Emploi et Développement social Canada : Profil de risque organisationnel 2018 à 2020

1. Détermination des risques

En juin 2018, les membres du Conseil de gestion du portefeuille ont cerné les risques relatifs à la taxonomie des risques 2018 à 2019 d’EDSC (annexe A) liée aux priorités stratégiques d’EDSC (annexe B). En se fondant sur cet exercice de détermination des risques, les sous ministres adjoints ont formulé des commentaires sur leurs trois principales catégories de risques afin de signaler les plus grandes menaces à l’atteinte des objectifs ministériels.

2. Classement et évaluation des risques

L’étape d’évaluation qui a suivi comprenait un processus de consultation élargi auprès de diverses personnes et par l’entremise de comités principaux. Les directeurs généraux (DG) ont eu recours à un sondage pour classer les principaux risques selon leur probabilité et leur impact. Les résultats ont été calculés en multipliant la probabilité et l’impact (figure B) pour obtenir un indice de gravité pour chaque catégorie de risque. Il a été proposé d’inclure comme risques ministériels dans le Profil de risque organisationnel 2018 à 2020 les risques qui ont été évalués comme étant dans la zone rouge (probabilité élevée/impact important) ainsi que les risques qui ont été signalés de manière constante durant les consultations de suivi menées par les DG. Ces principaux risques ont ensuite été validés par l’intermédiaire de divers comités, puis présentés aux membres du Conseil de gestion du portefeuille et approuvés par ces derniers en novembre 2018. La section intitulée Principaux risques d’EDSC (figure D, page 11) présente les résultats du classement.

3. Réponse aux risques

Les spécialistes du domaine des directions générales responsables ont mis au point des profils de risque présentant notamment :

• des énoncés concis du risque;
• les activités existantes visant à assurer un contrôle des risques (les « mesures de contrôle » sont des processus ou des activités déjà en place qui servent à réduire l’exposition au risque);
• les mesures d’atténuation supplémentaires (de nouvelles solutions pour améliorer les occasions et réduire les menaces);
• la gravité du risque résiduel (évaluation de la gravité du risque lorsque toutes les mesures de contrôle sont en place);
• la gravité visée du risque (le niveau de risque souhaité une fois les mesures de contrôle mises en place et toutes les mesures d’atténuation réalisées ou mises en place);
• les indicateurs permettant de mesurer les progrès réalisés vers l’atteinte des cibles.

Les comités de gouvernance de niveau 2 responsables ont approuvé les profils de risque individuels avant qu’ils ne reçoivent l’approbation finale du Conseil de gestion du portefeuille.

Gravité du risqué

Gravité = probabilité x impact
Probabilité - Mesure de la probabilité qu’un événement à risque devienne une réalité au cours de la prochaine année

• Faible – 1 (peu probable au cours de la prochaine année)
• Moyenne - 2 (pourrait se produire au cours de la prochaine année)
• Élevée- 3 (très probable au cours de la prochaine année)

Impact - Mesure qualitative des conséquences pour le Ministère d’un événement à risque qui devient une réalité

• Mineur - 1 (le préjudice causé à la réputation et aux opérations du Ministère est mineur)
• Modéré - 2 (le préjudice causé à la réputation et aux opérations du Ministère est modéré)
• Important - 3 (le préjudice causé à la réputation et aux opérations du Ministère est important)

Figure B : Multipliant la probabilité et l’impact – Version textuelle

• La figure B montre comment la gravité de chaque risque sera illustrée, dans le reste du document, dans une matrice trois par trois où l’incidence est représentée sur l’axe vertical, et la probabilité, sur l’axe horizontal. Les trois carrés dans le coin supérieur droit sont rouges pour indiquer une gravité élevée; les trois carrés diagonaux sont jaunes pour montrer une gravité moyenne; et les trois carrés dans le coin inférieur gauche sont verts pour montrer une gravité faible.
• Un point vide est utilisé pour indiquer la gravité initiale du risque, avant que les contrôles ne soient en place; à des fins d’illustration, le point vide a été placé dans la zone supérieure droite (rouge) de la matrice.
• Un point rempli est utilisé pour indiquer la gravité du risque résiduel, une fois les contrôles en place; à des fins d’illustration, le point rempli a été placé en dessous du point vide et à sa gauche, toujours dans la zone rouge, mais avec une gravité inférieure sur le plan de l’incidence et de la probabilité.
• Une étoile est utilisée pour indiquer la gravité cible du risque, c’est-à-dire le niveau auquel le risque devrait être abaissé avec des contrôles continus une fois que toutes les stratégies d’atténuation auront été mises en place (nouvelles mesures introduites pour réduire davantage le risque). À titre d’illustration, l’étoile a été placée au milieu de la matrice, dans la zone jaune, pour refléter une probabilité et une incidence moyennes.

