Vérification des pratiques de gestion du risque
Table des matières
- 1. Résumé
- 2. Introduction
- 3. Constatations et recommandation
-
3.1 Processus d’identification des risques
-
3.2 Gouvernance : rôles, responsabilités et reddition de comptes
-
3.3 Réponse au risque
-
3.4 Outils
- 4. Conclusion
- Annexe A : Constatations et recommandations de la vérification
- Annexe B : Critères de la vérification
- Annexe C : Réponse et plan d’action de la gestion
1. Résumé
La présente vérification a permis de déterminer si la Commission de la fonction publique du Canada (CFP) dispose de pratiques de gestion du risque qui contribuent à la bonne gestion de ses activités et qui aident la haute gestion à prendre des décisions éclairées.
L’équipe de vérification interne a fait part de ses constatations préliminaires au Comité exécutif de gestion, et certaines modifications ont été apportées aux pratiques de gestion du risque de la CFP au cours de l’automne 2022. Ces changements dépassaient la portée de la présente vérification.
Certaines bonnes pratiques de gestion du risque sont en place au sein de la CFP, notamment les suivantes :
- La CFP dispose d’un processus d’identification et de communication des principaux risques organisationnels.
- Les rôles et responsabilités sont bien définis au sein de la structure de gouvernance de la CFP pour le processus d’identification des risques organisationnels.
- La CFP dispose d’un processus permettant d’identifier et de faire une reddition de comptes sur les livrables des stratégies d’atténuation.
- La CFP dispose d’outils pour faciliter l’identification des risques organisationnels.
Toutefois, cette vérification conclut que les pratiques de gestion du risque de la CFP sont insuffisantes pour soutenir une gestion et une prise de décision saines, et que des améliorations sont nécessaires pour soutenir de bonnes pratiques de gestion du risque.
Ces pratiques ne soutiennent pas la gestion du risque et la prise de décisions judicieuses :
- Le processus d’identification des risques ne permet pas d’identifier tous les risques organisationnels importants ni de soutenir les mises à jour en cours d’année.
- Niveau de risque Note de bas de page 1 : Élevé
- Recommandation 1 : La vice-présidente du Secteur des affaires ministérielles, en collaboration avec le Comité exécutif de gestion, devrait mettre en œuvre un cadre de gestion des risques organisationnels comprenant un processus clair d’identification, de suivi et de mise à jour des principaux risques organisationnels. Suffisamment de temps devrait également être consacré à l’identification des risques et aux discussions sur le sujet.
- Réponse : La vice-présidente du Secteur des affaires ministérielles soutient la recommandation d’adopter un cadre de gestion des risques organisationnels. La gestion des risques est un élément essentiel de l’approche de planification intégrée, grâce à des échanges réguliers avec les secteurs, les directions et la CFP.
- Mesures prévues : Un cadre de gestion des risques organisationnels sera élaboré conformément au cadre de gestion du risque du Secrétariat du Conseil du Trésor du Canada. Le cadre comprendra un processus de surveillance trimestriel ainsi que des discussions régulières au sein des comités de gouvernance.
- Certains risques organisationnels sont des enjeux.
- Niveau de risque : Élevé
- Recommandation 2 : La Division des résultats et de la livraison devrait inclure une liste des enjeux et des plans d’action principaux dans le processus de planification, distincte de la liste des risques et des stratégies d’atténuation.
- Réponse : La vice-présidente du Secteur des affaires ministérielles appuie la recommandation.
- Mesures prévues :
- Dans le cadre de l’approche de planification intégrée, des réunions régulières avec les secteurs et les directions permettront de déterminer les enjeux et les plans d’action principaux.
- Dans le cadre de l’approche de planification intégrée, les secteurs et le Comité exécutif de gestion recevront des renseignements sur les principaux enjeux et risques, et sur les principales réponses aux risques et stratégies d’atténuation des risques aux fins d’examen et de discussion.
- La responsabilité des risques organisationnels pour la gestion quotidienne n’est pas clairement déléguée.
- Niveau de risque : Élevé
- Recommandation 3 : Dans le cadre de la gestion des risques organisationnels, la Division des résultats et de la livraison, en collaboration avec le Comité exécutif de gestion, devrait mettre en place un processus permettant de désigner la responsabilité de chaque risque spécifique et d’assurer la reddition de comptes, y compris la surveillance et la garantie d’une réponse harmonisée avec l’appétit au risque de la haute gestion.
- Réponse : La vice-présidente du Secteur des affaires ministérielles appuie la recommandation.
- Mesures prévues : Les rôles et responsabilités des responsables des risques seront clairement déterminés dans le cadre de la gestion des risques.
- Aucun contrôle n’est en place pour mesurer l’efficacité des stratégies d’atténuation.
- Niveau de risque : Élevé
- La recommandation 3 et les mesures prévues soutiennent cette constatation.
- L’appétit et la tolérance au risque ne sont pas clairement communiqués au sein de la CFP.
- Niveau de risque : Élevé
- Recommandation 4 : La Division des résultats et de la livraison, en collaboration avec le Comité exécutif de gestion, devrait veiller à ce que le cadre de gestion des risques organisationnels comprenne un processus permettant de déterminer clairement la tolérance et l’appétit au risque du Comité exécutif de gestion et de les communiquer aux employés de la CFP.
- Réponse : La vice-présidente du Secteur des affaires ministérielles convient qu’un cadre de gestion des risques organisationnels devrait inclure une stratégie de communication pour informer les employés de la CFP.
- Mesures prévues :
- Élaborer un plan de communication en collaboration avec l’équipe des communications afin d’assurer, de la manière la plus efficace, d’informer les employés de la CFP sur la tolérance au risque de la haute gestion.
- La Division des résultats et de la livraison, en collaboration avec la Direction des communications et des affaires parlementaires, élaborera une page sur l’Intracom contenant des renseignements sur la planification, la production de rapports, les risques et la mesure du rendement.
- Le soutien à la gestion des risques au niveau opérationnel est insuffisant.
- Niveau de risque : Moyen
- Recommandation 5 : La vice-présidente du Secteur des affaires ministérielles devrait donner la charge à un groupe de promouvoir les outils et la formation en vue de soutenir une bonne culture de gestion du risque.
- Réponse : La vice-présidente du Secteur des affaires ministérielles est d’accord avec la recommandation.
- Mesures prévues :
- La Division des résultats et de la livraison sera chargée de promouvoir des outils et de la formation visant à soutenir une culture de gestion des risques.
- La Division des résultats et de la livraison collaborera avec la Direction des ressources humaines, du milieu de travail et de la sécurité afin d’inclure une formation pertinente sur les risques dans le catalogue d’apprentissage de la CFP.
2. Introduction
Contexte
Qu’est-ce que la gestion des risques?
Le risque est défini comme « l’effet de l’incertitude sur les objectifs ». Il est généralement exprimé en tenant compte de la probabilité qu’il survienne et des répercussions possibles; et son importance est mesurée de la même manière. Un risque est différent d’une question ou d’un problème actuels, pour lesquels il existe des certitudes. Bien que le risque soit souvent perçu comme négatif, il peut avoir une incidence positive et présenter des possibilités à exploiter.
