Vérification interne de la gestion des risques de l'entreprise

Rapport de vérification
15 juillet 2014



Monsieur Bill Jones
Commissaire délégué
Agence du revenu du Canada
555, avenue MacKenzie
Ottawa ON K1A 0L5
CANADA

16 juillet 2014

Vérification interne de la gestion des risques de l'entreprise

Monsieur le Commissaire délégué,

Vous trouverez ci joint notre rapport de vérification interne sur la gestion des risques de l'entreprise pour l'Agence du revenu du Canada (ARC). La phase d'examen de cette vérification interne a été menée entre les mois de février et d'avril 2014.

Cette vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l'audit interne et aux Normes relatives à la vérification interne au sein du gouvernement du Canada. Le présent rapport a été préparé pour l'ARC et, à ce titre, toute tierce partie qui pourrait vouloir utiliser ce rapport le fera à ses propres risques. Les plans d'action de la direction intégrés dans le présent rapport reflètent la réponse de la direction aux constatations et aux recommandations de la vérification interne, et n'ont pas été évalués par EY.

Nous aimerions transmettre nos remerciements aux nombreux cadres supérieurs et membres du personnel de l'Agence qui ont collaboré avec nous à l'exécution de cette vérification; ce fut un plaisir de travailler avec votre équipe. N'hésitez pas à communiquer avec le soussigné pour discuter de tout aspect du présent rapport.

Je vous prie d'agréer, Monsieur le Commissaire délégué, l'assurance de mes sentiments les plus distingués.

Bill Kessels, CPA, CA et CIA
Associé
613-598-4830
bill.kessels@ca.ey.com

1. Introduction

En août 2010, le Secrétariat du Conseil du Trésor a publié le Cadre stratégique de gestion du risque, lequel fournit une orientation aux administrateurs généraux sur la mise en œuvre de pratiques efficaces de gestion du risque à tous les ordres de leur organisation, ce qui favorisera l'établissement des priorités stratégiques et l'affectation des ressources, la prise de décisions éclairées en regard de la tolérance au risque et l'amélioration des résultats.

À l'Agence du revenu du Canada (l'« ARC » ou l'« Agence »), la Division de la gestion des risques de l'entreprise (DGRE) a pour mandat d'aider le commissaire du Revenu et premier dirigeant (PD) à mettre en œuvre des pratiques efficaces de gestion du risque dans l'ensemble de l'Agence. À ce titre, la DGRE est chargée de tenir à jour et d'améliorer le cadre de gestion des risques de l'entreprise (GRE) de l'ARC et de permettre son application dans l'ensemble de l'Agence. La mission de la DGRE est d'« aider la direction de l'ARC et ses employés à prendre des décisions éclairées qui tiennent compte des risques connexes ».

La Division est composée de deux sections distinctes :

  • La Section de la gestion des risques corporatifs (GRC) favorise l'utilisation du renseignement fiable sur les risques à l'échelle de l'entreprise, en particulier par l'élaboration du Profil des risques de l'entreprise (PRE) de l'ARC, et en s'assurant que le PRE alimente les processus de planification et d'établissement de rapports de l'ARC.
  • Le Centre d'expertise (CE) en gestion des risques est chargé de fournir l'infrastructure sous-jacente à partir de laquelle l'ARC peut élaborer sa capacité et ses compétences de gestion du risque (GR). Cela comprend la prestation de services consultatifs et de formation ainsi que l'exécution d'activités de recherche et de développement afin d'élaborer des méthodes et des outils de gestion du risque.

La GRE fait officiellement partie de la structure organisationnelle de l'ARC depuis 2005, lorsque le sous-commissaire de la Direction générale des finances et de l'administration a été nommé le chef de la gestion du risque et que la Division de la gestion du risque et des mesures d'urgence a été créée à la Direction de la sécurité, de la gestion du risque et des affaires internes. En 2010, on a soustrait la responsabilité de la gestion des risques de l'entreprise de la Direction générale des finances et de l'administration et créé la Direction générale de la gestion des risques de l'entreprise, qui a pris en charge le rôle de chef de la gestion du risque. En 2011-2012, le chef de la gestion du risque était soutenu par 21 équivalents temps plein (ETP) et disposait d'un budget de dépenses annuel de 2,0 millions de dollars pour exécuter son mandat.

En février 2013, l'ancienne Direction générale de la gestion des risques de l'entreprise et l'ancienne Direction générale de la vérification et de l'évaluation de l'entreprise ont fusionné pour créer la Direction générale de la vérification, de l'évaluation et des risques (DGVER), sous la direction d'un sous-commissaire et dirigeant principal de la vérification (DPV). En 2013-2014, la Division de la gestion des risques de l'entreprise de la DGVER a réussi à réduire le nombre d'ETP à 15, avec des dépenses annuelles de 1,3 million de dollarsNote de bas de page 1. Ces 15 ETP comprennent deux étudiants à temps partiel et un ETP embauché en 2013-2014 pour les évaluations du risque de fraude interne.

En raison de la récente fusion, la vérification interne de la GRE a été menée par la société à responsabilité limitée Ernst & Young (EY) afin de respecter les normes de vérification interne au sujet de l'indépendance et de l'objectivité de l'équipe de vérification interne.

2. Orientation de la vérification

Objectifs de la vérification

Cette vérification avait pour objectif de garantir à la direction que les ressources de gestion du risque de l'Agence sont utilisées de façon efficace et efficiente pour cerner et gérer les risques, conformément au mandat de la DGRE.

