Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

Vérification des pratiques de gestion du risque

Table des matières

1. Résumé

La présente vérification a permis de déterminer si la Commission de la fonction publique du Canada (CFP) dispose de pratiques de gestion du risque qui contribuent à la bonne gestion de ses activités et qui aident la haute gestion à prendre des décisions éclairées.

L’équipe de vérification interne a fait part de ses constatations préliminaires au Comité exécutif de gestion, et certaines modifications ont été apportées aux pratiques de gestion du risque de la CFP au cours de l’automne 2022. Ces changements dépassaient la portée de la présente vérification.

Certaines bonnes pratiques de gestion du risque sont en place au sein de la CFP, notamment les suivantes :

Toutefois, cette vérification conclut que les pratiques de gestion du risque de la CFP sont insuffisantes pour soutenir une gestion et une prise de décision saines, et que des améliorations sont nécessaires pour soutenir de bonnes pratiques de gestion du risque.

Ces pratiques ne soutiennent pas la gestion du risque et la prise de décisions judicieuses :

2. Introduction

Contexte

Qu’est-ce que la gestion des risques?

Le risque est défini comme « l’effet de l’incertitude sur les objectifs ». Il est généralement exprimé en tenant compte de la probabilité qu’il survienne et des répercussions possibles; et son importance est mesurée de la même manière. Un risque est différent d’une question ou d’un problème actuels, pour lesquels il existe des certitudes. Bien que le risque soit souvent perçu comme négatif, il peut avoir une incidence positive et présenter des possibilités à exploiter.

La gestion des risques, telle qu’elle est définie par le Secrétariat du Conseil du Trésor du Canada, est une approche systématique, continue et proactive de la compréhension, de la gestion et de la communication des risques à l’échelle de l’organisation et au du point de vue de l’activité ou des projets. Elle fait partie d’une bonne gestion publique, car elle favorise une prise de décision éclairée, fondée sur une compréhension des risques, des stratégies d’atténuation planifiées et de l’exploitation des possibilités.

Dans l’ensemble, une bonne gestion des risques favorise la réalisation des objectifs organisationnels. Selon le Secrétariat du Conseil du Trésor du Canada, une gestion efficace des risques est un élément essentiel pour améliorer la manière dont les fonctionnaires fournissent des services aux Canadiens, tirent parti des possibilités et se concentrent sur les résultats.

Étant donné que les objectifs et les contextes opérationnels des ministères et des organismes fédéraux sont différents, il appartient à chacun d’entre eux de mettre en œuvre des pratiques de gestion du risque adaptées à leurs besoins, qui comprennent l’identification, l’évaluation, le traitement, la surveillance et la communication des risques.

La gestion du risque à la Commission de la fonction publique du Canada

La pandémie de COVID-19 a mis à l’épreuve la capacité des ministères et des organismes à s’adapter à un environnement en évolution rapide, et à de nouveaux risques émergents. La Commission de la fonction publique du Canada (CFP) n’a pas été épargnée par l’incertitude. Elle a été obligée de trouver de nouvelles manières d’offrir ses programmes et services en dépit des répercussions de la COVID-19 sur le milieu de travail. Après plus de 3 ans, l’incertitude qui subsiste a été exacerbée par la forte concurrence pour la main-d’œuvre et la transition vers un modèle de travail hybride.

Dans ces conditions, la CFP doit disposer de bonnes pratiques de gestion du risque qui contribuent à la bonne gestion de ses activités, et qui soutiennent la haute gestion dans la prise de décision. L’absence de gestion efficace des risques peut ralentir les initiatives, compromettre les projets, augmenter le coût des programmes, nuire à la réputation et, en fin de compte, compromettre la capacité de la CFP à remplir son mandat.

Objectif et portée de la vérification

La présente vérification visait à déterminer si la CFP dispose de pratiques de gestion du risque qui contribuent à la bonne gestion de ses activités, et aident les cadres supérieurs à prendre des décisions. L’équipe de vérification interne a tenu compte de la taille de la CFP, de son contexte opérationnel et de son mandat. De manière plus précise, la vérification a porté sur ce qui suit :

Ces objectifs sont conformes aux attentes de l’Institut des vérificateurs internes, qui exige que les équipes de vérification interne évaluent régulièrement l’efficacité des pratiques et des processus de gestion des risques au sein de leur organisation, et contribuent à leur amélioration.

La vérification a porté sur les activités de gestion du risque au sein de la CFP entre avril 2018 et septembre 2022. Cette longue période a été retenue afin de pouvoir comprendre les tendances et les pratiques qui ne sont pas toujours documentées dans les petites organisations comme la CFP. L’équipe de vérification interne a fait part de ses constatations préliminaires au Comité exécutif de gestion, et certaines modifications ont été apportées aux pratiques de gestion du risque de la CFP au cours de l’automne 2022. La présente vérification ne tient pas compte de ces changements.