La gestion des risques, telle qu’elle est définie par le Secrétariat du Conseil du Trésor du Canada, est une approche systématique, continue et proactive de la compréhension, de la gestion et de la communication des risques à l’échelle de l’organisation et au du point de vue de l’activité ou des projets. Elle fait partie d’une bonne gestion publique, car elle favorise une prise de décision éclairée, fondée sur une compréhension des risques, des stratégies d’atténuation planifiées et de l’exploitation des possibilités.
Dans l’ensemble, une bonne gestion des risques favorise la réalisation des objectifs organisationnels. Selon le Secrétariat du Conseil du Trésor du Canada, une gestion efficace des risques est un élément essentiel pour améliorer la manière dont les fonctionnaires fournissent des services aux Canadiens, tirent parti des possibilités et se concentrent sur les résultats.
Étant donné que les objectifs et les contextes opérationnels des ministères et des organismes fédéraux sont différents, il appartient à chacun d’entre eux de mettre en œuvre des pratiques de gestion du risque adaptées à leurs besoins, qui comprennent l’identification, l’évaluation, le traitement, la surveillance et la communication des risques.
La gestion du risque à la Commission de la fonction publique du Canada
La pandémie de COVID-19 a mis à l’épreuve la capacité des ministères et des organismes à s’adapter à un environnement en évolution rapide, et à de nouveaux risques émergents. La Commission de la fonction publique du Canada (CFP) n’a pas été épargnée par l’incertitude. Elle a été obligée de trouver de nouvelles manières d’offrir ses programmes et services en dépit des répercussions de la COVID-19 sur le milieu de travail. Après plus de 3 ans, l’incertitude qui subsiste a été exacerbée par la forte concurrence pour la main-d’œuvre et la transition vers un modèle de travail hybride.
Dans ces conditions, la CFP doit disposer de bonnes pratiques de gestion du risque qui contribuent à la bonne gestion de ses activités, et qui soutiennent la haute gestion dans la prise de décision. L’absence de gestion efficace des risques peut ralentir les initiatives, compromettre les projets, augmenter le coût des programmes, nuire à la réputation et, en fin de compte, compromettre la capacité de la CFP à remplir son mandat.
Objectif et portée de la vérification
La présente vérification visait à déterminer si la CFP dispose de pratiques de gestion du risque qui contribuent à la bonne gestion de ses activités, et aident les cadres supérieurs à prendre des décisions. L’équipe de vérification interne a tenu compte de la taille de la CFP, de son contexte opérationnel et de son mandat. De manière plus précise, la vérification a porté sur ce qui suit :
- l’efficacité du processus intégré d’identification des risques, y compris l’analyse et la communication des risques en vue d’une prise de décision éclairée;
- l’efficacité de la gouvernance et des pratiques qui soutiennent les activités liées à la gestion des risques, y compris les rôles, les responsabilités et la reddition de comptes;
- l’efficacité des mesures de contrôle de la réponse aux risques, leur mise en œuvre, la reddition de comtes relativement aux résultats, et l’harmonisation des pratiques sur la tolérance au risque de la haute gestion;
- la disponibilité de l’expertise et des outils pour soutenir les bonnes pratiques de gestion des risques, y compris au niveau opérationnel.
Ces objectifs sont conformes aux attentes de l’Institut des vérificateurs internes, qui exige que les équipes de vérification interne évaluent régulièrement l’efficacité des pratiques et des processus de gestion des risques au sein de leur organisation, et contribuent à leur amélioration.
La vérification a porté sur les activités de gestion du risque au sein de la CFP entre avril 2018 et septembre 2022. Cette longue période a été retenue afin de pouvoir comprendre les tendances et les pratiques qui ne sont pas toujours documentées dans les petites organisations comme la CFP. L’équipe de vérification interne a fait part de ses constatations préliminaires au Comité exécutif de gestion, et certaines modifications ont été apportées aux pratiques de gestion du risque de la CFP au cours de l’automne 2022. La présente vérification ne tient pas compte de ces changements.
Méthodologie
Nous avons utilisé les méthodes suivantes dans le cadre de cette vérification :
- mener 20 entrevues avec des intervenants responsables de la gestion du risque au sein de la CFP et des cadres supérieurs, notamment des directeurs généraux et des vice-présidents;
- examiner les documents et dossiers pertinents;
- évaluer un échantillon de projets et de programmes afin de déterminer et de comprendre les tendances au niveau opérationnel :
- Transformation d’Emplois GC,
- Projet Évaluation en langue seconde – Test en ligne non supervisé,
- Programme des droits de priorité.
Énoncé de conformité
La vérification est conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance de la qualité et d’amélioration.
3. Constatations et recommandations
3.1 Processus d’identification des risques
Le processus d’identification des risques de la CFP ne favorise ni une gestion des risques ni une prise de décision efficaces.
Les éléments examinés et leur importance
L’équipe de vérification interne a évalué si la CFP disposait d’un processus d’identification des risques susceptible d’avoir une incidence sur son mandat et sur ses objectifs. L’équipe a également évalué si les risques identifiés étaient communiqués à la haute gestion en temps opportun pour faciliter la prise de décision. L’identification des risques permet à la CFP d’élaborer des réponses qui limitent autant que possible les situations préjudiciables avant qu’elles ne surviennent, ou de tirer parti des possibilités. Elle soutient également la planification stratégique des activités.
Constatations
Version texte
Ce tableau résume les constatations de la section « Processus d’identification des risques » du rapport.
La première case du tableau est intitulée « Processus d’identification des risques ». Cette case est liée à 2 cases intitulées « Ce qui fonctionne » et « Ce qui peut être amélioré ». Une autre case, liée à la case « Ce qui fonctionne », présente la constatation suivante : « La CFP dispose d’un processus d’identification et de communication des principaux risques organisationnels. » Deux autres cases, liées à la case « Ce qui peut être amélioré », présentent les constatations suivantes : « Le processus d’identification des risques ne permet pas d’identifier tous les risques importants ni de soutenir les mises à jour en cours d’année » et « Certains risques organisationnels sont des enjeux ».
Ce qui fonctionne
La CFP dispose d’un processus d’identification et de communication des principaux risques organisationnels. Note de bas de page 2
L’équipe de vérification interne a constaté que la CFP dispose d’un processus d’identification et de communication de ses principaux risques organisationnels. Même si ce processus ne s’inscrit pas dans un cadre officiel, il est demeuré similaire pendant la majeure partie de la période couverte par la vérification (de l’automne 2018 à l’automne 2022). Chaque année, la Division des résultats et de la livraison rencontre les comités de gestion des secteurs pour discuter des risques liés à la réalisation des priorités annuelles. Ensuite, un comité informel de directeurs généraux se réunit pour en discuter et pour identifier les plus importants. Ces risques sont ensuite examinés par le Comité de gestion des ressources. Enfin, ces risques sont présentés au Comité exécutif de gestion aux fins d’approbation et sont intégrés dans le Plan ministériel et dans le Plan d’activités intégré. Les risques sont également communiqués aux secteurs afin de les aider à planifier l’exercice suivant et afin d’éclairer le Comité de vérification interne et les réunions de la Commission (voir le tableau suivant pour le cycle complet).