Portée de la vérification

La vérification a permis d'évaluer le cadre de contrôle de la GRE de l'ARC en date d'octobre 2013, ainsi que les améliorations en cours ou prévues. Elle comprenait les éléments suivants :

  • la politique, les directives, les procédures, les aide-mémoire et les outils connexes sur la GRE de l'Agence utilisés pendant la période du 1er janvier 2011 au 1er novembre 2013;
  • les activités de GRE entreprises et les ressources utilisées par la Division ainsi qu'au sein des directions générales et régions;
  • l'utilisation des renseignements sur les risques dans le cadre de la planification et de la prise de décisions de l'entreprise;
  • la communication des renseignements sur les risques, y compris, sans toutefois s'y limiter, les risques liés aux politiques, aux directives, aux procédures et aux outils disponibles ainsi qu'au processus de gestion du risque et au PRE.

La vérification excluait les éléments suivants :

  • le cadre de planification de l'entreprise, à l'exception de l'intégration de la GRE dans la planification opérationnelle et stratégique;
  • les rapports sur le rendement de l'ARC, à l'exception de l'intégration des rapports sur la gestion du risque, le cas échéant.

Approche de vérification

Une évaluation du risque fondée sur des entrevues et un examen de la documentation a été menée pendant la planification de la vérification afin de déterminer les points à examiner. Des critères de vérification ont été élaborés afin de traiter les risques. Ceux-ci sont fournis à l'annexe A. La phase d'examen de la vérification a été menée entre les mois de février et d'avril 2014.

Bien que la vérification ait été menée en vue d'aborder tous les critères de vérification, le présent rapport a été organisé en fonction des thèmes afin de regrouper les constatations communes.

Cette vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l'audit interne et aux Normes relatives à la vérification interne au sein du gouvernement du Canada.

3. Constatations, recommandations et plans d'action

Gouvernance et indépendance

Le mandat du Conseil de direction (Conseil) énonce qu'il est responsable de superviser l'organisation et l'administration de l'ARC ainsi que la gestion de ses ressources, de ses services, de ses biens, de son personnel et de ses contrats. Plus particulièrement, le Conseil supervise le Plan d'entreprise de l'Agence, le régime de gestion et l'administration générale de l'Agence, ce qui englobe l'examen et l'approbation des politiques administratives qui gouvernent les ressources de l'Agence.

La Politique sur la GRE de l'ARC confie au Conseil la responsabilité de superviser les risques à l'Agence. La Politique sur la GRE définit également les rôles, responsabilités et obligations en matière de gestion des risques de l'entreprise des autres intervenants de l'Agence, y compris le commissaire et PD, le sous-commissaire et DPV de la DGVER, le directeur de la DGRE, les chefs des directions générales et les sous-commissaires des régions, les cadres et les gestionnaires, ainsi que tous les employés de l'ARC.

Bien que cela ne soit pas énoncé explicitement dans le mandat du Conseil, il est évident, selon les entrevues menées avec ses membres, que ces derniers comprennent leur responsabilité de supervision de la gestion du risque à l'Agence, laquelle s'inscrit dans le pouvoir octroyé au Conseil en vertu de la Politique sur la GRE. La Politique énonce les responsabilités suivantes du Conseil :

  • approuver la Politique sur la GRE de l'ARC et toute modification ultérieure;
  • superviser la gestion du risque à l'échelle de l'Agence;
  • s'assurer que l'exposition de l'ARC aux risques de l'entreprise est conforme au niveau de tolérance au risque de l'Agence;
  • s'assurer que l'ARC favorise une culture de gestion du risque saine dans l'ensemble de l'Agence.

Les membres du Conseil interviewés ont indiqué qu'ils reçoivent des renseignements sur les risques pertinents et en temps utile, qui leur permettent d'exercer leurs fonctions relatives à la supervision de l'Agence.

Des intervenants de haut niveau provenant de l'ensemble de l'Agence ont également été interviewés et ont indiqué que les différents rôles et responsabilités liés à la gestion du risque, y compris ceux de la DGRE, sont bien définis, communiqués et compris. Les intervenants de haut niveau considéraient que la DGRE faisait preuve de proactivité en communiquant ses outils et ses modèles et en offrant son aide par l'entremise de services consultatifs en matière de gestion du risque.

Comme nous l'avons indiqué précédemment, la DGRE à l'ARC est dirigée par le sous-commissaire et DPV de la DGVER. Dans le cadre de l'examen de la structure de gouvernance en place pour la GRE, l'équipe de vérification a constaté que les principaux facteurs en matière d'indépendance et d'objectivité ont été pris en considération avant la fusion des fonctions de la vérification interne et de la gestion du risque.

Selon l'orientation de l'Institute of Internal Auditors (IIA), la vérification interne ne devrait pas comprendre les activités suivantes :

  • définir le niveau de tolérance au risque;
  • imposer des processus de gestion du risque;
  • fournir à la direction une assurance relativement aux risques;
  • prendre des décisions quant aux réponses aux risques;
  • mettre en œuvre des mesures de réponses aux risques au nom de la direction;
  • assumer la responsabilité de la gestion du risque.

L'examen de la Politique sur la GRE, de la méthodologie du PRE et des discussions avec la haute direction indique que les facteurs de gouvernance pour l'indépendance de la vérification interne, y compris les rôles et les responsabilités, ont été consignés et respectés, et sont conformes aux activités jugées acceptables par l'IIA. L'entente de gouvernance en place soutient une gestion des risques de l'entreprise efficace en confiant à la DGRE la responsabilité de fournir une infrastructure pour une gestion du risque intégrée, tout en veillant à ce que la responsabilité de la gestion des risques et de la prise de décisions quant à l'atténuation des risques demeure celle de la direction. En particulier, les activités mentionnées ci-dessus relèvent du commissaire et PD ou des chefs des directions générales et des sous-commissaires des régions, et non du sous-commissaire et DPV de la DGVER ou des employés de la DGRE.