Méthodologie

Nous avons utilisé les méthodes suivantes dans le cadre de cette vérification :

Énoncé de conformité

La vérification est conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance de la qualité et d’amélioration.

3. Constatations et recommandations

3.1 Processus d’identification des risques

Le processus d’identification des risques de la CFP ne favorise ni une gestion des risques ni une prise de décision efficaces.

Les éléments examinés et leur importance

L’équipe de vérification interne a évalué si la CFP disposait d’un processus d’identification des risques susceptible d’avoir une incidence sur son mandat et sur ses objectifs. L’équipe a également évalué si les risques identifiés étaient communiqués à la haute gestion en temps opportun pour faciliter la prise de décision. L’identification des risques permet à la CFP d’élaborer des réponses qui limitent autant que possible les situations préjudiciables avant qu’elles ne surviennent, ou de tirer parti des possibilités. Elle soutient également la planification stratégique des activités.

Constatations

Version texte

Ce tableau résume les constatations de la section « Processus d’identification des risques » du rapport.

La première case du tableau est intitulée « Processus d’identification des risques ». Cette case est liée à 2 cases intitulées « Ce qui fonctionne » et « Ce qui peut être amélioré ». Une autre case, liée à la case « Ce qui fonctionne », présente la constatation suivante : « La CFP dispose d’un processus d’identification et de communication des principaux risques organisationnels. » Deux autres cases, liées à la case « Ce qui peut être amélioré », présentent les constatations suivantes : « Le processus d’identification des risques ne permet pas d’identifier tous les risques importants ni de soutenir les mises à jour en cours d’année » et « Certains risques organisationnels sont des enjeux ».

Ce qui fonctionne

La CFP dispose d’un processus d’identification et de communication des principaux risques organisationnels. Note de bas de page 2

L’équipe de vérification interne a constaté que la CFP dispose d’un processus d’identification et de communication de ses principaux risques organisationnels. Même si ce processus ne s’inscrit pas dans un cadre officiel, il est demeuré similaire pendant la majeure partie de la période couverte par la vérification (de l’automne 2018 à l’automne 2022). Chaque année, la Division des résultats et de la livraison rencontre les comités de gestion des secteurs pour discuter des risques liés à la réalisation des priorités annuelles. Ensuite, un comité informel de directeurs généraux se réunit pour en discuter et pour identifier les plus importants. Ces risques sont ensuite examinés par le Comité de gestion des ressources. Enfin, ces risques sont présentés au Comité exécutif de gestion aux fins d’approbation et sont intégrés dans le Plan ministériel et dans le Plan d’activités intégré. Les risques sont également communiqués aux secteurs afin de les aider à planifier l’exercice suivant et afin d’éclairer le Comité de vérification interne et les réunions de la Commission (voir le tableau suivant pour le cycle complet).

Chaque trimestre, les secteurs peuvent proposer des modifications à la liste des risques lorsque les renseignements sont recueillis pour la mise à jour trimestrielle par la Division des résultats et de la livraison du Secteur des affaires ministérielles. Le Comité de gestion des ressources pourrait discuter des changements, qui pourraient ensuite être proposés au Comité exécutif de gestion.

Cycle de gestion des risques organisationnels
Version texte

Cet organigramme résume les étapes du cycle de gestion des risques organisationnels au sein de la CFP. Il y a 14 cases qui se suivent dans l’ordre suivant :

  1. Analyse environnementale (d’avril à juin)
  2. Réunions avec les comités de gestion des secteurs (septembre)
  3. Réunion avec le groupe de travail des directeurs généraux (octobre)
  4. Présentation des risques organisationnels au Comité de gestion des ressources (novembre)
  5. Présentation des risques organisationnels au Comité exécutif de gestion (novembre)
  6. Préparation du Plan ministériel et du Plan d’activités intégré (décembre)
  7. Présentation des risques organisationnels au Comité de vérification interne à la réunion de la Commission (décembre)
  8. Identification des stratégies d’atténuation par les comités de gestion des secteurs (de novembre à janvier)
  9. Présentation des stratégies d’atténuation au Comité exécutif de gestion (janvier)
  10. Intégration des stratégies d’atténuation dans le Plan intégré des activités (de février à mars)
  11. Rapport trimestriel – T1 (juin)
  12. Rapport trimestriel – T2 (septembre)
  13. Rapport trimestriel – T3 (décembre)
  14. Rapport trimestriel – T4 (mars)

Remarque : Les abréviations suivantes sont utilisées dans ce tableau : Comités de gestion des secteurs (CGS); directeurs généraux (DG); Comité de gestion des ressources (CGR); Comité exécutif de gestion (CEG); Comité de vérification interne (CVI).

Ce qui peut être amélioré

Le processus d’identification des risques ne permet pas d’identifier tous les risques organisationnels importants ni de soutenir les mises à jour en cours d’année.

