Audit interne de la gestion intégrée du risque
Table des matières
Conformité aux normes professionnelles
Cet audit est conforme aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes et à la Politique sur l’audit interne du gouvernement du Canada, comme soutenu par les résultats du programme d'assurance et d'amélioration de la qualité.
Contexte
« La gestion intégrée du risque (GIR) est un processus continu, proactif et systématique qui permet de comprendre, de gérer et de communiquer le risque du point de vue de l’ensemble de l’organisation. »
– Cadre de gestion du risque
Le cadre stratégique de gestion du risque du Conseil du Trésor (CT) fournit des orientations aux hauts fonctionnaires sur la mise en œuvre de pratiques efficaces de gestion du risque afin de soutenir l’établissement de priorités stratégiques et l’affectation des ressources, la prise de décisions éclairées et l’amélioration des résultats. Le cadre décrit les principes d’une gestion efficace des risques ainsi que les rôles et responsabilités des administrateurs généraux, notamment : « s’assurer que les principes et les pratiques de gestion du risque sont compris et intégrés aux diverses activités de leur organisation ».
La GIR est un processus continu, proactif et systématique qui permet de comprendre, de gérer et de communiquer le risque du point de vue de l’ensemble de l’organisation. Elle favorise la prise de décisions stratégiques qui contribuent à la réalisation des objectifs globaux d’une organisation. Elle nécessite une évaluation continue des risques à tous les niveaux et dans tous les secteurs de l’organisation, l’agrégation des résultats à l’échelle ministérielle, leur communication et la mise en place d’un suivi et d’un examen adéquats.
Le cadre de la GIR de Sécurité publique Canada (SP), approuvé en 2019, vise à fournir des orientations aux employés et à la direction sur la mise en œuvre de pratiques saines de gestion du risque à tous les niveaux du ministère, afin de soutenir l’établissement de priorités stratégiques et l’affectation des ressources, la prise de décisions éclairées en fonction de la tolérance au risque de l’organisation, et l’amélioration des résultats. Le cadre détaille les concepts clés des risques, l’intégration de la gestion du risque dans les processus ministériels, ainsi que les rôles et les responsabilités en matière de gestion du risque.
La GIR est dirigée par la division de la planification stratégique (DPS) au sein du Secteur des affaires du portefeuille et des communications (SAPC). La DPS est responsable de l’élaboration et de la mise à jour du cadre de la GIR du ministère et des processus associés, y compris le profil de risque du ministère (PRM). En tant que point central des efforts de GIR du ministère, le PRM joue un rôle majeur dans la définition des priorités et la prise de décisions en fournissant des informations opportunes sur le risque. Un examen complet et approfondi du PRM doit être effectué tous les trois ans et revu chaque année afin qu’il demeure actuel, flexible et adapté.
Mission de services-conseils sur la gestion du risque d’entreprise (2019)
En 2019, la Direction générale de l’audit interne et de l’évaluation (DGAIE) a conduit la mission de services-conseils sur la gestion du risque d’entreprise. La mission a permis de constater que le cadre de la GIR comporte des aspects fondamentaux pour orienter les activités de gestion du risque dans l’ensemble du ministère et qu’il s’harmonise avec les orientations du Secrétariat du Conseil du Trésor (SCT) et les pratiques exemplaires de l’industrie. Toutefois, la mission a cerné des points à améliorer en ce qui concerne les éléments suivants :
- la formulation des rôles et des responsabilités;
- la définition de la tolérance au risque;
- l’administration de la gouvernance;
- la mobilisation des intervenants et la communication;
- l’utilisation de l’information sur le risque ministériel à l’appui de la prise de décisions;
- les pratiques de surveillance et de déclaration.
En réponse aux constatations et aux recommandations émises, une série de mesures ont été mises en œuvre pour consolider la GIR au sein du ministère. Il s’agissait notamment de mettre à jour le cadre afin de clarifier les rôles et les responsabilités et de fournir des instructions sur l’établissement de la tolérance au risque. En outre, les secteurs de SP se sont engagés à veiller à ce que l’information sur le risque disponible dans leur domaine de responsabilité soit communiquée et intégrée dans les processus de gestion du risque ministériel.