4. Surveillance et établissement de rapports

La surveillance du Profil de risque organisationnel se fait aux trois mois. Toutes les directions générales et les régions sont tenues de faire participer leurs cadres supérieurs à des discussions régulières sur les risques, en plus de fournir des mises à jour sur les risques et les points saillants de l’analyse de l’environnement chaque trimestre. Les rapports trimestriels sur les résultats en matière de risques sont soumis au Conseil de gestion du portefeuille.

Innovation et expérimentation

EDSC reconnaît que l’un des plus grands risques auxquels il est confronté est le fait de ne pas prendre des risques. Il se pourrait qu’EDSC ne prenne pas les risques audacieux qui sont nécessaires pour innover et suivre le rythme des attentes des Canadiens.

Par conséquent, il continuera à innover et à expérimenter afin de tirer des leçons des succès et des échecs qui découlent de la mise à l’essai d’approches nouvelles et différentes en ce qui concerne l’élaboration de politiques, la conception de programmes et la prestation de services.

À EDSC, l’innovation signifie le développement de nouvelles idées, de nouveaux services et de modèles pouvant aider à mieux répondre aux priorités ministérielles. S’il ne prend pas de risques éclairés, le Ministère pourrait ne pas être en mesure d’offrir ses programmes et services aux Canadiens de la façon dont ces derniers souhaitent et doivent les recevoir.

L’expérimentation donne la possibilité d’adopter une approche moderne de la gestion du risque, selon laquelle une organisation prévoit une faible proportion d’échecs, en tient compte et la gère en vue d’atteindre ses objectifs. L’expérimentation peut contribuer à accroître l’innovation au sein d’une organisation, que ce soit par l’évaluation de ce qui fonctionne bien et de ce qui ne fonctionne pas, par l’analyse des attentes des clients, ou encore par la mise à l’essai des idées pour en tester la validité et l’efficacité.

Les fonctionnaires font place à une diversité de points de vue pour discuter des priorités et des politiques, et ils apportent de nouveaux outils, de nouvelles approches et de nouvelles perspectives pour régler les problèmes difficiles. Nous prenons des risques plus audacieux, sommes plus créatifs et mettons à l’essai des idées nouvelles.

Les mesures de contrôle en place à EDSC sont issues de l’expérimentation menée par le Ministère, par l’entremise de son Lab d’innovation et de son Centre d’accélération. Dans son Plan stratégique, le Lab d’innovation intègre l’expérimentation au processus de développement des services et réunit les intervenants concernés dès le début d’un projet pour discuter avec eux des liens entre l’élaboration des politiques, la conception et la mise en œuvre. Il s’agit d’un processus qui, à la fin, contribue à produire de meilleurs résultats au profit des Canadiens. Quant au Centre d’accélération, il recueille des pratiques innovantes d’autres gouvernements et du secteur privé, il analyse la rétroaction des clients, il schématise des parcours de clients, il conçoit et met à l’essai des solutions de service, et il mène des évaluations qualitatives et quantitatives pour aider les employés d’EDSC à concevoir des services, en tenant compte du contexte et des circonstances que vivent généralement les clients qui reçoivent ces services.

En ce moment, le Ministère innove et expérimente dans différents secteurs, tels que la modélisation des processus internes au moyen de l’intelligence artificielle; l’évaluation de l’impact des ententes sur le marché du travail sur le recours à l’assurance-emploi; les initiatives tirées du Plan de transformation des services; et l’élaboration de conditions générales pour la mise en œuvre des programmes de paiement de transfert. EDSC a également appuyé de nombreuses expérimentations menées avec des organisations, telles que la Société de recherche sociale appliquée, mais aussi dans le cadre des fonctions d’EDSC, comme c’est le cas de la Direction de l’évaluation qui a eu recours à des approches expérimentales dans le développement de ses produits.