L’équipe de vérification interne a constaté que le processus actuel d’identification des risques ne permet pas d’identifier efficacement les risques émergents ni d’assurer une surveillance adéquate des risques organisationnels. 

Par conséquent, comme l’ont également indiqué certains cadres supérieurs, le processus d’identification des risques est insuffisant pour garantir le suivi de chaque risque important.

Causes

L’une des principales causes de cette situation est le fait que seuls 3 ou 4 risques organisationnels importants peuvent être inscrits dans le Plan ministériel. Les risques sont formulés afin d’être communiqués au public. Ces risques sont ensuite repris dans le Plan d’activités intégré et font l’objet d’un suivi trimestriel (au moyen d’une surveillance trimestrielle), sans modification ni ajout d’autres risques organisationnels actuels ou émergents. La liste est donc incomplète.

Une autre cause est le manque de temps alloué lors des différents comités de gouvernance pour discuter officiellement des risques. À l’exception de la discussion annuelle sur les risques lors de la retraite d’automne du Comité exécutif de gestion, les discussions liées aux risques ont lieu en même temps que d’autres sujets organisationnels importants, notamment les livrables annuels, et les résultats, la situation financière et l’état des ressources de la CFP. Les discussions relatives aux risques sont donc en concurrence pour obtenir suffisamment de temps lors des réunions des comités.

L’équipe de la vérification interne a également constaté que l’approche de la gestion du risque à la CFP, y compris le processus d’identification des risques, n’a jamais été adoptée comme modèle de gestion du risque à l’échelle de toute l’organisation. C’est pourquoi les attentes concernant le moment et la manière de rendre compte des risques ne sont pas toujours claires pour les intervenants.

Conséquences

L’adoption d’un cadre structuré et cohérent de gestion des risques organisationnels, comprenant un processus officiel d’identification des risques, permettrait ce qui suit :

« La gestion des risques organisationnels est un processus structuré et cohérent qui profite à l’ensemble de l’organisation. En effet, elle permet d’identifier les possibilités et des menaces qui touchent les objectifs de l’organisation, de les évaluer, de prendre des décisions concernant la manière d’y répondre, et d’en rendre compte. […] [Elle] est utilisée dans toutes les organisations pour identifier les risques stratégiques et pour élaborer des pratiques commerciales afin d’éviter des surprises liées à ces mêmes risques qui peuvent conduire à l’échec du projet, à des scandales ou à des dommages importants pour l’organisation. » [traduction] (Institut des auditeurs internes)

L’adoption d’un cadre organisationnel de gestion du risque est reconnue comme une pratique exemplaire par des sources d’autorité, notamment les Comptables professionnels agréés du Canada et l’Institut des auditeurs internes. Cela s’applique également aux petites organisations comme la CFP.

Recommandation 1

La vice-présidente du Secteur des affaires ministérielles, en collaboration avec le Comité exécutif de gestion, devrait mettre en œuvre un cadre de gestion des risques organisationnels comprenant un processus clair d’identification, de suivi et de mise à jour des principaux risques organisationnels. Suffisamment de temps devrait également être consacré à l’identification des risques et aux discussions sur le sujet.

Certains risques organisationnels sont des enjeux.
La plupart des cadres supérieurs interrogés se sont dits préoccupés par le fait que les risques organisationnels se sont matérialisés sous la forme d’enjeux. Les procès-verbaux des réunions du Comité de gestion des ressources indiquent que ce problème a fait l’objet de discussions dès 2019, mais qu’il n’a pas été résolu.

« [L]e risque se rapporte à l’effet de l’incertitude, et donc à une perspective d’avenir, les risques se distinguent des enjeux, des problèmes ou des conditions existants, pour lesquels la probabilité qu’ils surviennent ne serait pas en cause. » (Secrétariat du Conseil du Trésor du Canada, Guide de gestion intégrée du risque)

Causes

Au cours de nos entrevues, certains cadres supérieurs ont déclaré que ces enjeux étaient trop importants pour être simplement supprimés de la liste des risques. Il n’existe actuellement aucun autre outil au sein de la CFP pour faire le suivi de ces enjeux et de leurs plans d’action.

En outre, l’équipe de la vérification interne a également constaté que les énoncés de risque ne sont pas toujours clairs et ne suivent pas les pratiques exemplaires recommandées par le Secrétariat du Conseil du Trésor du Canada, notamment en ce qui concerne l’identification de l’événement et de son incidence. Les risques identifiés par la CFP sont souvent de nature générale. La raison pour laquelle ils sont considérés comme des menaces n’est pas toujours claire, et leur incidence n’est pas toujours évaluée. Cela peut créer une confusion entre les événements actuels, les enjeux et les risques.