La vérification a permis de constater que la Charte de la vérification interne de l'ARC reconnaît l'importance de l'indépendance de la fonction de vérification interne en déterminant les responsabilités du DPV relatives à la fonction des risques de l'entreprise, mais indique également qu'il s'agit d'une source de renseignements d'entreprise sans responsabilités opérationnelles connexes. La Charte de la vérification interne souligne la nécessité que toute évaluation ou vérification future de la fonction de GRE soit menée par une tierce partie externe, exigence qui a été respectée en confiant à un tiers la réalisation de la présente vérification interne.

Recommandations

Aucune

Cadre de GRE

La norme 31000 de l'Organisation internationale de normalisation (ISO) définit un cadre de gestion du risque comme un « ensemble d'éléments établissant les fondementsNote de bas de page 2 et les dispositions organisationnellesNote de bas de page 3 présidant à la conception, la mise en œuvre, la surveillance, la revue et l'amélioration continue du management du risque dans tout l'organismeNote de bas de page 4. »

Le Cadre stratégique de gestion du risque du Conseil du Trésor est entré en vigueur en août 2010 et souligne six principes clés que les administrateurs généraux sont encouragés à appliquer dans le cadre de leur responsabilité de gestion des risques au sein de leur organisation. Plus précisément, le cadre du Conseil du Trésor confie aux administrateurs généraux la responsabilité de diriger la mise en œuvre de pratiques efficaces en gestion du risque, de surveiller les pratiques de gestion du risque, de prendre en considération les risques associés à leurs principaux partenaires et de mettre en place un environnement d'apprentissage qui favorise le perfectionnement continu des compétences et des capacités dans le domaine de la gestion du risque. Bien que la Politique sur la GRE indique que ces responsabilités sont celles de divers intervenants à l'Agence, l'équipe de vérification a remarqué que la politique n'énonce pas explicitement que le commissaire et PD a délégué ses obligations et responsabilités prescrites par le Conseil du Trésor par l'effet de la Politique sur la GRE.

L'Agence ne dispose pas de cadre de GRE consigné qui présente toutes les activités à l'appui de la GRE au sein de l'organisation; toutefois, les éléments essentiels d'un cadre de GRE sont en place. Le cadre de GRE à l'Agence est constitué des éléments suivants :

  • la Politique sur la GRE, qui présente les rôles, responsabilités et obligations en matière de gestion du risque des divers intervenants dans l'ensemble de l'Agence;
  • un sous-commissaire et DPV de la DGVER, qui a la responsabilité de fournir des conseils stratégiques au commissaire et PD, au Comité de gestion de l'Agence (CGA), à la haute direction et au Conseil, et de soutenir l'application efficace de la Politique sur la GRE dans l'ensemble de l'Agence. Le sous-commissaire et DPV est appuyé par un directeur de la DGRE, lequel est chargé de la création et de la tenue à jour de l'infrastructure qui permet une gestion du risque intégrée au sein de l'organisation;
  • un processus de gestion du risque de l'ARC défini qui décrit le processus d'établissement du contexte, d'exécution d'une évaluation des risques (identification, analyse et évaluation), de prise de décisions fondée sur les renseignements sur les risques, de surveillance des risques et d'établissement de rapports sur ces derniers, et de communication et de consultation continues avec les intervenants;
  • l'intégration des facteurs de risques de l'entreprise dans le cadre des propositions de projet au Comité de gestion des ressources et des investissements (CGRI) qui sont appuyées par un examen de la DGRE;
  • un PRE qui présente un aperçu condensé des risques importants pour l'Agence découlant d'un processus d'évaluation des risques dirigé par la DGRE, mais alimenté par la rétroaction des membres du CGA, et auquel les chefs de la planification des directions générales et des régions participent. Le PRE est aussi appuyé par un processus de surveillance qui assure la présentation au Conseil de rapports de suivi sur les plans d'action relatifs aux risques de l'entreprise;
  • une formation sur la GRE et sur le processus de gestion du risque de l'ARC dirigée par le personnel de la DGRE afin de contribuer au perfectionnement des compétences et des capacités du personnel dans l'ensemble de l'Agence;
  • des alertes des risques qui assurent une communication continue aux employés de l'Agence des activités dans l'environnement qui pourraient avoir une incidence sur les risques de l'entreprise;
  • des outils et des modèles à l'appui de l'utilisation d'un processus de gestion du risque commun dans l'ensemble de l'Agence, tels que des conseils sur le processus de gestion du risque, un modèle de registre des risques et des guides « comment faire » sur l'élaboration d'un profil de risques et l'utilisation du PRE.

La Politique sur la GRE de l'Agence sert de fondement pour le cadre, lequel est soutenu par les procédures, outils, modèles et rapports de gestion du risque dans l'ensemble de l'Agence, tels que le PRE et les présentations au CGRI, ainsi que la formation sur la gestion du risque. Ces éléments sont conformes au Cadre stratégique de gestion du risque et au Guide de gestion intégrée du risque du Conseil du Trésor. Lors de l'examen du PRE et des procédures, outils et modèles de gestion du risque, l'équipe de vérification a constaté que les concepts de tolérance au risque ont été introduits dans le processus de 2012-2013. Toutefois, le cours de formation sur la gestion du risque et les procédures et outils affichés dans le site Web intranet de l'Agence (InfoZone) offrent peu d'orientation à cet égard.

Recommandations

1. L'Agence devrait examiner la Politique sur la GRE, le mandat du Conseil et les autres documents à l'appui de la GRE afin de s'assurer que les obligations et les responsabilités y sont clairement définies, en particulier lorsque le commissaire et PD a délégué sa responsabilité relative aux activités de gestion du risque à des intervenants dans l'ensemble de l'Agence.