Chaque trimestre, les secteurs peuvent proposer des modifications à la liste des risques lorsque les renseignements sont recueillis pour la mise à jour trimestrielle par la Division des résultats et de la livraison du Secteur des affaires ministérielles. Le Comité de gestion des ressources pourrait discuter des changements, qui pourraient ensuite être proposés au Comité exécutif de gestion.
Cycle de gestion des risques organisationnels
Version texte
Cet organigramme résume les étapes du cycle de gestion des risques organisationnels au sein de la CFP. Il y a 14 cases qui se suivent dans l’ordre suivant :
- Analyse environnementale (d’avril à juin)
- Réunions avec les comités de gestion des secteurs (septembre)
- Réunion avec le groupe de travail des directeurs généraux (octobre)
- Présentation des risques organisationnels au Comité de gestion des ressources (novembre)
- Présentation des risques organisationnels au Comité exécutif de gestion (novembre)
- Préparation du Plan ministériel et du Plan d’activités intégré (décembre)
- Présentation des risques organisationnels au Comité de vérification interne à la réunion de la Commission (décembre)
- Identification des stratégies d’atténuation par les comités de gestion des secteurs (de novembre à janvier)
- Présentation des stratégies d’atténuation au Comité exécutif de gestion (janvier)
- Intégration des stratégies d’atténuation dans le Plan intégré des activités (de février à mars)
- Rapport trimestriel – T1 (juin)
- Rapport trimestriel – T2 (septembre)
- Rapport trimestriel – T3 (décembre)
- Rapport trimestriel – T4 (mars)
Remarque : Les abréviations suivantes sont utilisées dans ce tableau : Comités de gestion des secteurs (CGS); directeurs généraux (DG); Comité de gestion des ressources (CGR); Comité exécutif de gestion (CEG); Comité de vérification interne (CVI).
Ce qui peut être amélioré
Le processus d’identification des risques ne permet pas d’identifier tous les risques organisationnels importants ni de soutenir les mises à jour en cours d’année.
L’équipe de vérification interne a constaté que le processus actuel d’identification des risques ne permet pas d’identifier efficacement les risques émergents ni d’assurer une surveillance adéquate des risques organisationnels.
- Seuls 3 ou 4 risques organisationnels sont identifiés chaque année.
- Lors des entrevues avec les cadres supérieurs, certains risques importants qui ne figuraient pas sur la liste officielle de l’organisation ont été communiqués à l’équipe de vérification interne et décrits comme pouvant avoir une incidence sur les objectifs de la CFP (pour obtenir plus d’explications, consulter les causes).
- Même si les secteurs peuvent proposer des mises à jour annuelles de la liste des risques, y compris en cas d’apparition de nouveaux risques, ils ne l’ont pas fait au cours de la période couverte par la vérification.
- La plupart des directeurs généraux et des vice-présidents ont indiqué qu’ils préféraient signaler les risques à leurs collègues en utilisant d’autres mécanismes que le processus officiel, notamment des discussions informelles ou lors de discussions sur un sujet spécifique (par exemple, Transformation d’Emplois GC, ou le Projet Évaluation en langue seconde – Test en ligne non supervisé) au sein des comités de gestion des secteurs, du Comité exécutif de gestion, ou dans le cadre de discussions informelles avec leur supérieur hiérarchique direct (vice-présidents ou président).
Par conséquent, comme l’ont également indiqué certains cadres supérieurs, le processus d’identification des risques est insuffisant pour garantir le suivi de chaque risque important.
Causes
L’une des principales causes de cette situation est le fait que seuls 3 ou 4 risques organisationnels importants peuvent être inscrits dans le Plan ministériel. Les risques sont formulés afin d’être communiqués au public. Ces risques sont ensuite repris dans le Plan d’activités intégré et font l’objet d’un suivi trimestriel (au moyen d’une surveillance trimestrielle), sans modification ni ajout d’autres risques organisationnels actuels ou émergents. La liste est donc incomplète.
Une autre cause est le manque de temps alloué lors des différents comités de gouvernance pour discuter officiellement des risques. À l’exception de la discussion annuelle sur les risques lors de la retraite d’automne du Comité exécutif de gestion, les discussions liées aux risques ont lieu en même temps que d’autres sujets organisationnels importants, notamment les livrables annuels, et les résultats, la situation financière et l’état des ressources de la CFP. Les discussions relatives aux risques sont donc en concurrence pour obtenir suffisamment de temps lors des réunions des comités.
L’équipe de la vérification interne a également constaté que l’approche de la gestion du risque à la CFP, y compris le processus d’identification des risques, n’a jamais été adoptée comme modèle de gestion du risque à l’échelle de toute l’organisation. C’est pourquoi les attentes concernant le moment et la manière de rendre compte des risques ne sont pas toujours claires pour les intervenants.
Conséquences
- Il se peut que les principaux risques ne soient pas identifiés en temps opportun, ce qui a une incidence sur la réponse et sur la réalisation des objectifs de la CFP.
- Les principaux risques ne sont pas communiqués de manière cohérente au sein de la CFP.
L’adoption d’un cadre structuré et cohérent de gestion des risques organisationnels, comprenant un processus officiel d’identification des risques, permettrait ce qui suit :
- apporter de la cohérence;
- améliorer la valeur de la gestion du risque;
- aider à gérer les incertitudes;
- tirer le meilleur parti des possibilités.
« La gestion des risques organisationnels est un processus structuré et cohérent qui profite à l’ensemble de l’organisation. En effet, elle permet d’identifier les possibilités et des menaces qui touchent les objectifs de l’organisation, de les évaluer, de prendre des décisions concernant la manière d’y répondre, et d’en rendre compte. […] [Elle] est utilisée dans toutes les organisations pour identifier les risques stratégiques et pour élaborer des pratiques commerciales afin d’éviter des surprises liées à ces mêmes risques qui peuvent conduire à l’échec du projet, à des scandales ou à des dommages importants pour l’organisation. » [traduction] (Institut des auditeurs internes)
L’adoption d’un cadre organisationnel de gestion du risque est reconnue comme une pratique exemplaire par des sources d’autorité, notamment les Comptables professionnels agréés du Canada et l’Institut des auditeurs internes. Cela s’applique également aux petites organisations comme la CFP.
Recommandation 1
La vice-présidente du Secteur des affaires ministérielles, en collaboration avec le Comité exécutif de gestion, devrait mettre en œuvre un cadre de gestion des risques organisationnels comprenant un processus clair d’identification, de suivi et de mise à jour des principaux risques organisationnels. Suffisamment de temps devrait également être consacré à l’identification des risques et aux discussions sur le sujet.