« L’énoncé de risque pourrait décrire […] un événement et ses répercussions potentielles (positives ou négatives) sur la réalisation des objectifs de l’organisation. »

« Un événement est une situation, un incident ou un changement survenant dans des circonstances particulières qui risque d’avoir une incidence sur la réalisation des objectifs d’une organisation. Un événement peut être positif ou négatif. »

« Une répercussion est la conséquence potentielle d’un événement. Comme dans le cas d’un événement, une répercussion peut être positive ou négative. »

« La méthode recommandée pour formuler l’énoncé de risque comprend 2 éléments : l’événement et ses répercussions négatives possibles s’il n’est pas géré. »

« Énoncé de risque (menace) : Si (événement) survient, il pourrait (répercussions négatives). » (Secrétariat du Conseil du Trésor du Canada, Guide sur les énoncés de risque)

Conséquences

Cette situation limite la capacité de la CFP à :

Recommandation 2

La Division des résultats et de la livraison, en collaboration avec le Comité exécutif de gestion, devrait inclure une liste des principaux enjeux et des plans d’action dans le processus de planification, distincte de la liste des risques et des stratégies d’atténuation.

3.2 Gouvernance : rôles, responsabilités et reddition de comptes

La responsabilité des risques organisationnels n’est pas clairement déléguée à une personne ou à un rôle aux fins de la gestion quotidienne et de la reddition de comptes, ce qui ne favorise ni la gestion des risques ni la prise de décision.

Les éléments examinés et leur importance

L’équipe de vérification interne a évalué si la CFP disposait d’une gouvernance efficace en matière de gestion des risques, y compris une désignation claire des rôles, des responsabilités et de la reddition de comptes. Cette démarche est importante pour s’assurer que les risques sont correctement évalués, qu’ils font l’objet de discussions adéquates, et qu’ils sont gérés de façon appropriée. Elle permet également de s’assurer que la réponse au risque s’harmonise avec l’appétit au risque de la haute gestion. Une bonne gouvernance des risques réduit le risque que la CFP n’atteigne pas ses objectifs. 

Constatations

Version texte

Ce tableau résume les constatations relatives à la section « Gouvernance : rôles, responsabilités et reddition de comptes » du rapport.

La première case du tableau est intitulée « Gouvernance ». Cette case est liée à 2 cases intitulées « Ce qui fonctionne » et « Ce qui peut être amélioré ». Une autre case, liée à la case « Ce qui fonctionne », présente la constatation suivante : « Les rôles et les responsabilités dans le cadre du processus d’identification des risques organisationnels sont bien définis au sein de la structure de gouvernance de la CFP. » Une autre case, liée à la case « Ce qui peut être amélioré », présente la constatation suivante : « La responsabilité des risques organisationnels pour la gestion quotidienne n’est pas clairement déléguée. »

Ce qui fonctionne

Les rôles et responsabilités dans le cadre du processus d’identification des risques organisationnels sont bien définis au sein de la structure de gouvernance de la CFP.

Les responsabilités en matière de gestion des risques à l’échelle de l’organisation sont intégrées dans la gouvernance de la CFP, comme le définissent les mandats du Comité de gestion des ressources et du Comité exécutif de gestion. La Division des résultats et de la livraison facilite les processus en recueillant des renseignements sur les risques et en les signalant régulièrement, par l’entremise des plans des activités intégrés, des plans ministériels, des rapports sur les résultats ministériels et des mises à jour trimestrielles. L’équipe est chargée de gérer les étapes principales des processus d’identification des risques et de production de rapports sur les risques, y compris l’identification des stratégies d’atténuation, et de présenter un rapport trimestriel sur les risques et sur les stratégies d’atténuation au Comité de gestion des ressources et au Comité exécutif de gestion.

Ce qui peut être amélioré

Les responsables des risques organisationnels pour la gestion quotidienne ne sont pas clairement délégués.Note de bas de page 3

La Division des résultats et de la livraison doit mener à bien les principales étapes du processus d’identification des risques et de production de rapports sur les risques, telles qu’elles ont été déterminées à la section 3.1. Toutefois, l’équipe de vérification interne a constaté qu’aucun groupe ni rôle n’est identifié comme responsable de la gestion quotidienne de chaque risque organisationnel. Il existe des attentes informelles en matière de responsabilité; par exemple, la Direction des services de technologie de l’information est responsable des risques liés à la technologie de l’information. Il n’y a toutefois pas d’attentes claires en matière de suivi ou de contrôle des risques, ou de production de rapports sur les risques.

« Les organisations devraient désigner adéquatement les responsables des risques à qui incombe la responsabilisation et l’autorité de gérer les risques. » (Secrétariat du Conseil du Trésor du Canada, Guide de gestion intégrée du risque)

« Les organisations devraient fournir les responsables des risques et la responsabilisation connexe, et ces éléments doivent désigner des individus ou des rôles et non des comités. » (Secrétariat du Conseil du Trésor du Canada, Guide d’élaboration d’un profil de risque organisationnel)

La situation est similaire pour les stratégies d’atténuation qui sont élaborées chaque année par les secteurs et communiquées dans le Plan d’activités intégré. Des bureaux de première responsabilité sont désignés pour chaque livrable qui contribue aux stratégies d’atténuation; toutefois, personne n’est désigné pour mesurer la réussite globale ou pour en rendre des comptes, ni pour veiller à ce que la réponse soit harmonisée avec l’appétit au risque de la haute gestion.