Plan d'action de la direction

La DGRE est d'accord avec cette recommandation, puisqu'elle examine et met à jour régulièrement les instruments de politique d'entreprise dont elle a la responsabilité. Le dernier examen et la dernière mise à jour ont eu lieu en mars 2013. Le prochain examen tiendra compte de la recommandation no 2. La DGRE collaborera également avec la Division des comités de l'Agence et des politiques d'entreprise (DCAPE) de la Direction générale de la stratégie et de l'intégration (DGSI) afin de s'assurer que les rôles et responsabilités continuent d'être harmonisés avec le mandat du Conseil de l'ARC, conformément à la Loi sur l'ARC, ainsi qu'avec le Cadre stratégique de gestion du risque et le Guide de gestion intégrée du risque du Secrétariat du Conseil du Trésor du Canada.

2. La DGRE devrait évaluer les avantages de l'officialisation de son cadre de GRE en consignant un aperçu condensé de toutes les activités de l'Agence qui soutiennent la mise en œuvre de la GRE à l'Agence.

Plan d'action de la direction

La DGRE est d'accord avec cette recommandation et officialisera son cadre de GRE existant. Pour ce faire, la DGRE consignera un aperçu condensé des activités qui soutiennent la mise en œuvre de la GRE à l'Agence d'ici le début de 2015. Cet aperçu condensé sera réalisé sous la forme d'une représentation visuelle qui sera publiée dans InfoZone. La DGRE fera appel à la DCAPE de la DGSI en tant qu'experte en la matière des instruments de politique d'entreprise.

3. La DGRE devrait s'assurer que le matériel d'orientation qui se trouve dans l'intranet de l'Agence (InfoZone) et qui est communiqué aux employés par le truchement de séances de formation tient compte de l'orientation relative à la façon de déterminer et d'utiliser les renseignements sur la tolérance au risque.

Plan d'action de la direction

La DGRE est d'accord avec cette recommandation et a déjà élaboré une méthodologie solide qui présente la façon de déterminer et d'utiliser les renseignements sur la tolérance au risque. Une approche de communication améliorée est prévue pour le printemps 2015.

Intégration des renseignements sur les risques

La mission de la DGRE est d'« aider la direction de l'ARC et ses employés à prendre des décisions éclairées qui tiennent compte des risques connexes ». Ce faisant, la DGRE est responsable de créer et de tenir à jour l'infrastructure qui permet une gestion du risque intégrée à l'Agence.

Par l'exécution de son mandat, la DGRE facilite la collecte et la diffusion de renseignements sur les risques de l'entreprise au moyen de divers mécanismes, y compris les activités suivantes :

  • préparer des analyses environnementales en collaboration avec la DGSI tous les six mois;
  • mener des recherches afin de publier des alertes des risques mensuellement à titre de méthode de distribution en temps opportun des renseignements sur les changements environnementaux externes qui sont liés aux risques de l'entreprise, tels qu'ils sont indiqués dans le PRE;
  • rédiger les sections du Rapport sur les plans et les priorités (RPP) et du Rapport ministériel sur le rendement (RMR) qui sont liées aux risques d'entreprise de l'Agence;
  • diriger l'élaboration du PRE, lequel résume les risques d'entreprise de l'Agence et est distribué à tous les sous-commissaires et accessible à tout le personnel de l'Agence.

Ces activités de la DGRE aident l'organisation à établir une culture de gestion du risque au sein de laquelle les employés comprennent et connaissent les risques qui ont une incidence sur la capacité de l'Agence à s'acquitter de son mandat. De nombreux intervenants qui ont été interviewés trouvaient que les alertes des risques étaient particulièrement utiles en ce qu'elles les tiennent au courant des changements environnementaux qui ont une incidence sur les risques de l'entreprise.

Dans le cadre du mandat de la DGRE, qui consiste à soutenir la prise de décisions éclairées quant aux risques, la Division harmonise également le processus du PRE avec les processus de planification organisationnelle et opérationnelle et fait appel à des intervenants clés dans le cadre du processus. Les résultats du processus d'évaluation des risques du PRE sont utilisés pour déterminer si des plans d'action sont requis. Les risques qui nécessitent des activités d'atténuation supplémentaires font l'objet de discussions à un atelier portant sur l'élaboration de plans d'action axés sur les risques animé par la DGRE, lequel a lieu en octobre, en même temps que le début du processus de planification organisationnelle. De par ces activités, la DGRE offre son expertise en gestion du risque tout en fournissant à la fois une perspective indépendante et une fonction de remise en question fondée sur des preuves afin de s'assurer que les risques cernés tiennent compte des renseignements pertinents dans les environnements interne et externe.

De plus, l'identification et l'évaluation des risques ainsi que l'atelier sur les plans d'action axés sur les risques sont menés avec la participation des sous-commissaires, d'intervenants de la DGSI (qui est responsable de la planification d'entreprise) et des chefs de la planification de chaque direction générale et région. Cela donne l'occasion aux responsables des activités de planification de tirer parti des renseignements sur les risques de l'entreprise pendant le processus de planification organisationnelle et opérationnelle.

Le cadre de la DGRE permet également de s'assurer que les renseignements sur les risques sont intégrés dans les propositions d'investissement stratégique à l'Agence. Toutes les propositions d'investissement stratégique sont examinées par le CGRI. Les propositions de projet doivent tenir compte de facteurs tels que l'harmonisation avec les risques de l'entreprise et avec l'évaluation des risques du projet. Cette évaluation des risques est assujettie à l'examen et à l'approbation de la DGRE afin de confirmer qu'un processus d'évaluation des risques systématique conforme à la méthodologie de gestion du risque de l'ARC a été mené.

Le Centre d'expertise en gestion des risques de la DGRE fournit également des services de soutien aux intervenants dans l'ensemble de l'Agence afin de faciliter davantage l'intégration des renseignements sur les risques dans le processus de prise de décisions. La haute direction a remarqué que la DGRE aide les directions générales et les régions en leur fournissant une orientation et une facilitation en matière d'évaluation des risques, au besoin. Cela inclut les évaluations des risques tant à l'échelle des projets ou des processus que des bureaux locaux.