Plus précisément, dans le cadre de ses mesures, le Secteur de la gestion ministérielle (SGM) s’est engagé à élaborer et à mettre en œuvre un processus d’évaluation du risque de fraude. Cette mesure est conforme au principe clé de la documentation sur la gestion du risque selon lequel « l’organisation prend en compte l’éventualité d’une fraude dans l’évaluation des risques liés à la réalisation des objectifs ». (Guide COSO de gestion des risques de fraude)
Objectif et portée
Objectif
Le présent audit avait pour objectif de fournir l’assurance que le cadre de GIR de SP et les pratiques connexes sont conçus et mis en œuvre de manière à favoriser une prise de décisions éclairées.
Inclus dans la portée
La portée de l’audit comprenait le cadre de la GIR du ministère et les pratiques connexes utilisées au cours de l’exercice financier 2022-2023 pour gérer les risques. Les activités des années antérieures ont été examinées à des fins de mise en contexte et pour comprendre le cycle triennal du PRM entre 2019 et 2022.
L’audit a porté principalement sur le SAPC en tant que responsable du cadre de la GIR, ainsi que sur le SGM du point de vue de la gestion du risque de fraudeNote de bas de page1. Le Secteur de la gestion des urgences et de programmes (SGUP), le Secteur de la sécurité et de la cybersécurité nationale (SSCN) et le Secteur de la prévention du crime (SPC) ont également apporté leur contribution.
Exclusions de la portée
La portée de l’audit ne comprenait pas l’évaluation de l’harmonisation avec le Cadre de gestion du risque du CT et les guides, méthodologies et outils pertinents, ni l’évaluation des pratiques de gestion du risque au niveau des programmes, des politiques ou des projets susceptibles d’être mis en œuvre au niveau des secteurs.
En outre, cet audit n’a pas été conçu comme un suivi de la mission de services-conseils sur la gestion du risque d’entreprise (2019), mais il a examiné des éléments similaires à la suite des résultats de l’évaluation des risques réalisée au cours de la phase de planification de l’audit.
Méthodologie et approche
Méthodologie
Pour chaque critère établi (voir l’annexe A), une méthode d’audit a été élaborée afin d’examiner adéquatement le domaine en fonction de l’objectif. Pour exécuter la mission, les méthodes suivantes ont été utilisées :
Entrevues
Des entrevues ont été menées avec des représentants des secteurs de SP qui participent à la coordination et/ou à la contribution à l’exercice du PRM. Les principales entrevues ont été menées avec des représentants des secteurs suivants :
- Planification stratégique, SAPC
- Contrôles internes, SGM
- Coordination nationale de la vérification, SGUP
- Administration des affaires, SSCN
- Élaboration des politiques, SPC
Révision de documents
La littérature et les documents ministériels ont été examinés, y compris, mais sans s’y limiter, les documents suivants :
- Cadre de la GIR de SP
- PRM de SP
- Analyse de l’environnement de SP
- Plans ministériels de SP
- Cadre de gestion du risque du CT
- Guide de la GIR du SCT
- Guide de gestion des risques de fraude au Bureau du vérificateur général du Canada
Analyse
Les comptes rendus de décisions des comités de gouvernance de SP concernés pour l’exercice financier 2022-2023 ont été analysés afin de déterminer dans quelle mesure l’information intégrée sur le risque a été communiquée à la haute gestion en vue de son utilisation dans la prise de décisions
Observations
Observation no. 1 : Le cadre de la GIR jette les bases de la structure de gouvernance soutenant les pratiques de GIR. Toutefois, cette structure n’a pas été exploitée de manière appropriée et suffisante au cours de l’exercice financier 2022-2023 pour la communication d’information intégrée sur le risque qui est pertinente et opportune.
Définir la gouvernance de la GIR
Le cadre de la GIR définit trois comités de gouvernance de haut niveau ayant des responsabilités en matière de gestion du risque : le Comité de gestion des ressources (CGR), le Comité de gestion ministériel (CGM) et le Comité ministériel d’audit (CMA).