Certains risques organisationnels sont des enjeux.
La plupart des cadres supérieurs interrogés se sont dits préoccupés par le fait que les risques organisationnels se sont matérialisés sous la forme d’enjeux. Les procès-verbaux des réunions du Comité de gestion des ressources indiquent que ce problème a fait l’objet de discussions dès 2019, mais qu’il n’a pas été résolu.
« [L]e risque se rapporte à l’effet de l’incertitude, et donc à une perspective d’avenir, les risques se distinguent des enjeux, des problèmes ou des conditions existants, pour lesquels la probabilité qu’ils surviennent ne serait pas en cause. » (Secrétariat du Conseil du Trésor du Canada, Guide de gestion intégrée du risque)
Causes
Au cours de nos entrevues, certains cadres supérieurs ont déclaré que ces enjeux étaient trop importants pour être simplement supprimés de la liste des risques. Il n’existe actuellement aucun autre outil au sein de la CFP pour faire le suivi de ces enjeux et de leurs plans d’action.
En outre, l’équipe de la vérification interne a également constaté que les énoncés de risque ne sont pas toujours clairs et ne suivent pas les pratiques exemplaires recommandées par le Secrétariat du Conseil du Trésor du Canada, notamment en ce qui concerne l’identification de l’événement et de son incidence. Les risques identifiés par la CFP sont souvent de nature générale. La raison pour laquelle ils sont considérés comme des menaces n’est pas toujours claire, et leur incidence n’est pas toujours évaluée. Cela peut créer une confusion entre les événements actuels, les enjeux et les risques.
« L’énoncé de risque pourrait décrire […] un événement et ses répercussions potentielles (positives ou négatives) sur la réalisation des objectifs de l’organisation. »
« Un événement est une situation, un incident ou un changement survenant dans des circonstances particulières qui risque d’avoir une incidence sur la réalisation des objectifs d’une organisation. Un événement peut être positif ou négatif. »
« Une répercussion est la conséquence potentielle d’un événement. Comme dans le cas d’un événement, une répercussion peut être positive ou négative. »
« La méthode recommandée pour formuler l’énoncé de risque comprend 2 éléments : l’événement et ses répercussions négatives possibles s’il n’est pas géré. »
« Énoncé de risque (menace) : Si (événement) survient, il pourrait (répercussions négatives). » (Secrétariat du Conseil du Trésor du Canada, Guide sur les énoncés de risque)
Conséquences
Cette situation limite la capacité de la CFP à :
- se concentrer sur les risques réels susceptibles de devenir des enjeux;
- déterminer quelles sont les stratégies d’atténuation des risques à utiliser;
- élaborer des plans d’action appropriés concernant les enjeux.
Recommandation 2
La Division des résultats et de la livraison, en collaboration avec le Comité exécutif de gestion, devrait inclure une liste des principaux enjeux et des plans d’action dans le processus de planification, distincte de la liste des risques et des stratégies d’atténuation.
3.2 Gouvernance : rôles, responsabilités et reddition de comptes
La responsabilité des risques organisationnels n’est pas clairement déléguée à une personne ou à un rôle aux fins de la gestion quotidienne et de la reddition de comptes, ce qui ne favorise ni la gestion des risques ni la prise de décision.
Les éléments examinés et leur importance
L’équipe de vérification interne a évalué si la CFP disposait d’une gouvernance efficace en matière de gestion des risques, y compris une désignation claire des rôles, des responsabilités et de la reddition de comptes. Cette démarche est importante pour s’assurer que les risques sont correctement évalués, qu’ils font l’objet de discussions adéquates, et qu’ils sont gérés de façon appropriée. Elle permet également de s’assurer que la réponse au risque s’harmonise avec l’appétit au risque de la haute gestion. Une bonne gouvernance des risques réduit le risque que la CFP n’atteigne pas ses objectifs.
Constatations
Version texte
Ce tableau résume les constatations relatives à la section « Gouvernance : rôles, responsabilités et reddition de comptes » du rapport.
La première case du tableau est intitulée « Gouvernance ». Cette case est liée à 2 cases intitulées « Ce qui fonctionne » et « Ce qui peut être amélioré ». Une autre case, liée à la case « Ce qui fonctionne », présente la constatation suivante : « Les rôles et les responsabilités dans le cadre du processus d’identification des risques organisationnels sont bien définis au sein de la structure de gouvernance de la CFP. » Une autre case, liée à la case « Ce qui peut être amélioré », présente la constatation suivante : « La responsabilité des risques organisationnels pour la gestion quotidienne n’est pas clairement déléguée. »
Ce qui fonctionne
Les rôles et responsabilités dans le cadre du processus d’identification des risques organisationnels sont bien définis au sein de la structure de gouvernance de la CFP.
Les responsabilités en matière de gestion des risques à l’échelle de l’organisation sont intégrées dans la gouvernance de la CFP, comme le définissent les mandats du Comité de gestion des ressources et du Comité exécutif de gestion. La Division des résultats et de la livraison facilite les processus en recueillant des renseignements sur les risques et en les signalant régulièrement, par l’entremise des plans des activités intégrés, des plans ministériels, des rapports sur les résultats ministériels et des mises à jour trimestrielles. L’équipe est chargée de gérer les étapes principales des processus d’identification des risques et de production de rapports sur les risques, y compris l’identification des stratégies d’atténuation, et de présenter un rapport trimestriel sur les risques et sur les stratégies d’atténuation au Comité de gestion des ressources et au Comité exécutif de gestion.
Ce qui peut être amélioré
Les responsables des risques organisationnels pour la gestion quotidienne ne sont pas clairement délégués.Note de bas de page 3
La Division des résultats et de la livraison doit mener à bien les principales étapes du processus d’identification des risques et de production de rapports sur les risques, telles qu’elles ont été déterminées à la section 3.1. Toutefois, l’équipe de vérification interne a constaté qu’aucun groupe ni rôle n’est identifié comme responsable de la gestion quotidienne de chaque risque organisationnel. Il existe des attentes informelles en matière de responsabilité; par exemple, la Direction des services de technologie de l’information est responsable des risques liés à la technologie de l’information. Il n’y a toutefois pas d’attentes claires en matière de suivi ou de contrôle des risques, ou de production de rapports sur les risques.
« Les organisations devraient désigner adéquatement les responsables des risques à qui incombe la responsabilisation et l’autorité de gérer les risques. » (Secrétariat du Conseil du Trésor du Canada, Guide de gestion intégrée du risque)
« Les organisations devraient fournir les responsables des risques et la responsabilisation connexe, et ces éléments doivent désigner des individus ou des rôles et non des comités. » (Secrétariat du Conseil du Trésor du Canada, Guide d’élaboration d’un profil de risque organisationnel)
La situation est similaire pour les stratégies d’atténuation qui sont élaborées chaque année par les secteurs et communiquées dans le Plan d’activités intégré. Des bureaux de première responsabilité sont désignés pour chaque livrable qui contribue aux stratégies d’atténuation; toutefois, personne n’est désigné pour mesurer la réussite globale ou pour en rendre des comptes, ni pour veiller à ce que la réponse soit harmonisée avec l’appétit au risque de la haute gestion.