EDSC a également mis en place une fonction élargie de gestion du risque organisationnel (GRO), y compris la création d’un poste d’agent principal de la gestion des risques. La nouvelle équipe de GRO assurera la transition vers une culture de prise de risques intelligente, en faisant mieux connaître les pratiques de gestion du risque et en tenant des discussions sur la tolérance aux risques et le goût du risque.

Le Ministère propose plusieurs stratégies d’atténuation des risques qui encourageront la prise de risques intelligente, notamment travailler sur davantage de projets au Lab d’innovation pour amener EDSC à être partenaire d’approches axées sur les personnes répondant aux priorités du Ministère; soutenir les efforts du Ministère pour renforcer les compétences et la capacité à innover et expérimenter; et collaborer avec d’autres ministères et organismes fédéraux et des organisations externes. Le Centre d’accélération continuera à moderniser les services d’EDSC au moyen d’innovations, que l’on pense entre autres à l’inscription automatique aux prestations de la Sécurité de la vieillesse et au Supplément de revenu garanti.

EDSC examinera la possibilité d’élaborer une stratégie d’expérimentation qui servira de cadre pour encourager la prise de risques intelligente. EDSC fera également appel au Lab d’innovation pour renforcer la capacité du Ministère à entrer en contact avec les Canadiens pour trouver des solutions et tirera parti du Bureau de la dirigeante principale des données pour faciliter l’accès aux données au moyen d’une meilleure gouvernance des données et d’une meilleure connaissance de celles-ci. En outre, EDSC cherchera des occasions de publier et de diffuser les expériences d’EDSC dans des revues et en ligne. Enfin, il est envisagé de cibler du financement réservé pour soutenir l’innovation au Ministère.

1. Technologies de l’information

Compte tenu de la dette technique importante d’EDSC tant au niveau des systèmes que de l’infrastructure, il y a un risque qu’EDSC n’ait pas la capacité de travailler, de se transformer et d’innover continuellement en vue de respecter adéquatement les priorités gouvernementales numériques qui appuient les programmes et services d’EDSC et assurent la continuité des services de TI.

Figure 1 : La gravité du risque informatique – Version textuelle

La gravité du risque informatique (risque 1) est illustrée sur la matrice trois par trois comme suit :

• Le risque initial (point vide) se trouve dans le carré supérieur droit (zone rouge – probabilité et incidence élevées).
• Le risque résiduel (point rempli) est immédiatement au-dessous du point vide et le chevauche (même zone rouge – même probabilité élevée, mais incidence légèrement inférieure au risque initial).
• Le risque cible (étoile) est dans le carré supérieur gauche (zone jaune – faible probabilité et presque même incidence que le risque résiduel).

EDSC a une dette technique importante tant au niveau des systèmes que de l’infrastructure, et ce coût indirect découlant du fait de posséder et de gérer de vieux biens de TI et de vieilles applications liés à l’infrastructure de TI, aux outils des employés, aux programmes et aux fonctions administratives risque de retarder ou de compromettre le versement des prestations et les services offerts aux Canadiens. À cet égard, le Ministère procède à la mise en œuvre d’initiatives de modernisation visant à renforcer et à maintenir l’infrastructure de TI ainsi qu’à remplacer et à améliorer les systèmes et services de TI existants qui appuient le versement des prestations aux Canadiens qui en ont le plus besoin.

Si un risque lié aux TI survient, il pourrait avoir une incidence sur la capacité du Ministère à maintenir l’infrastructure nécessaire pour accéder efficacement aux données et les exploiter, à protéger les renseignements personnels contre les atteintes possibles, et à appuyer l’exécution des programmes et la prestation des services d’EDSC, ce qui aurait des effets sur la gestion de l’information et des connaissances (données), la protection de la vie privée et des renseignements personnels et la prestation de services.

Les mesures de contrôle liées aux TI du Ministère comprennent des stratégies globales (comme le plan de TI d’EDSC pour 2018 2021 et la stratégie de gestion des personnes), ainsi que des structures de gouvernance (comme le Conseil d’examen de l’architecture intégrée et la Gestion du portefeuille des applications). Ces mesures de contrôle et ces mesures d’atténuation prévues permettront de maintenir la probabilité et de réduire modérément la probabilité et l’impact du risque jusqu’au 31 mars 2024.