Les discussions avec la DGRE ont révélé que les renseignements sur les risques provenant de leur participation aux missions consultatives sur les risques auprès des directions générales ou des régions n'étaient pas communiqués de façon proactive avec les intervenants dans l'ensemble de l'Agence en raison de la sensibilité et des propriétaires des renseignements sur les risques.

Bien que les intervenants reconnaissent l'aide fournie par la DGRE, ils ont indiqué qu'il existe tout de même des possibilités de mieux intégrer les renseignements sur les risques dans la planification opérationnelle.

Afin de soutenir l'application uniforme de la gestion du risque dans l'ensemble de l'Agence, la DGRE a également fourni de la formation sur la gestion du risque sous la forme d'un cours d'une journée au personnel de l'Agence, ou dans le cadre de la formation du Programme d'apprentissage des MG ou du Programme d'apprentissage des EC. Les concepts abordés dans la formation sur la gestion du risque sont harmonisés avec la Politique sur la GRE ainsi qu'avec l'orientation et les outils qui se trouvent dans l'intranet de l'Agence (InfoZone), et un grand nombre des participants trouvaient que la formation était pertinente et utile. Toutefois, le matériel de formation sur la gestion du risque offre une orientation limitée sur la façon d'intégrer les renseignements sur les risques dans la planification opérationnelle. Nous avons également remarqué que la formation d'une journée ne cible pas de groupe d'intervenants précis et que, par conséquent, les personnes qui suivent le cours proviennent de différents niveaux et effectuent un travail de différente portée, c.-à-d. des directeurs, des gestionnaires et des chefs d'équipe vs des étudiants, des analystes ou des agents.

Pendant nos entrevues avec la DGRE, nous avons noté que la DGRE est en cours de négociation avec l'École de la fonction publique du Canada (EFPC) afin de transférer l'administration et la prestation du cours sur la gestion du risque. La DGRE continuera toutefois de participer à l'élaboration du contenu de la formation sur la gestion du risque.

Recommandations

4. La DGRE devrait évaluer les renseignements recueillis au moyen de ses activités de consultation afin de déterminer si ceux-ci sont d'une nature délicate, ce qui interdirait leur échange entre les intervenants internes de l'Agence. Dans la mesure du possible et lorsque cela est approprié de le faire, les renseignements sur les risques recueillis au moyen des activités de la DGRE devraient être communiqués aux intervenants de l'Agence, lesquels tireraient profit de ces renseignements.

Plan d'action de la direction

La DGRE est d'accord avec cette recommandation et évaluera, au cas par cas et conditionnellement à l'approbation du client, les renseignements provenant des activités de consultation qu'il serait possible de communiquer aux autres intervenants de l'Agence. De plus, la DGRE s'efforcera de communiquer les constatations sur les risques systémiques découlant de plusieurs séances de consultation avec les intervenants de l'Agence et évaluera le forum et la plate-forme les plus appropriés pour ce faire.

5. La DGRE devrait s'assurer que la formation sur la gestion du risque offerte aux employés de l'Agence répond aux besoins de l'Agence en ce qui a trait à l'utilisation des renseignements sur les risques dans le cadre de la planification opérationnelle et du processus d'affectation des ressources.

Plan d'action de la direction

La DGRE est d'accord avec cette recommandation et a déjà élaboré des outils et une formation afin de répondre aux besoins de l'Agence en ce qui a trait à l'utilisation des renseignements sur les risques dans le cadre de la planification opérationnelle et du processus d'affectation des ressources. Le cours de formation d'une journée sur la gestion du risque couvre l'« Unité 3 : Intégration de la gestion du risque en milieu de travail » et est complété par les outils d'orientation suivants élaborés par la DGRE et déjà disponibles dans InfoZone :

  • « Comment utiliser le Profil des risques de l'entreprise »
  • « Comment intégrer la gestion du risque à la planification »

Une initiative visant à transférer le cours d'une journée à l'EFPC est en cours. Puisque l'ARC n'aura plus l'entière discrétion sur le contenu futur de ce cours, des discussions sont en cours avec l'EFPC afin d'optimiser le contenu existant du cours en vue de l'intégrer dans le programme de gestion du risque de l'École.

6. L'Agence devrait offrir la formation sur la gestion du risque principalement aux employés qui, en fonction de leur rôle, en tireront le plus grand profit, en tenant compte du niveau et de la portée du travail des participants.

Plan d'action de la direction

La DGRE est d'accord avec cette recommandation et dispose actuellement d'une approche à plusieurs volets pour la formation sur la gestion du risque, qui cible les publics clés en fonction de leurs rôles et qui permet de déterminer les différents produits qui répondront aux besoins de ces publics clés. La gamme de produits de formation comprend un module du Programme de formation Leadership Plus de l'ARC pour les gestionnaires, qui fait partie du Programme d'apprentissage annuel pour l'effectif de la direction, et un cours d'une journée sur la gestion du risque.

Le cas échéant, la DGRE continuera de tenir le matériel de formation à jour et pertinent pour les divers publics dans le cadre de son partenariat avec la Direction générale des ressources humaines et l'EFPC, à qui le matériel du cours d'une journée sur la gestion du risque a été fourni. La DGRE continuera également d'utiliser ses services de conseils et de planification de la charge de travail connexes en tant que source principale à partir de laquelle elle sera en mesure de cerner les employés et unités de travail qui ont des rôles de gestion du risque dans le but de leur offrir proactivement un soutien technique afin de répondre à leurs besoins.