Causes
L’équipe de vérification interne a constaté qu’il n’a pas été nécessaire de déléguer la responsabilité des risques au cours des 4 dernières années, étant donné qu’il n’y a pas eu de demande de rapport en cours d’année sur l’état des risques ni sur la réussite des stratégies d’atténuation. Les intervenants qui participent aux activités d’atténuation liées à ces risques sont censés agir de manière appropriée pour les ramener à un niveau acceptable. Cette situation n’est pas optimale lorsque plusieurs directions doivent veiller à ce que les mesures d’atténuation soient suffisantes et conformes à l’appétit au risque de la haute gestion.
Conséquences
- La CFP ne sait pas si les risques évoluent ni s’ils sont atténués à un niveau acceptable pour la haute gestion (pour en savoir plus, consulter la section 3.3 Réponse aux risques).
- Les questions relatives aux risques et aux stratégies d’atténuation demeurent souvent sans réponse précise lors des réunions de gouvernance, ce qui nuit à l’efficacité du processus de gouvernance des risques.
Recommandation 3
Dans le cadre de gestion des risques organisationnels, la Division des résultats et de la livraison, en collaboration avec le Comité exécutif de gestion, devrait inclure un processus permettant de désigner la responsabilité de chaque risque spécifique et d’assurer la reddition de comptes, y compris la surveillance et la garantie d’une réponse harmonisée avec l’appétit au risque de la haute gestion.
3.3 Réponse au risqué
Aucun contrôle n’est en place pour mesurer l’efficacité des stratégies d’atténuation. L’appétit et la tolérance au risque ne sont pas clairement communiqués, ce qui n’appuie pas la gestion du risque ni la prise de décision.
« La réaction aux risques est le processus consistant à sélectionner et à mettre en œuvre des mesures de réaction à un risque. De manière générale, on opte pour une stratégie de réaction générale (accepter le risque, surveiller le risque, transférer le risque, éviter la menace, réduire la probabilité ou l’incidence de la menace, augmenter la probabilité ou l’incidence d’une occasion, etc.). Le seuil de tolérance au risque devrait déterminer le type et l’envergure de la réaction. » (Secrétariat du Conseil du Trésor du Canada, Guide de gestion intégrée du risque)
Les éléments examinés et leur importance
L’équipe de vérification interne a évalué si la CFP :
- a mis des contrôles en place afin de s’assurer que la réaction aux risques s’harmonise avec l’appétit au risque de la haute gestion;
- mesure la réussite de ses stratégies d’atténuation des risques à un niveau acceptable pour la haute gestion.
Lorsqu’elle repose sur une compréhension claire de l’appétit au risque de la haute gestion, la réaction aux risques permet d’attribuer le bon nombre de ressources à des mesures spécifiques, de donner le ton pour mesurer la réussite et pour soutenir le processus de prise de décision.
Constatations
Version texte
Ce tableau résume les constatations de la section « Réponse aux risques » du rapport.
La première case du tableau est intitulée « Réponse aux risques ». Cette case est liée à 2 cases intitulées « Ce qui fonctionne » et « Ce qui peut être amélioré ». Une autre case, liée à la case « Ce qui fonctionne », présente la constatation suivante : « La CFP a mis en place un processus permettant d’identifier les livrables des stratégies d’atténuation et d’en rendre compte. » Deux autres cases, liées à la case « Ce qui peut être amélioré », présentent les constatations suivantes : « Il n’y a pas de contrôle en place pour mesurer l’efficacité des stratégies d’atténuation » et « L’appétit et la tolérance au risque ne sont pas clairement communiqués dans l’ensemble de la CFP ».
Ce qui fonctionne
La CFP dispose d’un processus permettant d’identifier les livrables des stratégies d’atténuation et d’en rendre compte.
Les stratégies d’atténuation des risques sont élaborées par chaque secteur en collaboration avec la Division des résultats et de la livraison. Ce processus commence par un appel annuel, à la fin du mois de novembre, de la part de la Division des résultats et de la livraison, qui demande aux secteurs de fournir des stratégies d’atténuation et des livrables liés aux risques organisationnels précédemment identifiés. Les secteurs ont jusqu’au mois de janvier suivant pour identifier les stratégies d’atténuation. La Division évalue ensuite ces stratégies pour déterminer si elles sont pertinentes pour l’année à venir. Puis, les stratégies d’atténuation des risques sont présentées aux comités de gestion des secteurs pour obtenir de la rétroaction pour aider à déterminer si la réaction au risque correspond à la nature et à l’ampleur du risque. Enfin, les stratégies d’atténuation sont soumises à l’approbation du Comité exécutif de gestion, puis incluses dans le Plan d’activités intégré de l’année suivante (consulter le graphique Cycle de gestion des risques organisationnels).
L’état d’avancement des stratégies d’atténuation des risques et des livrables associés est communiqué tous les trimestres au Comité de gestion des ressources et au Comité exécutif de gestion. Les intervenants peuvent discuter de ces progrès, mais le peu de temps alloué à la discussion est insuffisant, car l’attention des membres est divisée entre de nombreux sujets importants.
Ce qui peut être amélioré
Aucun contrôle n’est en place pour mesurer l’efficacité des stratégies d’atténuation.
L’équipe de vérification interne a constaté qu’aucun contrôle n’était en place pour mesurer l’efficacité des stratégies d’atténuation. Les mises à jour trimestrielles présentées aux comités de gouvernance se concentrent sur l’état d’avancement des livrables, mais leur efficacité en matière de réduction des risques n’est pas évaluée.
Causes
Étant donné que la responsabilité des risques n’a pas été déléguée pour les principaux risques organisationnels, personne n’est actuellement chargé de mesurer la réussite des stratégies d’atténuation ou d’assurer l’harmonisation avec l’appétit au risque de la haute gestion.
Conséquences
- Il existe un risque que les ressources financières et humaines affectées aux stratégies d’atténuation des risques soient excessives ou insuffisantes.
La plupart des directeurs généraux qui ont parlé des stratégies d’atténuation au cours des entrevues ont indiqué qu’ils ne disposaient pas de suffisamment de renseignements sur leur réussite pour qu’elles soutiennent leur prise de décision.
Recommandation
La recommandation 3 appuie cette constatation.
L’appétit et la tolérance au risque ne sont pas clairement communiqués au sein de la CFP.
L’équipe de vérification interne a constaté que le processus de gestion du risque au sein de la CFP ne permet ni de documenter ni de communiquer la tolérance et l’appétit au risque. Il n’y a pas de mesure clairement définie de la réussite des stratégies d’atténuation ni du niveau de risque acceptable pour la CFP. Lors des entrevues, les directeurs généraux et les vice-présidents ont exprimé leur volonté de prendre des risques plus calculés, mais n’étaient pas certains de l’appétit général au risque de la haute gestion.