Conformément à son mandat, le CGR est chargé d’assurer la surveillance de la gestion du risque et le PRM à l’échelle du ministère. Conformément à ses responsabilités définies dans le cadre de GIR, le CGR examine et recommande le PRM au CGM aux fins d’approbation. Enfin, le CMA examine les dispositions de gestion du risque mises en place et maintenues par le ministère et offre des conseils à leur sujet. Dans l’ensemble, nous avons constaté que les rôles et les responsabilités des comités, tels qu’ils sont définis dans leurs mandats et chartes respectifs, et ceux définis dans le cadre de GIR sont alignés.
Aucune mise à jour de la GIR aux comités de gouvernance en 2022-2023
Bien que la structure de gouvernance soutenant les pratiques de GIR soit définie, nous avons constaté qu’elle n’a pas été exploitée de manière appropriée et suffisante au cours de l’exercice financier 2022-2023. L’exercice financier 2021-2022 représentant la dernière année du cycle triennal (2019-2022) du PRM, nous nous attendions à ce qu’un nouveau PRM soit élaboré et présenté aux comités de gouvernance en 2022-2023. Toutefois, des problèmes de ressources associés à des priorités concurrentes au sein de la DPS ont retardé son élaboration. En l’absence d’un nouveau PRM, nous nous attendions à ce que les comités de gouvernance soient informés de l’état des risques et des stratégies d’atténuation connexes définis dans la mise à jour du PRM de l’année précédente (2021-2022), mais cela n’a pas été le cas non plus. Nous avons constaté que la dernière mise à jour importante sur les activités de la GIR fournie aux comités de gouvernance remonte à novembre 2021, lorsque le CGR et le CGM ont reçu des mises à jour sur le PRM. Par conséquent, ni le CGR, ni le CGM, ni le CMA n’ont reçu de nouvelles informations sur la GIR au cours de l’exercice financier 2022-2023. Malgré cela, des discussions sur des risques particuliers ont eu lieu occasionnellement lors des réunions des comités de gouvernance, dans le cadre de mises à jour sur les finances, les subventions et les contributions, et la sécurité, par exemple.
À la fin de notre audit, le nouveau PRM était en cours d’élaboration. Une ébauche a été présentée au CGR en juillet 2023 pour obtenir des commentaires et par la suite une version définitive devrait être présentée au CGM pour approbation et au CMA pour information.
Informations relatives à la GIR incluses dans les documents ministériels
Nous avons constaté que des documents ministériels tels que le Plan ministériel (2022-2023) et le Rapport sur les résultats ministériels (2021-2022) comprenaient de l’information intégrée sur le risque provenant du PRM mis à jour pour la dernière fois en 2021-2022. En outre, le Plan ministériel le plus récent (2023-2024) relève les risques liés aux principales responsabilités du ministère. Bien que ces risques n’aient pas été relevés à la suite d’un exercice d’intégration officiel tel que le PRM, certains des risques liés aux responsabilités essentielles étaient applicables à l’ensemble de l’organisation, notamment les risques liés à la disponibilité des ressources et à la collaboration avec les partenaires. Idéalement, le Plan ministériel 2023-2024 aurait été alimenté par le nouveau PRM, s’il avait été achevé comme prévu en 2022-2023.
Observation no. 2 : Les risques ministériels sont définis, évalués, traités, surveillés et déclarés dans le cadre de l’exercice du PRM. Toutefois, des améliorations sont possibles pour que le PRM soit solide et adapté.
Améliorer le processus de gestion du risque pour l’élaboration et la mise à jour du PRM
Le cadre de la GIR établit un processus de gestion du risque en cinq étapes qui est utilisé pour l’élaboration et la mise à jour continue du PRM. Pour compléter le processus, des documents d’orientation sont mis à la disposition des utilisateurs, notamment une analyse de l’environnement et un formulaire de détermination des risques qui fournissent des directives et des exemples pour cerner les risques, les moteurs, les contrôles existants et les stratégies d’atténuation liés aux indicateurs de rendement et aux cibles. En outre, aux fins du suivi des risques et des stratégies d’atténuation, un formulaire d’examen de fin d’exercice est mis à la disposition des utilisateurs.
Nous avons constaté que les étapes du processus de gestion du risque ont été mises en œuvre à différents moments au cours du précédent cycle triennal du PRM (2019-2022), mais que leur harmonisation et leur calendrier pourraient être améliorés. Actuellement, le cadre de la GIR ne propose aucun calendrier ni aucune fréquence pour ces étapes. Généralement, il est mentionné que le PRM doit faire l’objet d’un examen annuel et d’un examen complet tous les trois ans, mais le contenu de chaque examen n’est pas clair.
Première étape du processus de gestion du risque, l’analyse de l’environnement permet de repérer les principales tendances et problèmes, ainsi que les menaces et occasions potentielles. Ces informations sont recueillies et consignées dans l’analyse de l’environnement de SP, qui doit être un document évolutif et mis à jour au moins une fois par an. Au cours de l’exercice du PRM, l’analyse de l’environnement doit être fournie aux secteurs afin d’éclairer l’étape de détermination du risque du processus de gestion du risque, mais elle peut également être utilisée pour d’autres étapes. Dans le cadre du lancement du nouveau cycle du PRM en janvier 2023, les secteurs ont reçu une copie antérieure de l’analyse de l’environnement de 2021-2022. Il se peut donc que cette version de l’analyse de l’environnement ne contienne pas les informations les plus récentes et les plus pertinentes aux fins de l’élaboration du nouveau PRM, ce qui en réduit l’efficacité. La DPS a fait savoir qu’elle comptait réaliser une nouvelle analyse de l’environnement en 2023-2024. La date n’est pas encore connue.
En ce qui concerne la détermination du risque, nous avons constaté que le cycle précédent du PRM avait permis de cerner quatre risques au moyen de consultations ministérielles en 2018-2019. Les mises à jour ultérieures du PRM au cours du cycle précédent (2019-2022) ne comportaient pas de mécanisme permettant aux secteurs de cerner d’éventuels nouveaux risques, ce qui pourrait expliquer pourquoi aucun nouveau risque n’a été relevé au cours du cycle. Il serait utile de réviser la méthodologie afin de s’assurer que les risques nouveaux et émergents soient pris en compte lors de chaque mise à jour.
En ce qui concerne l’évaluation, la réponse et le suivi et l’évaluation des risques, nous avons constaté que ces étapes ont été réalisées sur une base annuelle, en moyenne, au cours du cycle précédent du PRM. Cela est conforme aux attentes du cadre de la GIR en ce qui concerne les mises à jour annuelles du PRM, mais n’est pas conforme aux processus semestriels d’établissement de rapports sur les risques également définis dans le cadre de la GIR.
Bien que nous ne nous attendions pas à ce qu’un nouveau PRM soit élaboré chaque année, des mises à jour régulières du PRM harmonisées avec la planification annuelle des activités et les cycles d’examen semestriels, comme le suggèrent les orientations du SCT, contribueraient à un PRM solide et adapté. Ces mises à jour doivent intégrer chaque étape du processus de gestion du risque.
Défis en matière de ressources
Nous avons confirmé que les ressources consacrées à la fonction de GIR au sein de la DPS étaient limitées. Les responsabilités sont assumées par un gestionnaire et un conseiller en planification stratégique, qui consacrent respectivement environ 20 % et 50 % de leur temps à cette fonction. Dans l’ensemble, cela équivaut à environ 0,7 équivalent temps plein consacré à la GIR. Toutefois, au cours de l’exercice financier 2022-2023, un poste vacant a réduit cette capacité pendant une grande partie de l’année, contribuant ainsi aux retards observés en ce qui concerne l’élaboration d’un nouveau PRM et d’une nouvelle analyse de l’environnement.