Profil des risques de l'entreprise

Le PRE de l'Agence est un document dans lequel on cerne et analyse les risques de l'entreprise susceptibles de menacer la réalisation du mandat de l'Agence, et qui présente les responsabilités relatives à la gestion des risques de l'entreprise et la façon dont ces risques sont traités. Le PRE est aussi une source principale de renseignements qui vise à aider les employés à comprendre les priorités de la GRE et à appliquer les principes de saine gestion du risque dans le cadre de leurs activités quotidiennes.

La DGRE dispose d'une approche officielle pour élaborer le PRE qui est uniforme avec le processus de gestion du risque de l'ARC et décrite dans la Politique sur la GRE. Le processus tient compte des différentes sources d'information, y compris une analyse environnementale interne et externe, et de la rétroaction de divers intervenants relative aux renseignements sur les risques au moyen d'une approche ascendante, c.-à-d. en sollicitant des renseignements sur les risques auprès des gestionnaires et des ressources au niveau de la direction.

Dans le cadre du processus du PRE de 2012-2013, une approche axée sur la tolérance au risque a été mise à l'essai afin de faciliter la simplification du processus en se concentrant sur les secteurs où l'exposition au risque résiduel se situait « à l'intérieur de la zone de tolérance » ou « au-delà de la zone de tolérance » dans l'échelle de tolérance au risque. Cela a permis d'axer les discussions avec la haute direction sur les façons de traiter les risques qui nécessitent des mesures d'atténuation nouvelles ou supplémentaires. Dans le cadre du processus annuel du PRE, la DGRE contribue également au processus de mobilisation du bureau de première responsabilité (BPR) et du bureau de responsabilité complémentaire (BRC) afin de recueillir des renseignements sur les plans d'action axés sur les risques aux fins d'établissement de rapports au CGA et au Conseil. La DGRE a facilité la mise à jour sur l'état des plans d'action axés sur les risques de l'entreprise du PRE de juin 2013. Le suivi des risques de l'entreprise a révélé que 20 des 30 risques d'entreprise de l'Agence ont fait l'objet de mesures d'atténuation, lesquelles ont engendré 72 initiatives individuelles. La haute direction effectuait un suivi adéquat des plans d'action axés sur les risques et a signalé que sur les 72 initiatives individuelles prévues, 17 étaient terminées, 36 étaient sur la bonne voie et 19 étaient en grande partie sur la bonne voie. Aucune initiative n'a été catégorisée comme n'étant pas sur la bonne voie.

Le processus annuel du PRE se termine par la mobilisation des intervenants afin d'obtenir leur rétroaction continue sur les éléments qui ont bien fonctionné et sur ceux qui pourraient être améliorés.

Le processus du PRE de 2012-2013 a permis de cerner 30 risques de l'entreprise, lesquels ont été classés en ordre de priorité en fonction de la répartition des réponses aux risques dans les trois catégories suivantes : « maintenir les contrôles », « atténuer – plan actuel » et « atténuer – plan nouveau ou amélioré ». Sur les 30 risques de l'entreprise, 20 ont été considérés comme des priorités et ont requis une mesure d'atténuation. La majorité des intervenants interviewés trouvaient que le PRE contenait trop de risques pour leur permettre de se concentrer sur les principaux secteurs qui nécessitent leur attention. De plus, de nombreux intervenants ont indiqué que le processus du PRE continuait de nécessiter beaucoup de temps et de ressources aux directions générales et aux régions, alors qu'il ne permettait de cerner que peu de nouveaux risques.

Recommandation

7. La DGRE devrait envisager de simplifier le processus et l'établissement de rapports du PRE en misant sur l'utilisation d'un registre des risques afin de consigner et de surveiller les risques qui ne font pas l'objet de plans d'action, et de restreindre l'établissement de rapports sur les risques de l'entreprise du PRE à ceux qui nécessitent une mesure uniquement, ce qui réduira le nombre de risques dans le PRE. Dans le cadre de l'établissement des priorités en matière des risques, la DGRE devrait tenir compte de l'importance de l'écart entre le risque résiduel et le niveau de tolérance au risque.

Plan d'action de la direction

La DGRE est d'accord avec cette recommandation et continuera de chercher des occasions d'améliorer le processus d'élaboration du PRE en simplifiant les étapes et en réduisant le temps requis des intervenants, tout en s'assurant que les personnes responsables de la gestion des risques et de la détermination des niveaux d'exposition au risque acceptables continuent de fournir leur rétroaction aux points décisionnels clés. De plus, le rapport sur le PRE continuera d'être simplifié, le cas échéant, en poursuivant les efforts des dernières années qui ont permis de se concentrer davantage sur les risques nécessitant une mesure, ainsi que de réduire considérablement la taille du rapport.

En 2014-2015, les mesures en matière d'efficacité pour l'élaboration du PRE et les processus d'établissement de rapports comprennent les suivantes :

  • une collaboration et une intégration accrues à la fonction de planification opérationnelle de l'Agence;
  • une approche d'évaluation des risques révisée visant principalement les perspectives des employés qui sont directement chargés de la gestion des risques;
  • un atelier sur l'évaluation des risques qui est axé sur les risques clés et destiné à la haute direction, tel qu'il a été recommandé par les experts en la matière qui travaillent avec la DGRE;
  • un rapport de 2014-2015 sur le PRE qui poursuit les améliorations précédentes en se concentrant davantage sur l'établissement de rapports visant uniquement les risques clés qui nécessitent une attention pendant toute l'année;
  • une harmonisation des risques avec le rapport sur les plans d'action en matière de vérification interne et, le cas échéant, une intégration de ces derniers dans le cycle de suivi du printemps 2015.