« La tolérance au risque désigne la volonté d’une organisation d’accepter ou de rejeter un niveau donné de risque résiduel. La tolérance au risque peut varier au sein d’une organisation, en fonction de l’environnement opérationnel, des parties intéressées, etc., mais elle doit être bien comprise par les personnes qui prennent des décisions relatives aux risques dans un dossier en particulier. Il faut que la tolérance au risque soit claire à tous les niveaux de l’organisation afin de favoriser une prise de décisions éclairée par l’analyse des risques et le recours à des approches tenant compte du risque. » (Secrétariat du Conseil du Trésor, Guide de gestion intégrée du risque)
« L’appétit au risque exprime le niveau d’incertitude qu’une organisation est prête à assumer pour mener à bien ses activités et atteindre ses objectifs. L’appétit au risque doit toujours se situer dans la limite de la tolérance de l’organisation à absorber le risque. La tolérance aux risques peut donc être définie comme le niveau de risque qu’une organisation est capable d’absorber sans que la réalisation de ses objectifs stratégiques en soit affectée de manière importante. » [traduction] (Institut des auditeurs internes)
Causes
L’équipe de vérification interne a constaté qu’il n’existait pas de processus ni de mécanisme normalisé permettant de communiquer la tolérance et l’appétit au risque au sein de la CFP. La tolérance est communiquée de manière informelle lors de discussions à l’occasion de diverses réunions de gouvernance ou bilatérales, et elle est rarement documentée.
« Plusieurs approches communes sont utilisées pour communiquer l’appétit au risque. La première consiste à créer un énoncé général sur l’appétit au risque qui soit à la fois suffisamment large et suffisamment descriptif pour que les unités organisationnelles puissent gérer leurs risques de manière cohérente dans le cadre de cet énoncé. La deuxième consiste à communiquer l’appétit au risque pour chaque grande catégorie d’objectifs de l’organisation. La troisième consiste à communiquer l’appétit au risque pour les différentes catégories de risques. » [traduction] (Committee of Sponsoring Organizations of the Treadway Commission)
Conséquences
- La compréhension de la tolérance et de l’appétit au risque varie au sein de la CFP.
- La CFP pourrait manquer des opportunités susceptibles d’avoir une incidence positive sur son mandat et sur sa réputation.
- 10 des 15 cadres supérieurs interrogés estiment que la CFP ne prend pas assez de risques.
- Il se peut que la réponse au risque ne soit pas adaptée aux besoins de la CFP, et qu’elle ne corresponde pas aux attentes de la haute gestion.
Recommandation 4
La Division des résultats et de la livraison, en collaboration avec le Comité exécutif de gestion, devrait veiller à ce que le cadre de gestion des risques organisationnels comprenne un processus permettant de déterminer clairement la tolérance et l’appétit au risque du Comité exécutif de gestion et de les communiquer aux employés de la CFP.
3.4 Outils
Le manque de soutien à la gestion du risque au niveau opérationnel ne favorise pas la gestion du risque ni la prise de décisions judicieuses.
Les éléments examinés et leur importance
L’équipe de vérification interne a évalué si la CFP disposait des outils et de l’expertise nécessaires pour soutenir de bonnes pratiques de gestion des risques dans l’ensemble de l’organisation. Dans son Guide de gestion intégrée du risque, le Secrétariat du Conseil du Trésor du Canada s’attend à ce que les organisations disposent de la capacité et des outils nécessaires pour favoriser une bonne culture de gestion du risque aux différents niveaux de l’organisation, y compris pour les programmes et les projets. L’analyse a tenu compte de la taille de la CFP, de la nature de ses activités, et des exigences basées sur les pratiques de gestion des risques en place.
Constatations
Version texte
Ce tableau résume les constatations de la section « Outils » du rapport.
La première case du tableau est intitulée « Outils ». Cette case est liée à 2 cases intitulées « Ce qui fonctionne » et « Ce qui peut être amélioré ». Une autre case, liée à la case « Ce qui fonctionne », présente la constatation suivante : « La CFP dispose d’outils pour soutenir l’identification des risques organisationnels. » Une autre case, liée à la case « Ce qui peut être amélioré », présente la constatation suivante : « Le soutien à la gestion du risque au niveau opérationnel est insuffisant. »
Ce qui fonctionne
La CFP dispose d’outils pour faciliter l’identification des risques organisationnels.
L’équipe de vérification interne a constaté que la Division des résultats et de la livraison, en s’appuyant sur les guides du Secrétariat du Conseil du Trésor du Canada, a élaboré et communiqué des outils afin de soutenir le processus d’identification des risques organisationnels qui se déroule à l’automne. Par exemple, au cours du processus cyclique d’identification des risques, le Guide sur les énoncés de risque et d’autres documents clés sont communiqués aux intervenants. Les participants qui ont pris part aux exercices d’identification des risques au cours des 4 dernières années ont reçu différentes versions de ces documents pour les aider dans le processus.
Ce qui peut être amélioré
Le soutien à la gestion du risque au niveau opérationnel est insuffisant.
L’équipe de vérification interne a évalué les pratiques de gestion du risque du projet Transformation d’Emplois GC, du Projet Évaluation en langue seconde – Test en ligne non supervisé, et du Programme des droits de priorité. Il a été constaté que des pratiques, des processus, des outils et de la documentation en matière de gestion du risque ont été élaborés pour les 2 projets et pour le programme. L’équipe de vérification interne a constaté qu’en raison du manque de soutien au sein de la CFP, notamment en matière d’expertise et d’outils, ces pratiques ont été élaborées de façon ponctuelle, en s’appuyant sur les connaissances des membres de l’équipe en matière de gestion du risque. De nombreuses personnes interrogées (et pas seulement les équipes de ces projets) ont indiqué qu’elles pourraient bénéficier d’un soutien plus important, par exemple en ce qui a trait à la formation, car elles s’appuient présentement sur leurs propres compétences limitées.
Causes
La responsabilité de soutenir de bonnes pratiques de gestion du risque n’a pas été clairement attribuée au sein de la CFP. Il est prévu que la Division des résultats et de la livraison apporte son soutien à l’identification des risques organisationnels, mais personne n’est chargé d’organiser des formations, de promouvoir des outils ou de faire de la sensibilisation aux pratiques de gestion du risque. Par exemple, l’École de la fonction publique du Canada propose plusieurs cours aux fonctionnaires fédéraux. Les cours couvrent différentes composantes de la gestion du risque, d’une introduction générale à la gestion du risque jusqu’à l’identification, l’évaluation et la réponse efficace aux risques. Le Secrétariat du Conseil du Trésor du Canada dispose également d’outils pour aider à gérer les risques. Cependant, l’équipe de vérification interne a constaté que ces cours et ces outils de formation ne sont pas communiqués aux employés de la CFP au moyen du catalogue d’apprentissage de la CFP, des outils de travail sur l’Intracom ou du bulletin L’Express de la CFP.