EDSC poursuivra ses activités d’atténuation des risques afin de réduire davantage la probabilité qu’un événement à risque se produise. Pour assurer la continuité des services de TI, EDSC entreprendra un renouvellement complet des processus opérationnels et de la technologie pour le régime d’assurance emploi, la Sécurité de la vieillesse et le Régime de pensions du Canada. D’autres améliorations plus modérées apportées à divers systèmes et services viendront appuyer le portefeuille et l’exécution de ses programmes. D’autres mesures d’atténuation viseront également à renforcer et à maintenir l’exécution des programmes d’infrastructure pour s’assurer qu’il n’y aura aucune lacune dans la continuité des activités entre les responsabilités des partenaires et à mettre en œuvre des stratégies efficaces relatives à l’effectif pour attirer, recruter et conserver des employés qualifiés dans le domaine de la GI-TI et offrir plus de formation aux employés actuels sur les nouveaux outils et les nouvelles solutions d’application.

De plus, EDSC préparera cadre ministériel pour gérer le changement technologique au moyen de programmes, de grands projets et de projets réguliers, apportera de légères modifications aux applications et en assurera l’entretien, de manière à accroître la fiabilité de l’infrastructure et à garantir que les systèmes répondent aux exigences opérationnelles et aux exigences en matière de TI.

Compte tenu des mesures de contrôle des risques mises en place et des mesures d’atténuation prévues, on s’attend à ce que la gravité du risque soit réduite à une probabilité moyenne d’ici le 31 mars 2029.

2. Planification des investissements et gestion du portefeuille d’investissements

Il y a un risque que la capacité du Ministère sur le plan du personnel, des fonds et de l’infrastructure ne soit pas suffisamment intégrée pour appuyer la réalisation des avantages du portefeuille. De plus, il existe un risque de décalage entre la planification stratégique et la gestion du portefeuille.

De toute évidence, dans un ministère de la taille d’EDSC offrant des programmes et des prestations aussi vastes et variés, il existe un risque : qu’il y ait un décalage dans le nombre, le type et la séquence des avantages du portefeuille, ainsi que les liens entre ceux-ci (programmes et projets ministériels); ou que le portefeuille d’investissements dépasse la capacité en ressources humaines ou en financement; ou qu’il y ait un changement important dans les priorités organisationnelles. Changer les priorités sans réévaluer et déclasser d’autres priorités est un élément déclencheur important de ce risque accru en période d’incertitude. L’utilisation insuffisante ou inefficace persistante de la capacité existante et les pratiques inefficaces en matière de gestion du portefeuille sont également des facteurs contributifs.

Figure 2 : La gravité du risque lié à la planification des investissements et à la gestion du portefeuille de placements – Version textuelle

La gravité du risque lié à la planification des investissements et à la gestion du portefeuille de placements (risque 2) est illustrée dans la matrice trois par trois comme suit :

• Le risque initial (point vide) se trouve dans le carré supérieur droit (zone rouge – probabilité élevée et incidence élevée).
• Le risque résiduel (point rempli) est immédiatement à gauche du point vide et le chevauche (zone rouge – même incidence élevée, mais probabilité légèrement inférieure au risque initial).
• Le risque cible (étoile) est au milieu de la matrice (zone jaune – en baisse, pour se situer dans la zone de probabilité et d’incidence moyennes).

Le décalage dans la planification et la gestion du portefeuille et la non-réalisation des avantages du portefeuille pourraient avoir une incidence directe sur d’autres risques liés aux technologies de l’information et à la prestation de services.

EDSC compte beaucoup sur la gouvernance et la surveillance pour atténuer ce risque, ce qui englobe les prévisions et les rapports en matière de gestion financière et le processus de présentation et de mise à jour annuelle de son plan triennal d’investissement. En 2019 2020, la Direction générale du dirigeant principal des finances établira d’autres mesures d’atténuation, comme un mécanisme pour intégrer le calendrier du portefeuille (l’harmonisation et l’ordonnancement intégrés des calendriers des programmes et des projets au sein du portefeuille des investissements) et mettra sur pied un comité d’examen des risques pour renforcer ses mesures de contrôle actuelles et mieux coordonner et établir les priorités. Ces mesures d’atténuation permettront au Ministère de mieux gérer les ressources ainsi de mieux comprendre les interdépendances entre les programmes et les projets.