Synergies

En 2013, la fusion des fonctions de vérification interne et de GRE a permis à ces dernières d'optimiser les renseignements sur les risques, et le chef de l'équipe consultative sur les risques a participé au processus du plan de vérification axé sur le risque en tant qu'observateur. Toutefois, il existe d'autres possibilités de tirer profit des renseignements sur les risques et les mesures de contrôle au sein de la DGRE, de la Division de la vérification interne et de la Division de l'évaluation des programmes. Une initiative déterminée par la DGRE dans le cadre de son plan stratégique de 2013 à 2016 consiste à tirer profit du logiciel de vérification interne TeamMate et d'accroître l'échange de renseignements entre les équipes de la DGRE.

Le personnel des services consultatifs en matière de risque de la DGRE a élaboré une approche de gestion de la charge de travail qui tient compte de nombreux facteurs clés pour déterminer le niveau de soutien que la DGRE devrait offrir aux clients. Cette approche tient compte des liens avec les risques de l'entreprise, les priorités et le programme de transformation de l'Agence, la portée, l'équité de la prestation et la compétence du client en gestion du risque. Ces liens sont utilisés afin de déterminer les secteurs où l'expertise de la DGRE peut avoir la plus grande incidence. Le rendement des services consultatifs en matière de risque de la DGRE est évalué à l'aide d'un questionnaire sur la satisfaction de la clientèle. Toutefois, bien que la DGRE élabore actuellement un cadre de mesure du rendement, les indicateurs de rendement clés pour la Division sont actuellement informels et ne comprennent pas d'objectifs.

Recommandations

8. La DGRE devrait examiner les activités de vérification interne, de gestion du risque et d'évaluation des programmes afin de déterminer s'il existe des possibilités de tirer un meilleur profit des renseignements sur les risques et les mesures de contrôle entre ces fonctions.

Plan d'action de la direction

La DGRE est d'accord avec cette recommandation et continuera d'étudier de nouvelles façons de collaborer avec la Division de la vérification interne et la Division de l'évaluation des programmes afin de tirer parti des renseignements sur les risques et les mesures de contrôle. En 2014-2015, la DGRE contribuera une fois de plus à l'élaboration du Plan de vérification et d'évaluation axé sur les risques. De plus, le cycle de suivi du printemps 2015 permettra d'harmoniser les risques avec le rapport sur les plans d'action en matière de vérification interne et, le cas échéant, de les intégrer.

9. La DGRE devrait s'assurer que le Cadre de mesure du rendement en cours d'élaboration pour la Division comprend des indicateurs de rendement clés et des objectifs connexes.

Plan d'action de la direction

La DGRE est d'accord avec cette recommandation et avait déjà mis en œuvre une initiative afin d'établir un cadre de mesure du rendement (CMR) pour la Division. Le CMR en cours d'élaboration comprendra des indicateurs de rendement clés et des objectifs connexes. La DGRE s'assurera également que son CMR est harmonisé avec le CMR à l'échelle de la Direction générale. La DGRE vise le printemps 2015 pour la mise en œuvre de son CMR initial.

Efficience et efficacité

Bien que l'Agence exerce une gestion du risque depuis 2005, la création d'une direction générale de la GRE distincte en 2010 a facilité le développement d'une expertise en gestion du risque et l'établissement d'un programme de GRE. De nombreuses pratiques de GRE ont été officialisées depuis, et la GRE à l'Agence a évolué pour atteindre un état qu'on peut appeler « avancé », c.-à-d. que l'Agence met maintenant au point ses pratiques et ses processus de GRE plutôt que de les élaborer. Il y a lieu de souligner que l'homologue états-unien de l'ARC, l'Internal Revenue Service (IRS), a récemment nommé un agent principal de gestion des risques, dont le mandat est de diriger son programme de GRE, semblable à celui qui est en place à l'ARC.

Comme nous l'avons déjà mentionné, la DGRE était composée de 15 ETP (y compris deux étudiants et une ressource pour l'évaluation des risques de fraude), avec des dépenses de 1,3 million de dollars en 2013-2014, et est chargée de diriger l'élaboration du PRE ainsi que de fournir des services consultatifs en matière de risque, une évaluation des risques de fraude et une formation sur les risques. Actuellement, six ETP et un étudiant se consacrent à l'élaboration et à la surveillance du PRE, et six autres ETP ainsi que l'autre étudiant se concentrent sur la prestation de services consultatifs en matière de risque. Ces deux groupes sont supervisés par un directeur à temps plein. La structure et les ressources affectées à la DGRE ont permis à l'ARC d'acquérir une capacité de consultation interne et ont éliminé le besoin d'embaucher des consultants externes en matière de risque. Cette approche de réalisation à l'interne procure également à l'ARC l'avantage de maintenir les connaissances en matière de risque de l'entreprise. L'investissement de ressources dans le secteur du PRE a facilité l'élaboration de processus de gestion du risque et de l'infrastructure sous-jacente.

La fonction de GRE a été comparée aux fonctions de gestion du risque de trois autres ministères fédéraux comparablesNote de bas de page 5 afin de déterminer si la DGRE utilise ses ressources de façon efficace dans le cadre de la prestation de services. Sur les trois ministères, deux ont indiqué que leur fonction de gestion du risque était établie et avancée, alors que l'autre a indiqué qu'elle était en cours d'élaboration. Aucun des ministères ne disposait de groupes consultatifs internes en matière de risque, mais ils assuraient tous une certaine forme de soutien ponctuel sur demande des intervenants. La vérification a révélé que le nombre d'ETP de la DGRE affecté au PRE correspondait à celui de l'organisme dont la fonction de gestion des risques était en cours d'élaboration. Les organismes dont les fonctions étaient établies et avancées maintenaient environ la moitié de ce nombre d'ETP, ce qui indique que le maintien d'une infrastructure de gestion du risque nécessite moins de ressources que son établissement. La DGRE a terminé ce processus d'établissement et est maintenant prête à réaffecter ses ressources dans les secteurs qui répondent aux besoins changeants de l'Agence.