Causes

L’équipe de vérification interne a constaté qu’il n’a pas été nécessaire de déléguer la responsabilité des risques au cours des 4 dernières années, étant donné qu’il n’y a pas eu de demande de rapport en cours d’année sur l’état des risques ni sur la réussite des stratégies d’atténuation. Les intervenants qui participent aux activités d’atténuation liées à ces risques sont censés agir de manière appropriée pour les ramener à un niveau acceptable. Cette situation n’est pas optimale lorsque plusieurs directions doivent veiller à ce que les mesures d’atténuation soient suffisantes et conformes à l’appétit au risque de la haute gestion.

Conséquences

Recommandation 3

Dans le cadre de gestion des risques organisationnels, la Division des résultats et de la livraison, en collaboration avec le Comité exécutif de gestion, devrait inclure un processus permettant de désigner la responsabilité de chaque risque spécifique et d’assurer la reddition de comptes, y compris la surveillance et la garantie d’une réponse harmonisée avec l’appétit au risque de la haute gestion.

3.3 Réponse au risqué

Aucun contrôle n’est en place pour mesurer l’efficacité des stratégies d’atténuation. L’appétit et la tolérance au risque ne sont pas clairement communiqués, ce qui n’appuie pas la gestion du risque ni la prise de décision.

« La réaction aux risques est le processus consistant à sélectionner et à mettre en œuvre des mesures de réaction à un risque. De manière générale, on opte pour une stratégie de réaction générale (accepter le risque, surveiller le risque, transférer le risque, éviter la menace, réduire la probabilité ou l’incidence de la menace, augmenter la probabilité ou l’incidence d’une occasion, etc.). Le seuil de tolérance au risque devrait déterminer le type et l’envergure de la réaction. » (Secrétariat du Conseil du Trésor du Canada, Guide de gestion intégrée du risque

Les éléments examinés et leur importance

L’équipe de vérification interne a évalué si la CFP :

Lorsqu’elle repose sur une compréhension claire de l’appétit au risque de la haute gestion, la réaction aux risques permet d’attribuer le bon nombre de ressources à des mesures spécifiques, de donner le ton pour mesurer la réussite et pour soutenir le processus de prise de décision.

Constatations

Version texte

Ce tableau résume les constatations de la section « Réponse aux risques » du rapport.

La première case du tableau est intitulée « Réponse aux risques ». Cette case est liée à 2 cases intitulées « Ce qui fonctionne » et « Ce qui peut être amélioré ». Une autre case, liée à la case « Ce qui fonctionne », présente la constatation suivante : « La CFP a mis en place un processus permettant d’identifier les livrables des stratégies d’atténuation et d’en rendre compte. » Deux autres cases, liées à la case « Ce qui peut être amélioré », présentent les constatations suivantes : « Il n’y a pas de contrôle en place pour mesurer l’efficacité des stratégies d’atténuation » et « L’appétit et la tolérance au risque ne sont pas clairement communiqués dans l’ensemble de la CFP ».

Ce qui fonctionne

La CFP dispose d’un processus permettant d’identifier les livrables des stratégies d’atténuation et d’en rendre compte.

Les stratégies d’atténuation des risques sont élaborées par chaque secteur en collaboration avec la Division des résultats et de la livraison. Ce processus commence par un appel annuel, à la fin du mois de novembre, de la part de la Division des résultats et de la livraison, qui demande aux secteurs de fournir des stratégies d’atténuation et des livrables liés aux risques organisationnels précédemment identifiés. Les secteurs ont jusqu’au mois de janvier suivant pour identifier les stratégies d’atténuation. La Division évalue ensuite ces stratégies pour déterminer si elles sont pertinentes pour l’année à venir. Puis, les stratégies d’atténuation des risques sont présentées aux comités de gestion des secteurs pour obtenir de la rétroaction pour aider à déterminer si la réaction au risque correspond à la nature et à l’ampleur du risque. Enfin, les stratégies d’atténuation sont soumises à l’approbation du Comité exécutif de gestion, puis incluses dans le Plan d’activités intégré de l’année suivante (consulter le graphique Cycle de gestion des risques organisationnels).

L’état d’avancement des stratégies d’atténuation des risques et des livrables associés est communiqué tous les trimestres au Comité de gestion des ressources et au Comité exécutif de gestion. Les intervenants peuvent discuter de ces progrès, mais le peu de temps alloué à la discussion est insuffisant, car l’attention des membres est divisée entre de nombreux sujets importants.