Conséquences
- En raison d’un manque de soutien, des enjeux semblables à ceux constatés pour la gestion des risques organisationnels sont observés au niveau opérationnel, notamment les suivants :
- un manque de cohérence entre les processus d’identification des risques;
- les enjeux sont parfois classés comme des risques;
- un manque de clarté dans la réponse aux risques;
- aucun contrôle pour mesurer l’efficacité des stratégies d’atténuation.
- Il y a un certain dédoublement des efforts et un manque de cohérence lorsque chaque équipe est responsable de l’élaboration de ses propres outils de gestion des risques.
- L’efficacité des pratiques de gestion des risques repose sur les connaissances de certains employés.
Recommandation 5
La vice-présidente du Secteur des affaires ministérielles devrait donner la charge à un groupe de promouvoir les outils et la formation en vue de soutenir une bonne culture de gestion du risque.
4. Conclusion
Des pratiques saines de gestion du risque sont essentielles à une prise de décision éclairée et à la réalisation des objectifs organisationnels.
Ces pratiques ne soutiennent pas la gestion du risque et la prise de décisions judicieuses :
- Le processus d’identification des risques ne permet pas d’identifier tous les risques organisationnels importants ni de soutenir les mises à jour en cours d’année.
- Niveau de risque Note de bas de page 4 : Élevé
- Certains des risques organisationnels identifiés sont des enjeux.
- Niveau de risque : Élevé
- La responsabilité des risques organisationnels pour la gestion quotidienne n’est pas clairement déléguée.
- Niveau de risque : Élevé
- Aucun contrôle n’est en place pour mesurer l’efficacité des stratégies d’atténuation.
- Niveau de risque : Élevé
- L’appétit et la tolérance aux risques ne sont pas clairement communiqués au sein de la CFP.
- Niveau de risque : Élevé
- Le soutien à la gestion des risques au niveau opérationnel est insuffisant.
- Niveau de risque : Moyen
À la suite de ces constatations, la présente vérification conclut que les pratiques de gestion du risqueu au sein de la CFP sont insuffisantes pour permettre une gestion et une prise de décision saines, et que des améliorations sont nécessaires pour favoriser de bonnes pratiques de gestion du risque.
La CFP gagnerait à mettre en œuvre un cadre officiel de gestion des risques, adapté à sa taille et à ses activités, afin d’accroître l’efficacité de ses pratiques et de donner des orientations plus claires à l’ensemble du personnel sur la manière dont les risques doivent être signalés et gérés. D’autres améliorations sont possibles :
- prévoir suffisamment de temps au cours de l’année pour discuter des risques et de la réponse aux risques;
- séparer les enjeux des risques dans les différents rapports (Plan ministériel, Plan d’activités intégré et rapports trimestriels);
- garantir une responsabilité des risques appropriée, et l’harmonisation de la réaction aux risques avec l’appétit au risque de la haute gestion;
- communiquer la tolérance et l’appétit au risque de la haute gestion;
- promouvoir des outils et de la formation afin de soutenir une bonne culture de gestion du risque dans l’ensemble de la CFP.
La mise en œuvre des recommandations permettra d’améliorer les pratiques de gestion du risque, et sera bénéfique pour la CFP des manières suivantes :
- sensibiliser davantage aux risques de la CFP et réduire la probabilité qu’ils deviennent des enjeux;
- promouvoir la prise de risques calculés pour atteindre les objectifs;
- soutenir l’utilisation efficace des ressources, en réduisant le risque d’allouer une quantité excessive ou insuffisante de ressources aux réponses aux risques et aux stratégies d’atténuation des risques;
- coordonner les efforts d’élaboration d’outils et de pratiques de gestion du risque dans l’ensemble de la CFP.
Annexe A : Constatations et recommandations de la vérification
Constatations
Ce qui fonctionne
- La CFP dispose d’un processus d’identification et de communication des principaux risques organisationnels.
- Les rôles et responsabilités sont bien définis au sein de la structure de gouvernance de la CFP pour le processus d’identification des risques organisationnels.
- La CFP dispose d’un processus permettant d’identifier les livrables des stratégies d’atténuation et d’en rendre compte.
- La CFP dispose d’outils pour faciliter l’identification des risques organisationnels.
Ce qui peut être amélioré
- Le processus d’identification des risques ne permet ni d’identifier tous les risques organisationnels importants ni de soutenir les mises à jour en cours d’année. (Recommandation 1)
- Certains risques organisationnels sont des enjeux. (Recommandation 2)
- La responsabilité de la gestion quotidienne des risques organisationnels n’est pas clairement déléguée. (Recommandation 3)
- Aucun contrôle n’est en place pour mesurer l’efficacité des stratégies d’atténuation. (Recommandation 3)
- L’appétit et la tolérance aux risques ne sont pas clairement communiqués au sein de la CFP. (Recommandation 4)
- Le soutien à la gestion des risques au niveau opérationnel est insuffisant. (Recommandation 5)
Recommandations
- La vice-présidente du Secteur des affaires ministérielles, en collaboration avec le Comité exécutif de gestion, devrait mettre en œuvre un cadre de gestion des risques organisationnels comprenant un processus clair d’identification, de suivi et de mise à jour des principaux risques organisationnels. Suffisamment de temps devrait également être consacré à l’identification des risques et aux discussions sur le sujet.
- La Division des résultats et de la livraison, en collaboration avec le Comité exécutif de gestion, devrait inclure une liste des principaux enjeux et des plans d’action dans le processus de planification, distincte de la liste des risques et des stratégies d’atténuation.
- Dans le cadre de gestion des risques organisationnels, la Division des résultats et de la livraison, en collaboration avec le Comité exécutif de gestion, devrait mettre en place un processus permettant de désigner la responsabilité de chaque risque spécifique et d’assurer la reddition de comptes, y compris la surveillance et la garantie d’une réponse harmonisée avec l’appétit au risque de la haute gestion.
- La Division des résultats et de la livraison, en collaboration avec le Comité exécutif de gestion, devrait veiller à ce que le cadre de gestion des risques organisationnels comprenne un processus permettant de déterminer clairement la tolérance et l’appétit au risque du Comité exécutif de gestion, et de les communiquer aux employés de la CFP.
- La vice-présidente du Secteur des affaires ministérielles devrait donner la charge à un groupe de promouvoir les outils et la formation en vue de soutenir une bonne culture de gestion du risque.
Annexe B : Critères de la vérification
1. La CFP dispose d’un processus de gestion intégré du risque qui soutient la prise de décision
1.1 Il existe un processus permettant d’identifier les risques à l’échelle de l’organisation en temps opportun.
- La CFP dispose d’un processus d’identification et de communication de ses principaux risques organisationnels. Cependant, il n’est pas efficace pour identifier les risques émergents ni pour assurer une surveillance adéquate des risques.
1.2 Des stratégies d’atténuation et des contrôles sont élaborés et mis en œuvre pour composer avec les risques.
- La CFP dispose d’un processus permettant d’identifier les livrables en tant que stratégies d’atténuation. Toutefois, aucun contrôle n’a été mis en place pour mesurer l’efficacité de ces stratégies.