Soutien des secteurs
Afin d’aider la DPS à élaborer le nouveau PRM en 2023, des responsables des risques au niveau des gestionnaires ou des directeurs ont été désignés et chargés de compiler les informations pertinentes sur les risques pour le compte de leur secteur et d’obtenir l’approbation nécessaire. Les informations ont ensuite été envoyées à la DPS pour être consolidées et intégrées à l’échelle de l’organisation.
Bien que les secteurs n’aient pas officiellement élaboré et tenu à jour des profils de risque et des registres de risques au niveau des secteurs, les informations compilées dans le cadre du PRM peuvent être exploitées à cette fin. Cela contribuerait à faciliter un exercice dynamique et continu du PRM si l’analyse et les informations étaient tenues à jour par les responsables des risques au sein des secteurs, en collaboration avec le leadership et l’expertise fournis par la DPS.
À titre de bonne pratique, le SPC a entamé un exercice prospectif afin de cerner les défis et les occasions dans le but de créer un cadre stratégique pour le secteur. Dans le cadre de cet exercice, un profil de risque du secteur a été élaboré et est en attente d’approbation au niveau du sous-ministre adjoint (SMA), tandis qu’un registre des risques du secteur sera mis au point.
« Les informations sur les risques propres à un secteur ou à un programme doivent être consignées dans un profil de risque et un registre des risques du secteur ou du programme. »
– Section 4.0, Cadre de la GIR
Observation no. 3 : Des activités de communication et de sensibilisation visant à transmettre aux employés les documents et les pratiques en matière de gestion du risque ont été réalisées, mais une plus grande uniformité et une plus grande fréquence sont nécessaires. En outre, il est nécessaire d’intégrer une stratégie de communication et des protocoles connexes dans le cadre de la GIR.
Disponibilité des documents relatifs à la gestion du risque
Nous avons constaté que les documents relatifs à la gestion du risque, y compris les liens vers le cadre de la GIR et le PRM, sont disponibles sur la page intranet du ministère consacrée à la gestion du risque. Cette page fournit des informations sur le processus de gestion du risque, les concepts, la méthodologie et les pratiques exemplaires, les échelles de risque et les cartes des points névralgiques, ainsi que les sources potentielles de menaces et d’occasions. Ces documents ont été communiqués à l’ensemble du ministère au moyen de l’InfoBulletin du ministère en janvier 2022. Toutefois, aucune communication semblable n’a été faite au cours de l’exercice financier suivant (2022-2023).
En outre, un article faisant la promotion de la communauté de pratique de la gestion du risque (CPGR) a également été publié dans l’InfoBulletin en février 2022. La CPGR a été créée par la DPS en 2022 pour renforcer la GIR par l’échange d’informations et de ressources, le développement des connaissances et de l’expertise, l’exploration de solutions aux problèmes et défis de la gestion du risque et l’élaboration de processus de gestion intégrée du risque. Le forum est ouvert à tous les praticiens de la gestion du risque au sein du ministère, à tous les niveaux, y compris la direction. Les réunions ont eu lieu entre mars 2022 et avril 2022, mais en raison de problèmes de ressources, elles n’ont plus eu lieu par la suite.
Enfin, lors du lancement du nouveau cycle du PRM en janvier 2023, une présentation a été faite par la DPS aux secteurs pour les informer du processus du PRM et de leurs rôles et responsabilités. Au cours de cette présentation, la DPS a proposé aux participants des ateliers individuels de détermination du risque afin de leur fournir des précisions et des conseils sur le processus. Seuls deux petits groupes du SPC et du SSCN, respectivement, ont accepté l’offre.
Absence de stratégie et de protocoles de communication
D’une manière plus générale, nous avons constaté l’absence d’une stratégie et de protocoles de communication intégrés dans le cadre de la GIR. Il a donc été difficile d’établir l’ampleur et la portée des activités et des processus de communication visant à diffuser de l’information intégrée sur le risque dans les structures organisationnelles et de gouvernance. Malgré l’existence de comités de gouvernance chargés d’examiner et d’approuver le PRM, nous avons constaté que, lors des consultations de la DPS avec les secteurs pendant l’élaboration du nouveau PRM en 2023, il n’y a pas eu de forum de collaboration et d’échange d’informations sur le risque entre les secteurs. Les consultations ont plutôt été menées individuellement, secteur par secteur, et les résultats ont été regroupés.
La communication d’information intégrée sur le risque à l’intérieur et à l’extérieur du contexte de l’exercice du PRM bénéficierait de l’élaboration d’une stratégie et de protocoles de communication comprenant l’ensemble des produits, des méthodes, des forums et de la fréquence de la communication.
Le retour de la communauté de pratique de la gestion du risque peut être mis à profit dans le cadre de cette stratégie en tant que forum pour une réflexion continue sur les risques à l’échelle de l’organisation, y compris une discussion sur le PRM avant sa présentation aux comités de gouvernance ministériels.
Observation no. 4 : Il n’existe pas de cadre de gestion du risque de fraude à l’échelle du ministère; toutefois, certaines pratiques sont en place pour appuyer l’établissement d’un tel cadre.
Absence de cadre de gestion du risque de fraude
Nous avons constaté qu’il n’existe pas à SP de cadre intégré de gestion du risque de fraude à l’échelle du ministère. Le cadre de GIR comprend une section sur les sources, les déclencheurs et les risques liés aux fautes éthiques, mais on n’aborde pas le risque de fraude. La mise en place d’un cadre de gestion du risque de fraude constituerait une pratique exemplaire et permettrait d’accroître la maturité globale de la GIR au sein de SP.
Un élément essentiel du cadre de gestion du risque de fraude est une évaluation du risque de fraude à l’échelle du ministère. Dans le cadre de la mission de services-conseils sur la gestion du risque d’entreprise (2019) de SP, le SGM a indiqué qu’il élaborerait un processus d’évaluation du risque de fraude pour le ministère. Toutefois, après examen, nous n’avons pas trouvé de preuve que ce processus avait été mené à bien comme prévu.
D’autres éléments essentiels qui ne sont pas encore en place à SP, mais qui contribueraient à définir un cadre de gestion du risque de fraude comprennent, sans s’y limiter, un instrument politique, un inventaire des activités de contrôle préventif et de détection à l’échelle du ministère, et un processus particulier de signalement et d’enquête sur les allégations de fraude.
« Il est possible d’atténuer considérablement les risques de fraude en se dotant d’une structure de gouvernance efficace contre la fraude; en menant une évaluation des risques de fraude rigoureuse; en se dotant de mesures solides de prévention et de détection de la fraude; en menant des enquêtes coordonnées en temps opportun; et en prenant des mesures correctives. »
– Guide de gestion des risques de fraude au Bureau du vérificateur général du Canada
Pratiques soutenant la gestion du risque de fraude
Malgré l’absence de cadre, nous avons constaté que certaines pratiques actuellement en place constituent des éléments d’un tel cadre et devraient être prises en considération lors de la réalisation d’une évaluation du risque de fraude. Par exemple :
- Au chapitre des ressources humaines, le code de conduite du ministère est un pilier de la bonne gouvernance en matière de risque de fraude, car il décrit les comportements attendus qui guident les employés dans toutes les activités liées à leurs fonctions professionnelles.
- Au chapitre des finances, des contrôles internes sur les rapports financiers ont été mis en œuvre, l’un des objectifs étant de fournir une assurance raisonnable que les ressources financières sont protégées contre les pertes matérielles dues à la fraude ou à d’autres irrégularités. En outre, un système de contrôle interne de la gestion financière est en cours d’élaboration afin de fournir une assurance supplémentaire quant à l’efficacité des activités de gestion financière.
- Au chapitre de la divulgation interne, divers documents sont disponibles concernant le signalement et le traitement des cas d’actes répréhensibles potentiels, notamment un guide, un schéma de procédure et une foire aux questions.
Conclusions
En conclusion, la conception et la mise en œuvre du cadre de GIR et des pratiques connexes bénéficieraient d’améliorations pour mieux soutenir une prise de décision éclairée. Ces améliorations comprennent la discussion et la communication des risques à l'échelle du ministère, ainsi que des processus visant à développer un PRM plus dynamique et plus adapté.
La communication de l’information intégrée sur le risque aux comités de gouvernance ministériels n’a pas eu lieu au cours de l’exercice financier 2022-2023. Bien que l’absence d’un PRM actualisé ait pu empêcher une discussion approfondie sur la GIR au sein des comités de gouvernance au cours de cette période, nous nous attendions à ce que des discussions officielles sur les risques et les stratégies d’atténuation à l’échelle du ministère aient lieu. Nous n’avons toutefois pas trouvé d’éléments prouvant que de telles discussions avaient lieu de manière systématique ou rigoureuse au CGR ou au CGM. Bien que nous ne puissions ignorer la possibilité que ces discussions aient eu lieu ailleurs au sein de l’organisation ou dans le contexte d’autres exercices d’intégration du risque en dehors du PRM, nous n’avons pas observé d’éléments probants à ce niveau. À l’avenir, l’intégration d’une stratégie de communication et de protocoles connexes dans le cadre de la GIR ainsi que le retour de la communauté de pratique de la gestion du risque peuvent contribuer à l’organisation de discussions officielles et régulières.
Bien que des outils, des processus et des documents d’orientation soient disponibles pour soutenir la GIR, l’harmonisation et le calendrier des étapes du processus de gestion du risque pour le PRM peuvent être améliorés. Actuellement, le cadre de la GIR ne propose aucun calendrier ni aucune fréquence pour ces étapes. Généralement, il est mentionné que le PRM doit faire l’objet d’un examen annuel et d’un examen complet tous les trois ans, mais le contenu de chaque examen n’est pas clair. D’après nos observations, l’étape de détermination des risques du processus de gestion du risque n’est réalisée qu’une seule fois au cours d’un cycle de trois ans du PRM, alors que les autres étapes sont plus fréquentes. En outre, au niveau des secteurs, les profils de risque et les registres de risques n’ont pas été établis pour la plupart, et leur élaboration future pourrait aider la DPS à faciliter un PRM plus dynamique et plus adapté.
Enfin, en dehors de ces observations et à titre de pratique exemplaire, il est possible d’améliorer la maturité globale de la GIR au sein du ministère en élaborant et en mettant en œuvre un cadre de gestion du risque de fraude.
Recommandations
Compte tenu des contraintes actuelles en matière de ressources, les recommandations (et la considération) suivantes sont proposées pour améliorer la conception et la mise en œuvre du cadre de la GIR afin de favoriser une prise de décisions éclairées. Alors que les recommandations sont soumises au processus de suivi du plan d'action de la DGAIE, les considérations ne sont pas incluses car leur mise en œuvre est laissée à la discrétion de la direction.
Recommandation 1 : Le dirigeant principal des risques (sous-ministre adjointe, Secteur des affaires du portefeuille et des communications) devrait intégrer une stratégie de communication et des protocoles connexes dans le cadre de la GIR pour l’échange d’information intégrée pertinente et opportune sur le risque entre les structures organisationnelles et de gouvernance. La stratégie doit prendre en compte les produits, les méthodes, les forums et la fréquence des communications, à la fois dans le contexte du PRM et en dehors de celui-ci. Le retour de la CPGR devrait être envisagé.
Recommandation 2 : Le dirigeant principal des risques (sous-ministre adjointe, Secteur des affaires du portefeuille et des communications) devrait veiller à ce que le cycle de vie complet des activités du PRM liées au processus de gestion du risque du ministère (c.-à-d. l’analyse, la détermination, l’évaluation, la réponse, le suivi et l’évaluation) soit mis en œuvre sur une base annuelleNote de bas de page2, au minimum. Un calendrier de mise en œuvre correspondant devrait être documenté dans le cadre de la GIR et communiqué aux principales parties prenantes en conséquence.
Recommandation 3 : Le sous-ministre adjoint, Secteur de la gestion ministérielle, en collaboration avec le dirigeant principal des risques, devrait élaborer et mettre en œuvre un cadre de gestion du risque de fraude.
Considération : À mesure que la fonction de gestion des risques évolue à SP et à titre de pratique exemplaire, les SMA de chaque secteur, avec les conseils et l’orientation fournis par le dirigeant principal des risques, devraient considérer l'élaboration et la tenue à jour des profils de risque et des registres de risques propres à chaque secteur, à l’appui d’un exercice d’établissement d’un PRM adapté.
8. Plan d’action de la gestion
Recommandations | Actions prévues | Date d'achèvement prévue |
---|---|---|
Recommandation 1 : Le dirigeant principal des risques (SMA, SAPC) devrait intégrer une stratégie de communication et des protocoles connexes dans le cadre de la GIR pour l’échange d’information intégrée pertinente et opportune sur le risque entre les structures organisationnelles et de gouvernance. La stratégie doit prendre en compte les produits, les méthodes, les forums et la fréquence des communications, à la fois dans le contexte du PRM et en dehors de celui-ci. Le retour de la CPGR devrait être envisagé. | Créer un point permanent à l'ordre du jour du CGR pour discuter des risques de l'entreprise et présenter la mise à jour annuelle au PRM. Faire une présentation au CGM après le CGR, si nécessaire. | Décembre 2023 |
Mettre à jour le cadre de la GIR afin d'y inclure une stratégie intégrée de communication des informations sur les risques. | Mars 2024 | |
Réengager la CPGR avec des rencontres trimestrielles ou selon les besoins afin de discuter, d'identifier et de traiter les risques intersectoriels. | Mars 2024 | |
Recommandation 2 : Le dirigeant principal des risques devrait veiller à ce que le cycle de vie complet des activités du PRM liées au processus de gestion du risque du ministère (c.-à-d. l’analyse, la détermination, l’évaluation, la réponse, le suivi et l’évaluation) soit mis en œuvre sur une base annuelle2, au minimum. Un calendrier de mise en œuvre correspondant devrait être documenté dans le cadre de la GIR et communiqué aux principaux intervenants en conséquence. | Définir le processus existant de gestion des risques du PRM (par le biais d'une mise à jour annuelle du cycle triennal du PRM) dans le cadre de la GIR. | Mars 2024 |
Documenter le calendrier de mise en œuvre du PRM dans le cadre de la GIR. | Mars 2024 |
|
Communiquer la version actualisée du CGIR aux parties prenantes (via l'InfoBulletin, la page InfoCentral sur la gestion des risques, les expositions itinérantes, etc.) et les présentations au CGR et au CMA. | Septembre 2024 |
|
Recommandation 3 : Le SMA, SGM, en collaboration avec le dirigeant principal des risques, devrait élaborer et mettre en œuvre un cadre de gestion du risque de fraude. | ||
Consulter les organismes centraux (SCT) et recueillir la documentation disponible sur la gestion du risque de fraude | Octobre 2023 | |
Élaborer un cadre de gestion du risque de fraude | Février 2024 |
|
Obtenir l'approbation du cadre de gestion du risque de fraude par la haute gestion et le CMA | Mars 2024 | |
Lancer la mise en œuvre du cadre de gestion du risque de fraude | Avril 2024 | |
Surveiller et rapporter les résultats de la gestion du risque de fraude | Mars 2025 |
Annexe A
Critères d’audit
- Critère 1 : Gouvernance et orientation stratégique
- Le cadre de la GIR du ministère est appuyé par un mécanisme de gouvernance efficace.
- Critère 2 : Détermination des risques, évaluation des risques, et suivi et évaluation des risques
- Le ministère détermine, évalue, hiérarchise, répond, surveille et rend compte des risques.
- Critère 3 : Suivi et examen
- Le ministère surveille les tendances en matière de risque et les stratégies de réponse aux risques.
- Critère 4 : Communication et utilisation pour la prise de décisions
- Le ministère intègre la gestion du risque à ses structures organisationnelles et de gouvernance par le biais d’une communication pour faciliter la prise de décisions.
- Critère 5 : Gestion du risque de fraude
- Le ministère dispose d’un cadre fonctionnel de gestion du risque de fraude à l’appui du cadre élargi de la GIR.
Notes
- Date de modification :