Ce qui peut être amélioré

Aucun contrôle n’est en place pour mesurer l’efficacité des stratégies d’atténuation.

L’équipe de vérification interne a constaté qu’aucun contrôle n’était en place pour mesurer l’efficacité des stratégies d’atténuation. Les mises à jour trimestrielles présentées aux comités de gouvernance se concentrent sur l’état d’avancement des livrables, mais leur efficacité en matière de réduction des risques n’est pas évaluée.

Causes

Étant donné que la responsabilité des risques n’a pas été déléguée pour les principaux risques organisationnels, personne n’est actuellement chargé de mesurer la réussite des stratégies d’atténuation ou d’assurer l’harmonisation avec l’appétit au risque de la haute gestion.

Conséquences

La plupart des directeurs généraux qui ont parlé des stratégies d’atténuation au cours des entrevues ont indiqué qu’ils ne disposaient pas de suffisamment de renseignements sur leur réussite pour qu’elles soutiennent leur prise de décision.

Recommandation

La recommandation 3 appuie cette constatation.

L’appétit et la tolérance au risque ne sont pas clairement communiqués au sein de la CFP.

L’équipe de vérification interne a constaté que le processus de gestion du risque au sein de la CFP ne permet ni de documenter ni de communiquer la tolérance et l’appétit au risque. Il n’y a pas de mesure clairement définie de la réussite des stratégies d’atténuation ni du niveau de risque acceptable pour la CFP. Lors des entrevues, les directeurs généraux et les vice-présidents ont exprimé leur volonté de prendre des risques plus calculés, mais n’étaient pas certains de l’appétit général au risque de la haute gestion.

« La tolérance au risque désigne la volonté d’une organisation d’accepter ou de rejeter un niveau donné de risque résiduel. La tolérance au risque peut varier au sein d’une organisation, en fonction de l’environnement opérationnel, des parties intéressées, etc., mais elle doit être bien comprise par les personnes qui prennent des décisions relatives aux risques dans un dossier en particulier. Il faut que la tolérance au risque soit claire à tous les niveaux de l’organisation afin de favoriser une prise de décisions éclairée par l’analyse des risques et le recours à des approches tenant compte du risque. » (Secrétariat du Conseil du Trésor, Guide de gestion intégrée du risque)

« L’appétit au risque exprime le niveau d’incertitude qu’une organisation est prête à assumer pour mener à bien ses activités et atteindre ses objectifs. L’appétit au risque doit toujours se situer dans la limite de la tolérance de l’organisation à absorber le risque. La tolérance aux risques peut donc être définie comme le niveau de risque qu’une organisation est capable d’absorber sans que la réalisation de ses objectifs stratégiques en soit affectée de manière importante. » [traduction] (Institut des auditeurs internes)

Causes

L’équipe de vérification interne a constaté qu’il n’existait pas de processus ni de mécanisme normalisé permettant de communiquer la tolérance et l’appétit au risque au sein de la CFP. La tolérance est communiquée de manière informelle lors de discussions à l’occasion de diverses réunions de gouvernance ou bilatérales, et elle est rarement documentée.

« Plusieurs approches communes sont utilisées pour communiquer l’appétit au risque. La première consiste à créer un énoncé général sur l’appétit au risque qui soit à la fois suffisamment large et suffisamment descriptif pour que les unités organisationnelles puissent gérer leurs risques de manière cohérente dans le cadre de cet énoncé. La deuxième consiste à communiquer l’appétit au risque pour chaque grande catégorie d’objectifs de l’organisation. La troisième consiste à communiquer l’appétit au risque pour les différentes catégories de risques. » [traduction] (Committee of Sponsoring Organizations of the Treadway Commission)

Conséquences

Recommandation 4

La Division des résultats et de la livraison, en collaboration avec le Comité exécutif de gestion, devrait veiller à ce que le cadre de gestion des risques organisationnels comprenne un processus permettant de déterminer clairement la tolérance et l’appétit au risque du Comité exécutif de gestion et de les communiquer aux employés de la CFP.

3.4 Outils

Le manque de soutien à la gestion du risque au niveau opérationnel ne favorise pas la gestion du risque ni la prise de décisions judicieuses.

Les éléments examinés et leur importance

L’équipe de vérification interne a évalué si la CFP disposait des outils et de l’expertise nécessaires pour soutenir de bonnes pratiques de gestion des risques dans l’ensemble de l’organisation. Dans son Guide de gestion intégrée du risque, le Secrétariat du Conseil du Trésor du Canada s’attend à ce que les organisations disposent de la capacité et des outils nécessaires pour favoriser une bonne culture de gestion du risque aux différents niveaux de l’organisation, y compris pour les programmes et les projets. L’analyse a tenu compte de la taille de la CFP, de la nature de ses activités, et des exigences basées sur les pratiques de gestion des risques en place.