Recommandation

10. La DGRE devrait étudier les possibilités de réaffecter ses ressources de gestion du risque afin de tenir compte de la transition vers une fonction de gestion du risque avancée.

Plan d'action de la direction

La DGRE est d'accord avec cette recommandation et a déjà commencé à avancer dans cette direction afin de soutenir le volume élevé et la nature ponctuelle des services consultatifs en matière de gestion du risque de la Division. La DGRE tentera d'élargir et d'officialiser son approche matricielle actuelle, dans laquelle les ressources sont affectées aux initiatives et aux missions prioritaires en fonction de leur disponibilité et des pressions. Pour soutenir officiellement le modèle matriciel et l'optimisation des ressources, un plan de travail global pour la Division sera établi et fera l'objet d'un suivi pour 2014-2015 et les années suivantes.

Le cas échéant, les charges de travail et les décisions connexes seront harmonisées avec des stratégies et objectifs d'une plus grande ampleur, tels que le plan stratégique de la Direction générale et Objectif 2020. Nous tirerons profit des sources de renseignements, telles que le Plan d'investissement stratégique et les recommandations de la vérification interne, afin de contribuer à la planification des missions consultatives dans le cadre desquelles la Division peut offrir une valeur optimale quant au soutien des initiatives opérationnelles et des priorités importantes de l'Agence.

4. Conclusions

La vérification a permis de révéler que les ressources de gestion du risque de l'Agence sont utilisées de façon efficace et efficiente afin de cerner et de gérer les risques, tel qu'il est prévu dans le mandat de la DGRE, compte tenu du fait que la gestion du risque était à l'étape d'élaboration à l'Agence au moment de la vérification. La mise en œuvre des recommandations de ce rapport contribuera à s'assurer que l'ARC continue dans cette voie en tant que fonction de gestion du risque avancé.

Annexe A – Critères de vérification

Critères 1

1. La DGRE fait partie d'un cadre de gouvernance efficace pour la GRE. Le cadre est établi, communiqué et compris.

Sous critères

1.1 Un organisme de surveillance ayant la responsabilité de superviser la gestion du risque à l'Agence est en place.

1.2 L'Agence dispose d'un cadre de GRE clairement établi, qui définit les rôles, responsabilités et obligations en matière de GRE des diverses parties au sein de l'Agence, y compris de la direction et de la DGRE.

1.3 Le rôle de la DGRE est clairement défini dans le cadre de GRE global de l'Agence qui est communiqué aux intervenants clés dans l'ensemble de l'organisation et compris par ces derniers.

1.4 Des protocoles de gouvernance clairs qui assurent l'indépendance de la fonction de GRE par rapport à la vérification interne sont établis.

Critères 2

2. Un processus défini pour l'identification, l'évaluation, la gestion et la communication des risques est en place à l'Agence et harmonisé avec l'orientation du Conseil du Trésor.

Sous critères

2.1 Une politique, des directives et des procédures sur la GRE qui définissent les processus d'identification, de classement en ordre de priorité, d'évaluation, de gestion et de communication des risques sont en place à l'Agence.

2.2 La politique, les directives et les procédures de GRE de l'Agence sont harmonisées avec l'orientation du Conseil du Trésor.

2.3 La politique, les directives, les procédures et les outils de GRE sont accessibles et communiqués aux personnes qui doivent les appliquer dans l'ensemble des directions générales et des régions.

Critères 3

3. La politique, les directives et les procédures de GRE fonctionnent comme prévu afin de répondre aux besoins de l'organisation.

Sous critères

3.1 La DGRE facilite la collecte des renseignements sur les risques auprès des directions générales et des régions ainsi que leur communication et leur transmission à l'échelon supérieur, au besoin.

3.2 La DGRE soutient l'intégration des renseignements sur les risques de l'entreprise dans la planification opérationnelle et le processus d'établissement de rapports de l'Agence.

3.3 La DGRE fournit de l'aide à la haute direction à l'échelle des directions générales et des régions afin de tenir compte des renseignements sur les risques dans les processus d'affectation des ressources et de prise de décisions pour la planification stratégique et opérationnelle.

3.4 La DGRE a élaboré des outils et des programmes de formation pertinents afin de fournir une orientation et un soutien adéquats aux directions générales et aux régions pour la mise en œuvre des pratiques de gestion du risque dans leur secteur de responsabilité.

Critères 4

4. Le PRE est élaboré à l'aide d'une approche qui souligne adéquatement les risques clés à l'Agence et qui permet de s'assurer que les stratégies d'atténuation font l'objet d'un suivi afin d'être mises en œuvre en temps opportun.

Sous critères

4.1 La DGRE dispose d'une approche officielle pour l'élaboration du PRE qui est soutenue par une analyse environnementale et qui tient compte des renseignements internes et externes pertinents.

4.2 L'approche de la DGRE pour l'élaboration du PRE permet de cerner un nombre de risques adéquat et est utile afin de soutenir l'ARC dans son processus de planification et d'établissement des priorités.

4.3 La DGRE élabore le PRE, et la direction détermine les stratégies d'atténuation à mettre en œuvre et à surveiller.

Critères 5

5. La DGRE exécute ses activités de GRE de façon efficace.

Sous critères

5.1 Le processus du PRE, tel qu'il est mis en œuvre par la DGRE, est harmonisé avec les processus de gestion du risque dans l'ensemble de l'organisation et en tire profit pour réaliser des synergies dans la mesure du possible.

5.2 Les services consultatifs en matière de risque du Centre d'expertise en gestion des risques de la DGRE sont déployés de façon à assurer l'optimisation de la valeur des investissements.

5.3 Les ressources de la DGRE affectées au soutien de la GRE sont adéquates compte tenu de la taille et de la complexité de l'Agence.

Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :