futures capacités opérationnelles. L’échantillon de projets a révélé que les risques ne sont pas toujours signalés aux organismes de surveillance (CSR et CGP) en partie parce qu’on n’exige pas que les exposés sur la gestion des risques soient présentés selon un modèle standard. En conséquence, les conseils de gestion ne disposent pas toujours d’une information complète sur la détermination et l’atténuation des risques importants. Par ailleurs, les bureaux de projet ne détaillaient pas tous leurs méthodes de gestion des risques dans un PGR, et certaines pratiques de gestion des risques n’étaient pas conformes à celles qui sont stipulées dans la DAP et le Référentiel des connaissances en gestion de projet. Le PGR pour les projets complexes, qui est actuellement approuvé par le gestionnaire de projet, nécessite une surveillance accrue étant donné qu’il tient lieu de cadre de gestion des risques pour le projet. Sans un PGR solide, il est moins probable que la détermination des risques, leur évaluation, la façon d’y réagir et leur surveillance soient empreints de rigueur.

Pratiques de gestion des risques

Les pratiques de l’industrie touchant la gestion des risques des projets ne sont pas mises en œuvre dans tous les projets.

Pratiques de l’industrie. Certaines des pratiques de gestion des risques en vigueur dans l’industrie figurent dans le Carrefour de connaissances – Matériel (Carrefour MAT.⁹ Certaines des pratiques de gestion des risques en vigueur dans l’industrie figurent dans le Carrefour de connaissances – Matériel (Carrefour MAT).¹⁰ Bien que la majorité du personnel de gestion de projet ait reçu une certaine formation en gestion des risques, nous avons constaté que, lorsqu’un projet se trouve à la phase de définition, davantage de pratiques de l’industrie auraient pu être employées dans l’échantillon des 15 projets vérifiés. Ces pratiques de l’industrie sont nécessaires pour déterminer et évaluer les risques des projets, y réagir et en assurer la surveillance. Les résultats détaillés de l’analyse des pratiques de l’industrie dans l’échantillon de vérification sont présentés à l’annexe D.

Détermination des risques. Une détermination appropriée des risques permettra au personnel de projet d’atténuer les risques au début du projet, avant qu’ils ne deviennent des problèmes plus sérieux. Par exemple, une méthode commune de détermination des risques dans la norme ISO 31000 consiste à effectuer une analyse de l’intérêt et de l’influence de tous les intervenants dans le cadre d’un projet. Or, voici ce que nous avons observé dans l’échantillon de vérification :

• Les pratiques de l’industrie ayant trait à la détermination des risques n’étaient pas incluses dans les PGR de la plupart des projets. Il se peut donc que certains risques ne soient pas cernés.
• Les fiches de renseignements sur le risque ou le rapport détaillé de Risk Radar prescrit dans le Carrefour MAT n’ont pas été utilisés dans certains projets. Ces outils fournissent une information complète sur chaque risque afin de l’évaluer, d’y réagir et d’en assurer la surveillance.
• Les PGR de la majorité des projets ne renfermaient aucune méthode pour déterminer les résultats positifs éventuels afin de tirer parti des possibilités.

Évaluation des risques. Une évaluation des risques devrait permettre d’estimer la probabilité et l’incidence de chaque risque, de catégoriser les risques et de les classer par ordre de gravité. Ainsi, les bureaux de projet peuvent concentrer les ressources sur les risques plus prioritaires. Nous avons relevé plusieurs lacunes dans l’évaluation des risques relatifs aux projets échantillonnés :

• La documentation de la moitié des projets ne contenait pas assez d’information sur les risques pour évaluer le niveau de gravité de chaque risque.
• Aucun registre des risques de la DAP ou du Carrefour MAT n’était utilisé dans le cadre de certains projets pour évaluer et classer les risques.
• Dans la plupart des projets pour lesquels on tenait un registre des risques, aucune technique de quantification des risques n’était utilisée pour calculer les fonds de prévoyance nécessaires à l’atténuation des risques.
• Les pratiques de gestion des risques des projets n’étaient pas toujours conformes aux pratiques décrites dans les PGR des projets. Dans certains cas, les outils d’évaluation des risques précisés dans les PGR n’étaient pas utilisés.