Constatations

Version texte

Ce tableau résume les constatations de la section « Outils » du rapport.

La première case du tableau est intitulée « Outils ». Cette case est liée à 2 cases intitulées « Ce qui fonctionne » et « Ce qui peut être amélioré ». Une autre case, liée à la case « Ce qui fonctionne », présente la constatation suivante : « La CFP dispose d’outils pour soutenir l’identification des risques organisationnels. » Une autre case, liée à la case « Ce qui peut être amélioré », présente la constatation suivante : « Le soutien à la gestion du risque au niveau opérationnel est insuffisant. »

Ce qui fonctionne

La CFP dispose d’outils pour faciliter l’identification des risques organisationnels.

L’équipe de vérification interne a constaté que la Division des résultats et de la livraison, en s’appuyant sur les guides du Secrétariat du Conseil du Trésor du Canada, a élaboré et communiqué des outils afin de soutenir le processus d’identification des risques organisationnels qui se déroule à l’automne. Par exemple, au cours du processus cyclique d’identification des risques, le Guide sur les énoncés de risque et d’autres documents clés sont communiqués aux intervenants. Les participants qui ont pris part aux exercices d’identification des risques au cours des 4 dernières années ont reçu différentes versions de ces documents pour les aider dans le processus.

Ce qui peut être amélioré

Le soutien à la gestion du risque au niveau opérationnel est insuffisant.

L’équipe de vérification interne a évalué les pratiques de gestion du risque du projet Transformation d’Emplois GC, du Projet Évaluation en langue seconde – Test en ligne non supervisé, et du Programme des droits de priorité. Il a été constaté que des pratiques, des processus, des outils et de la documentation en matière de gestion du risque ont été élaborés pour les 2 projets et pour le programme. L’équipe de vérification interne a constaté qu’en raison du manque de soutien au sein de la CFP, notamment en matière d’expertise et d’outils, ces pratiques ont été élaborées de façon ponctuelle, en s’appuyant sur les connaissances des membres de l’équipe en matière de gestion du risque. De nombreuses personnes interrogées (et pas seulement les équipes de ces projets) ont indiqué qu’elles pourraient bénéficier d’un soutien plus important, par exemple en ce qui a trait à la formation, car elles s’appuient présentement sur leurs propres compétences limitées.

Causes

La responsabilité de soutenir de bonnes pratiques de gestion du risque n’a pas été clairement attribuée au sein de la CFP. Il est prévu que la Division des résultats et de la livraison apporte son soutien à l’identification des risques organisationnels, mais personne n’est chargé d’organiser des formations, de promouvoir des outils ou de faire de la sensibilisation aux pratiques de gestion du risque. Par exemple, l’École de la fonction publique du Canada propose plusieurs cours aux fonctionnaires fédéraux. Les cours couvrent différentes composantes de la gestion du risque, d’une introduction générale à la gestion du risque jusqu’à l’identification, l’évaluation et la réponse efficace aux risques. Le Secrétariat du Conseil du Trésor du Canada dispose également d’outils pour aider à gérer les risques. Cependant, l’équipe de vérification interne a constaté que ces cours et ces outils de formation ne sont pas communiqués aux employés de la CFP au moyen du catalogue d’apprentissage de la CFP, des outils de travail sur l’Intracom ou du bulletin L’Express de la CFP.

Conséquences

Recommandation 5

La vice-présidente du Secteur des affaires ministérielles devrait donner la charge à un groupe de promouvoir les outils et la formation en vue de soutenir une bonne culture de gestion du risque.

4. Conclusion

Des pratiques saines de gestion du risque sont essentielles à une prise de décision éclairée et à la réalisation des objectifs organisationnels.

Ces pratiques ne soutiennent pas la gestion du risque et la prise de décisions judicieuses :

À la suite de ces constatations, la présente vérification conclut que les pratiques de gestion du risqueu au sein de la CFP sont insuffisantes pour permettre une gestion et une prise de décision saines, et que des améliorations sont nécessaires pour favoriser de bonnes pratiques de gestion du risque.

La CFP gagnerait à mettre en œuvre un cadre officiel de gestion des risques, adapté à sa taille et à ses activités, afin d’accroître l’efficacité de ses pratiques et de donner des orientations plus claires à l’ensemble du personnel sur la manière dont les risques doivent être signalés et gérés. D’autres améliorations sont possibles :

La mise en œuvre des recommandations permettra d’améliorer les pratiques de gestion du risque, et sera bénéfique pour la CFP des manières suivantes :

Annexe A : Constatations et recommandations de la vérification

Constatations

Ce qui fonctionne

Ce qui peut être amélioré

Recommandations

 

Annexe B : Critères de la vérification

1. La CFP dispose d’un processus de gestion intégré du risque qui soutient la prise de décision

1.1 Il existe un processus permettant d’identifier les risques à l’échelle de l’organisation en temps opportun.

1.2 Des stratégies d’atténuation et des contrôles sont élaborés et mis en œuvre pour composer avec les risques.

1.3 Les risques et les stratégies d’atténuation sont surveillés, réévalués et communiqués à tous les niveaux de gouvernance de l’organisation pour faciliter la prise de décision.

2. La gouvernance soutient les bonnes pratiques de gestion du risque

2.1 La CFP dispose d’une gouvernance adéquate et efficace en matière de gestion du risque, y compris en ce qui concerne les rôles, les responsabilités et la reddition de comptes.

2.2 Les pratiques de gestion du risque sont harmonisées avec le niveau de tolérance attendu et communiqué par la haute gestion.

2.3 La CFP dispose des outils et de l’expertise nécessaires pour soutenir les bonnes pratiques de gestion des risques.

 

Annexe C : Réponse et plan d’action de la gestion

Recommandation 1 

La vice-présidente du Secteur des affaires ministérielles, en collaboration avec le Comité exécutif de gestion, devrait mettre en œuvre un cadre de gestion des risques organisationnels comprenant un processus clair d’identification, de suivi et de mise à jour des principaux risques organisationnels. Suffisamment de temps devrait également être consacré à l’identification des risques et aux discussions sur le sujet.

Niveau de risque associé au fait de ne pas donner suite à la recommandation : Élevé

Réponse : La vice-présidente du Secteur des affaires ministérielles soutient la recommandation d’adopter un cadre de gestion des risques organisationnels. La gestion du risque est un élément essentiel de l’approche de planification intégrée, grâce à des échanges réguliers avec les secteurs, les directions et la CFP.

Mesures prévues : Un cadre de gestion des risques organisationnels sera élaboré conformément au cadre de gestion des risques du Secrétariat du Conseil du Trésor du Canada. Le cadre comprendra un processus de surveillance trimestriel ainsi que des discussions régulières au sein des comités de gouvernance.

Échéancier : T3 2023-2024

Bureau de première responsabilité : Secteur des affaires ministérielles

Recommandation 2

La Division des résultats et de la livraison devrait inclure une liste des principaux enjeux et des plans d’action dans le processus de planification, distincte de la liste des risques et des stratégies d’atténuation.

Niveau de risque associé au fait de ne pas donner suite à la recommandation : Élevé

Réponse : La vice-présidente du Secteur des affaires ministérielles appuie la recommandation. 

Mesures prévues :

Échéancier :

Mesure 1 : T2 2023-2024
Mesure 2 : En cours, conformément à l’échéancier.

Bureau de première responsabilité : Secteur des affaires ministérielles, Direction des finances et de la planification ministérielle, et Division des résultats et de la livraison

Recommandation 3

Dans le cadre de gestion des risques organisationnels, la Division des résultats et de la livraison, en collaboration avec le Comité exécutif de gestion, devrait mettre en place un processus permettant de désigner la responsabilité de chaque risque spécifique et d’assurer la reddition de comptes, y compris la surveillance et la garantie d’une réponse harmonisée avec l’appétit au risque de la haute gestion.

Niveau de risque associé au fait de ne pas donner suite à la recommandation : Élevé

Réponse : La vice-présidente du Secteur des affaires ministérielles appuie la recommandation.

Échéanciers : T3 2023-2024

Bureau de première responsabilité : Secteur des affaires ministérielles, Direction des finances et de la planification ministérielle, et Division des résultats et de la livraison

Recommandation 4

La Division des résultats et de la livraison, en collaboration avec le Comité exécutif de gestion, devrait veiller à ce que le cadre de gestion des risques organisationnels comprenne un processus permettant de déterminer clairement la tolérance et l’appétit au risque du Comité exécutif de gestion et de les communiquer aux employés de la CFP.

Niveau de risque associé au fait de ne pas donner suite à la recommandation : Élevé

Réponse : La vice-présidente du Secteur des affaires ministérielles convient qu’un cadre de gestion des risques organisationnels devrait inclure une stratégie de communication pour informer les employés de la CFP.

Mesures prévues :

Échéanciers :

Mesure 1 : T2 2023-2024
Mesure 2 : T3 2023-2024

Bureau de première responsabilité : Secteur des affaires ministérielles

Recommandation 5

La vice-présidente du Secteur des affaires ministérielles devrait donner la charge à un groupe de promouvoir les outils et la formation en vue de soutenir une bonne culture de gestion du risque.

Niveau de risque associé au fait de ne pas donner suite à la recommandation : Moyen

Réponse : La vice-présidente du Secteur des affaires ministérielles est d’accord avec la recommandation.

Mesures prévues :

Échéanciers :

Mesure 1 : T2 2023-2024
Mesure 2 : T3 2023-2024

Bureau de première responsabilité : Secteur des affaires ministérielles

Détails de la page

Date de modification :