1.3 Les risques et les stratégies d’atténuation sont surveillés, réévalués et communiqués à tous les niveaux de gouvernance de l’organisation pour faciliter la prise de décision.
- La CFP dispose d’une procédure pour rendre compte des livrables des stratégies d’atténuation. Toutefois, le processus ne permet pas de soutenir les mises à jour des risques en cours d’année ni de réévaluer les stratégies d’atténuation.
2. La gouvernance soutient les bonnes pratiques de gestion du risque
2.1 La CFP dispose d’une gouvernance adéquate et efficace en matière de gestion du risque, y compris en ce qui concerne les rôles, les responsabilités et la reddition de comptes.
- Les rôles et responsabilités sont bien définis au sein de la structure de gouvernance de la CFP. Toutefois, la responsabilité des risques n’est pas clairement déterminée pour les risques organisationnels, et aucun intervenant n’est clairement tenu responsable de la réussite des stratégies d’atténuation des risques.
2.2 Les pratiques de gestion du risque sont harmonisées avec le niveau de tolérance attendu et communiqué par la haute gestion.
- Le processus de gestion du risque au sein de la CFP ne permet pas de documenter la tolérance et l’appétit au risque ni de communiquer à leur sujet de manière équitable au sein de la haute gestion.
2.3 La CFP dispose des outils et de l’expertise nécessaires pour soutenir les bonnes pratiques de gestion des risques.
- La Division des résultats et de la livraison, en s’inspirant des guides du Secrétariat du Conseil du Trésor du Canada, a élaboré des outils afin de faciliter l’identification des risques organisationnels. Toutefois, le soutien à la gestion du risque au niveau opérationnel est insuffisant pour promouvoir de bonnes pratiques de gestion du risque.
Annexe C : Réponse et plan d’action de la gestion
Recommandation 1
La vice-présidente du Secteur des affaires ministérielles, en collaboration avec le Comité exécutif de gestion, devrait mettre en œuvre un cadre de gestion des risques organisationnels comprenant un processus clair d’identification, de suivi et de mise à jour des principaux risques organisationnels. Suffisamment de temps devrait également être consacré à l’identification des risques et aux discussions sur le sujet.
Niveau de risque associé au fait de ne pas donner suite à la recommandation : Élevé
Réponse : La vice-présidente du Secteur des affaires ministérielles soutient la recommandation d’adopter un cadre de gestion des risques organisationnels. La gestion du risque est un élément essentiel de l’approche de planification intégrée, grâce à des échanges réguliers avec les secteurs, les directions et la CFP.
Mesures prévues : Un cadre de gestion des risques organisationnels sera élaboré conformément au cadre de gestion des risques du Secrétariat du Conseil du Trésor du Canada. Le cadre comprendra un processus de surveillance trimestriel ainsi que des discussions régulières au sein des comités de gouvernance.
Échéancier : T3 2023-2024
Bureau de première responsabilité : Secteur des affaires ministérielles
Recommandation 2
La Division des résultats et de la livraison devrait inclure une liste des principaux enjeux et des plans d’action dans le processus de planification, distincte de la liste des risques et des stratégies d’atténuation.
Niveau de risque associé au fait de ne pas donner suite à la recommandation : Élevé
Réponse : La vice-présidente du Secteur des affaires ministérielles appuie la recommandation.
Mesures prévues :
- Dans le cadre de l’approche de planification intégrée, des réunions régulières avec les secteurs et les directions permettront de déterminer les enjeux et les plans d’action principaux.
- Dans le cadre de l’approche de planification intégrée, les secteurs et le Comité exécutif de gestion recevront les principaux enjeux et risques, ainsi que les réponses aux risques et les stratégies d’atténuation aux fins d’examen et de discussion.
Échéancier :
Mesure 1 : T2 2023-2024
Mesure 2 : En cours, conformément à l’échéancier.
Bureau de première responsabilité : Secteur des affaires ministérielles, Direction des finances et de la planification ministérielle, et Division des résultats et de la livraison
Recommandation 3
Dans le cadre de gestion des risques organisationnels, la Division des résultats et de la livraison, en collaboration avec le Comité exécutif de gestion, devrait mettre en place un processus permettant de désigner la responsabilité de chaque risque spécifique et d’assurer la reddition de comptes, y compris la surveillance et la garantie d’une réponse harmonisée avec l’appétit au risque de la haute gestion.
Niveau de risque associé au fait de ne pas donner suite à la recommandation : Élevé
Réponse : La vice-présidente du Secteur des affaires ministérielles appuie la recommandation.
- Mesures prévues : Les rôles et responsabilités des responsables des risques seront clairement déterminés dans le cadre de la gestion des risques.
Échéanciers : T3 2023-2024
Bureau de première responsabilité : Secteur des affaires ministérielles, Direction des finances et de la planification ministérielle, et Division des résultats et de la livraison
Recommandation 4
La Division des résultats et de la livraison, en collaboration avec le Comité exécutif de gestion, devrait veiller à ce que le cadre de gestion des risques organisationnels comprenne un processus permettant de déterminer clairement la tolérance et l’appétit au risque du Comité exécutif de gestion et de les communiquer aux employés de la CFP.
Niveau de risque associé au fait de ne pas donner suite à la recommandation : Élevé
Réponse : La vice-présidente du Secteur des affaires ministérielles convient qu’un cadre de gestion des risques organisationnels devrait inclure une stratégie de communication pour informer les employés de la CFP.
Mesures prévues :
- Élaborer un plan de communication en collaboration avec l’équipe des communications afin d’assurer, de la manière la plus efficace, d’informer les employés de la CFP sur la tolérance aux risques de la haute gestion.
- La Division des résultats et de la livraison, en collaboration avec la Direction des communications et des affaires parlementaires, élaborera une page sur l’Intracom contenant des renseignements sur la planification, la production de rapports, les risques et la mesure du rendement.
Échéanciers :
Mesure 1 : T2 2023-2024
Mesure 2 : T3 2023-2024
Bureau de première responsabilité : Secteur des affaires ministérielles
Recommandation 5
La vice-présidente du Secteur des affaires ministérielles devrait donner la charge à un groupe de promouvoir les outils et la formation en vue de soutenir une bonne culture de gestion du risque.
Niveau de risque associé au fait de ne pas donner suite à la recommandation : Moyen
Réponse : La vice-présidente du Secteur des affaires ministérielles est d’accord avec la recommandation.
Mesures prévues :
- La Division des résultats et de la livraison sera chargée de promouvoir les outils et la formation disponibles pour soutenir une culture de gestion des risques.
- La Division des résultats et de la prestation de services collaborera avec la Direction des ressources humaines, du milieu de travail et de la sécurité afin d’inclure une formation pertinente sur les risques dans le catalogue d’apprentissage de la CFP.
Échéanciers :
Mesure 1 : T2 2023-2024
Mesure 2 : T3 2023-2024
Bureau de première responsabilité : Secteur des affaires ministérielles
Détails de la page
- Date de modification :