Outil de quantification des risques. Bien que le CS Ex,¹¹ ait déjà recommandé l’utilisation d’un outil de quantification des risques, le Ministère ne dispose d’aucun outil pour faciliter cet aspect de la gestion des risques. Or, il existe plusieurs applications qui aident à quantifier les fonds de prévoyance nécessaires pour atténuer les risques liés au coût et au calendrier. Le Sous-ministre adjoint (Finances et services du Ministère) procède actuellement à l’acquisition d’un outil d’établissement des coûts des projets. Cet outil permettra de quantifier les coûts associés aux risques des projets.

Réaction aux risques et surveillance. La réaction aux risques prévoit des options et des mesures visant à réduire au minimum les menaces pour les résultats et accroître les possibilités. Elle devrait être opportune et rentable. La surveillance des risques exige de faire le suivi des risques cernés, de mettre œuvre les plans d’atténuation, de contrôler les risques résiduels, de détermination les nouveaux risques et d’évaluer l’efficacité du processus de gestion des risques. Plusieurs projets dans l’échantillon de vérification ne faisaient pas appel à de bonnes pratiques de réaction aux risques et de surveillance :

• Aucune distinction n’était établie entre le risque inhérent et le risque résiduel dans le registre des risques de la plupart des projets.
• Le registre des risques de certains projets n’incluait pas l’information nécessaire pour surveiller chaque risque.
• Un examen des procès-verbaux des réunions sur les projets a révélé qu’aucune discussion de la gestion des risques n’avait eu lieu dans le cas du tiers des projets.

Résumé. Les pratiques de gestion des risques en vigueur dans l’industrie ne sont pas utilisées dans tous les projets pour déterminer les risques, les évaluer, y réagir et en assurer la surveillance. Seulement trois projets dans l’échantillon de vérification présentaient une tendance à la réduction des risques; en outre, dans la plupart des projets, les coûts liés à l’incidence et à l’atténuation des risques n’étaient pas quantifiés pour déterminer le total des fonds de prévoyance. Comme le montre l’annexe E, bon nombre des techniques et des outils inclus dans les cours du MDN sur la gestion des risques ne sont offerts sur aucun site Web du MDN, et la DAP ne fait pas référence à ces outils ou techniques. Avec un taux de postes vacants de 23 p. 100, les bureaux de projet n’ont simplement pas assez de ressources pour mettre en œuvre tous les processus de gestion des risques. Par conséquent, le personnel de projet qui n’est pas chargé à temps plein de gérer les risques doit avoir facilement accès à des outils appropriés de gestion des risques.

Formation en gestion des risques

Les besoins de formation en gestion des risques n’ont pas été officiellement indiqués dans les PGR de la majorité des projets.

Formation en gestion des risques. Le niveau requis de formation en gestion des risques n’était pas indiqué dans la plupart des PGR. Certains membres du personnel de projet devraient suivre un cours officiel de quatre jours sur la gestion des risques, tandis que d’autres n’ont peut-être besoin que d’un cours de trois heures offert en ligne. Le PGR devrait indiquer le personnel de projet clé qui doit recevoir une formation officielle.

Formation du directeur de projet. Les premières étapes d’un projet sont gérées par le personnel du directeur de projet avant la transition au gestionnaire de projet lors de la phase de définition. Les directeurs de projet, qui représentent les environnements opérationnels des promoteurs de projet, soit la Marine royale canadienne, l’Armée canadienne et l’Aviation royale canadienne, possèdent souvent moins d’expérience en gestion des risques que le personnel chargé de la mise en œuvre des projets. En général, les risques sont beaucoup plus élevés au début d’un projet. Il est donc essentiel que le personnel du directeur de projet reçoive une formation officielle en gestion des risques.

Gestion des risques des projets de moindre envergure. Les projets dont les budgets sont plus restreints ont moins de ressources et de personnel à affecter à la gestion des risques. Les risques associés aux projets de moindre envergure peuvent ne pas être aussi importants que ceux des grands projets complexes. Bien que certains outils de gestion des risques conviennent davantage aux grands projets, le répertoire d’outils contient aussi des applications conviviales comme Risk Radar, qui pourraient servir aux projets plus petits.

Résumé. Il y a actuellement des lacunes dans la détermination des besoins de formation en gestion des risques auxquels il faut répondre pour atténuer efficacement les risques des projets. Si ces besoins ne sont pas définis au début d’un projet, lorsque les risques ont tendance à être plus importants, le personnel de projet ne sera pas en mesure de cerner et de gérer les risques de manière proactive.

Conclusion

Il est nécessaire d’améliorer les politiques et les pratiques de gestion des risques des projets ainsi que la surveillance de la gestion des risques afin de veiller à ce que les risques stratégiques et opérationnels soient cernés et gérés de façon proactive.

Nous avons constaté qu’il était possible d’améliorer la politique de gestion des risques. Notons en particulier que des niveaux de tolérance au risque n’ont pas été établis, que la planification de la gestion des risques n’était pas prévue assez tôt et que des pratiques fondamentales de l’industrie faisaient défaut. En outre, on pourrait renforcer les rapports internes nécessaires pour assurer une surveillance efficace des risques des projets. Afin de déterminer les risques du programme d’immobilisations, chaque armée pourrait présenter à la haute direction un tableau de bord organisationnel sur les risques. Le CSR et le CGP sont deux tribunes où l’on peut assurer la surveillance des risques des projets, mais il n’existe aucune norme pour les exposés sur les risques. Une surveillance accrue de la gestion des risques incitera le personnel de projet à faire en sorte que davantage de pratiques de l’industrie soient mises en place.

Même si de bonnes pratiques étaient en place pour certains projets, l’équipe de vérification a observé que les pratiques reconnues de l’industrie n’étaient pas suivies dans tous les projets. Sans elles, le personnel de projet n’est pas en mesure de réduire les risques des projets au fil du temps ni de quantifier les coûts d’atténuation des risques pour calculer les fonds de prévoyance. Les cours du MDN sur la gestion des risques traitent plusieurs techniques et outils de l’industrie qui ne sont pas facilement accessibles au personnel de projet, mais qui pourraient rendre la gestion des risques plus facile et plus efficace. Un meilleur accès aux outils et techniques de gestion des risques adaptés à la complexité d’un projet devrait combler les lacunes observées dans les phases de détermination et d’évaluation des risques, de réaction aux risques et de surveillance des risques. Il faut également définir les besoins de formation au début d’un projet afin de s’assurer que le personnel clé du promoteur du projet et du responsable de sa mise en œuvre a reçu la formation appropriée en gestion des risques.

Annexe A—Plan d’action de la direction

Le CS Ex applique des critères d’importance pour formuler ses recommandations, comme suit :

Élevée – Les contrôles sont inexistants ou insuffisants. Des problèmes importants ont été relevés et pourraient nuire à la réalisation des objectifs du programme/objectifs opérationnels.

Modérée – Des contrôles sont en place, mais ils ne sont pas suffisamment respectés. Des problèmes importants ont été relevés et pourraient nuire à l’efficience et à l’efficacité des opérations.

Faible – Des contrôles sont en place, mais le niveau de conformité varie.

Politique de gestion des risques

Mesure de la direction

Pour ce qui est du coût, la tolérance au risque du Ministère et du gouvernement du Canada est très faible et bien définie. Il existe une certaine latitude dans les niveaux de tolérance au risque pour la portée et le calendrier, dont l’analyse sera incluse dans l’examen des processus administratifs qui est en cours dans le cadre de la restructuration du processus d’approbation des projets. En outre, un plan de communication sera élaboré afin de déterminer un moyen efficace de transmettre ces changements à tous les intervenants.

BPR : VCEMD

Date cible : Décembre 2014

Mesure de la direction

La DAP exigera que le PGR soit élaboré avant que le projet entre dans la phase de définition et qu’il soit vérifié par le Chef de programme avant d’être présenté au CGP. On encouragera les chefs de projet à inclure le PGR dans la phase d’analyse des options, aux fins de vérification lors de la réunion du CSR.

BPR : VCEMD

Date cible : Novembre 2013

Surveillance de la gestion des risques

Mesure de la direction

Le VCEMD veillera à ce que les énoncés semestriels présentés par le personnel de l’organisation fonctionnelle de niveau 1 et du commandement d’armée incluent un tableau de bord sur les risques du programme. Le Secrétariat du Quartier général de la Défense nationale modifiera les modèles du CGP en fonction de ce changement, et les analystes du Chef de programme s’assureront que les futurs énoncés renferment cette information.

BPR : VCEMD

Date cible : Novembre 2013

Mesure de la direction

Le Secrétariat du Quartier général de la Défense nationale élaborera une diapositive d’information standard sur les risques pour répondre aux exigences concernant les documents d’information destinés au CGP et au Comité des capacités de la Défense. On encouragera les chefs de projet à présenter leur information sous une forme similaire lors de la réunion du CSR.

BPR : VCEMD

Date cible : Janvier 2014

Pratiques de gestion des risques

Mesure de la direction

Le SMA(IE) offrira sur son site Web un lien direct vers le site Web du Carrefour MAT du SMA(Mat). Le site sur la gestion des risques des projets est une importante source d’outils, de procédures et de lignes directrices à l’intention des gestionnaires de projet du SMA(IE).

BPR : SMA(IE)

Date cible : 31 octobre 2013

Le SMA(GI) assurera la coordination avec le SMA(Mat) pour fournir une seule source d’outils et de techniques adaptables à la complexité des projets de gestion de l’information/technologie de l’information, au moyen du site Web du Carrefour MAT géré par le SMA(Mat). En outre, le SMA(GI) fera en sorte que le personnel de projet du SMA(GI) soit au courant de la disponibilité d’autres outils et techniques en fournissant sur le site Web de son groupe un lien vers le site Web du Carrefour MAT.

BPR : SMA(GI)

Date cible : 31 décembre 2013

Le SMA(Mat) mettra à jour le site Web du Carrefour MAT afin d’inclure des outils et techniques de gestion des risques, y compris les pratiques de l’industrie selon la 5e édition du Référentiel des connaissances en gestion de projet, ou de fournir les liens pertinents. Le site Web du Carrefour MAT renfermera aussi des procédures, des lignes directrices et des conseils améliorés sur la façon dont le personnel de projet devrait élaborer et gérer sa stratégie de gestion des risques.

BPR : SMA(Mat)

Date cible : Terminé

Mesure de la direction

On modifiera la DAP afin de fournir des renvois aux outils et techniques de gestion des risques utilisés au sein du Ministère. Chaque organisation de niveau 1 est priée de fournir une liste (et les liens pertinents) de tous les outils de gestion des risques qu’elle juge utiles au Chef de programme/Directeur – Coordination du programme de la Défense 6 afin qu’elle puisse être ajoutée à la DAP. Par la suite, les organisations de niveau 1 effectueront un examen annuel des liens fournis pour s’assurer que les références sont toujours en vigueur.

BPR : VCEMD

Date cible : Janvier 2014

Formation en gestion des risques

Mesure de la direction

Le personnel du Chef de programme vérifiera que le personnel de projet a reçu la formation en gestion des risques à titre de condition préalable aux fins de l’avancement des projets complexes. Le personnel de projet demeure responsable de s’assurer que les membres de son équipe possèdent le niveau approprié de formation en gestion des risques.

BPR : VCEMD

Date cible : En cours

Annexe B—Échantillon de projets

Tableau 1. Échantillon de projets. Nous avons examiné en détail tous les documents sur la gestion des risques à l’égard de ces projets – une combinaison de projets d’équipement, de gestion de l’information et de construction à différentes phases. Des groupes de discussion formés de représentants de chacun des bureaux de projet connexes se sont également réunis.

Annexe C—Critères de vérification

Objectif

La présente vérification visait à déterminer et à évaluer les pratiques de gestion des risques employées dans le cadre de projets pour faire en sorte que les risques stratégiques et opérationnels soient cernés et gérés de façon proactive.

Évaluation des critères

Les critères de vérification ont été évalués à l’aide des niveaux suivants :

Gouvernance

1. Un cadre de gouvernance documenté est en place pour élaborer et mettre en œuvre efficacement la gestion intégrée des risques dans les projets. (Gestion des risques 1)

Niveau d’évaluation 3 – Il faut améliorer l’ébauche de politique sur la gestion intégrée des risques. Dans la DAP, le chapitre sur la gestion des risques doit inclure certaines pratiques clés de l’industrie tirées du Référentiel des connaissances en gestion de projet. Des niveaux de tolérance au risque n’ont pas été établis au sein du Ministère.

Contrôles internes

2. Un système de contrôle interne efficace est en place pour assurer le respect des procédures de gestion des risques. (Gestion des risques 8)

Niveau d’évaluation 4 – Il n’existe aucun système de rapports internes pour signaler les risques liés au programme d’immobilisations. Il faut améliorer la surveillance de la planification de la gestion des risques et les rapports sur les risques.

3. Les risques des projets et les stratégies d’atténuation sont intégrés dans la planification de l’organisation (Gestion des risques 6)

Niveau d’évaluation 2 – La gestion des risques est bien intégrée dans la majeure partie de la planification des projets.

Gestion des risques

4. Un processus officiel efficace est en place pour gérer les risques des projets de manière proactive à toutes les phases – détermination des risques, évaluation des risques, réaction aux risques, communication des risques et surveillance des risques. (Gestion des risques 2, Gestion des risques 3, Gestion des risques 4, Gestion des risques 5 et Gestion des risques 7)

Niveau d’évaluation 4 – De nombreuses pratiques communes de l’industrie n’ont pas été mises en œuvre dans plusieurs projets pour déterminer et évaluer les risques des projets, y réagir et en assurer la surveillance. Il faudrait les adopter afin d’améliorer les pratiques de gestion des risques de ces projets.

5. Le personnel reçoit la formation, les ressources et l’information nécessaires pour remplir ses responsabilités en matière de gestion des risques. (Personnes 4)

Niveau d’évaluation 3 – Une certaine formation en gestion des risques est offerte, mais les niveaux de formation minimums ne sont pas précisés pour la plupart des projets.

Source

Critères de vérification liés au Cadre de responsabilisation de gestion : outil à l'intention des vérificateurs internes, mars 2011 (voir la référence après chaque critère ci-dessus).

Annexe D—Analyse des pratiques de l’industrie

Tableau 2. Résultats de l’échantillon de vérification. Nous avons comparé les pratiques de gestion des risques dans l’échantillon de 15 projets avec 18 pratiques de l’industrie énoncées dans le Référentiel des connaissances en gestion de projet.

Annexe E—Outils de gestion des risques

Tableau 3. Outils de gestion des risques disponibles. Les outils de gestion des risques offerts dans le Carrefour MAT et les lignes directrices du MDN sur la gestion intégrée des risques sont comparés avec d’autres outils tirés de sources comme le Référentiel des connaissances en gestion de projet.

*Référentiel des connaissances en gestion de projet

___________________________________________________________________________________________________________________________

Note de bas de page 1 Vérifications d’acquisitions d’immobilisations du CS Ex de 2005 à 2011 : Projet général de défense chimique, biologique, radiologique et nucléaire; Avion de recherche et de sauvetage; Modernisation des navires de la classe HALIFAX/prolongation de la vie des frégates; Navire de soutien interarmées; Véhicule de patrouille blindé tactique; Installation de maintenance de la Flotte Cape Breton; Système d’information – Soutien et acquisition du Matériel; et Contrat relatif au Système de gestion de données.

Note de bas de page 2 Committee of Sponsoring Organizations of the Treadway Commission; Contrôle interne – Cadre intégré de 2013.

Note de bas de page 3 Cadre stratégique de gestion du risque de 2010 du SCT.

Note de bas de page 4 Ibid.

Note de bas de page 5 Ces deux risques doivent être signalés lors de la réunion mensuelle du comité de surveillance interministériel des grands projets de l’État, car ils jouent un rôle important pour déterminer la santé d’un projet.

Note de bas de page 6 DAP, chapitre 15, paragraphe 15.1.8.

Note de bas de page 7 Un tel tableau de bord est présenté lors de la réunion mensuelle du Comité de surveillance interministériel des grands projets de l’État. Toutefois, seulement 16 des 912 projets inscrits dans le programme d’immobilisations du MDN font l’objet d’un rapport, ce qui représente 50 p. 100 de la valeur du programme.

Note de bas de page 8 La BIC n’établit aucune distinction entre le risque inhérent et le risque résiduel. En outre, il existe peu de lignes directrices ou d’information sur le seuil pour le niveau de gravité de chaque risque. Les rapports sur les risques de la BIC sont en voie d’être remplacés par un outil d’informatique décisionnelle du Système d’information de gestion des ressources de la Défense.

Note de bas de page 9 La DOAD 3000, qui énonce la politique du MDN sur l’acquisition et le soutien du matériel, indique le Référentiel des connaissances en gestion de projet comme norme de gestion de projet du Ministère.

Note de bas de page 10 Le Carrefour de connaissances – Matériel est un site Web du SMA(Mat) qui sert de tribune pour la mise en commun des connaissances sur les processus d’acquisition et de soutien du matériel.

Note de bas de page 11 CS Ex – Vérification du contrat relatif au Système de gestion de données du CP140 Aurora, août 2007.