Compte tenu des mesures de contrôle des risques mises en place et des mesures d’atténuation prévues, on prévoit que la gravité du risque sera réduite à un niveau de probabilité moyen ou à un niveau d’impact modéré d’ici le 30 avril 2020.

3. Gestion des RH

Il y a un risque que les aptitudes, les compétences et la distribution de l’effectif d’EDSC ne lui permettent pas de répondre aux besoins actuels et futurs en raison de l’évolution des compétences requises et des tendances démographiques. De plus, les défis posés par l’environnement actuel des « RH à la paye » pourraient continuer de nuire à la capacité du Ministère de recruter et de maintenir en poste des employés talentueux et compétents dans tous les secteurs d’activité. Cela pourrait avoir une incidence sur les normes et les objectifs de service du Ministère.

L’évolution des compétences requises, les changements démographiques (y compris la proportion importante de départs à la retraite prévus au cours des prochaines années) et les problèmes de rémunération découlant de l’environnement des « RH à la paye » ont des répercussions importantes sur la gestion des RH dans l’ensemble du Ministère. Compte tenu du programme de transformation des politiques et des services du Ministère et d’autres priorités pangouvernementales, il est de plus en plus important que l’effectif d’EDSC possède la bonne combinaison d’aptitudes et de compétences. Si ce risque n’est pas atténué, les objectifs et les normes de service du Ministère pourraient ne pas être respectés, et la capacité de maintenir le niveau de qualité souhaité des analyses et des conseils et de répondre aux attentes des Canadiens en matière de services faciles d’accès, rapides, précis et efficaces pourrait être compromise.

Figure 3 : La gravité du risque de gestion des RH – Version textuelle

La gravité du risque de gestion des RH (risque 3) est illustrée dans la matrice trois par trois comme suit :

• Le risque initial (point vide) se trouve dans le carré supérieur droit (zone rouge – probabilité et incidence élevées).
• Le risque résiduel (point rempli) est à gauche du point vide et au milieu de la rangée de carrés du haut (zone rouge – même incidence élevée que le risque initial, mais probabilité moyenne).
• Le risque cible (étoile) est dans le carré supérieur gauche (zone jaune – faible probabilité, mais même incidence élevée que le risque résiduel).

L’incapacité de disposer d’un effectif suffisant et approprié à EDSC accentuerait tous les autres risques de l’organisation. Par exemple, la cible de gravité du risque lié aux technologies de l’information est établie en fonction de la mise en œuvre réussie de sa stratégie relative à l’effectif visant à attirer, à recruter et à maintenir en poste des employés qualifiés dans le domaine de la GI-TI. De même, en l’absence de capacités suffisantes de gestion de projet, les programmes et les projets ne mèneront pas à la pleine réalisation des avantages escomptés dans les délais, le budget et la portée prévus.

Afin de contrer ce risque, le Ministère poursuivra la mise en œuvre de la Stratégie de l’effectif d’EDSC et des plans d’action annuels relatifs à l’effectif qui prévoient de nombreuses initiatives visant à attirer, à perfectionner et à maintenir en poste un effectif compétent et diversifié. En outre, les structures de gouvernance établies continueront d’assurer la gestion stratégique des ressources humaines.

Afin de réduire davantage le risque lié aux RH et d’améliorer les résultats relatifs à la paye pour les employés, EDSC est à mettre en œuvre le modèle d’équipe mixte plus pour la rémunération afin d’ajouter ses propres ressources au modèle de prestation de services standard d’équipe mixte du Centre des services de paye. Cela permettra de mettre à profit la capacité des conseillers en rémunération formés d’EDSC ayant accès au système de paye Phénix, afin d’accroître la capacité des services de rémunération de traiter les cas liés à la paye à EDSC.

De plus, le Ministère procède à l’élaboration et à la mise en œuvre du Plan d’action 2019 à 2020 relatif à l’effectif, qui prévoit les initiatives suivantes :

• mettre en œuvre l’approche intégrée de la gestion de l’effectif de direction;
• mettre en œuvre les nouvelles approches d’EDSC en matière de gestion des talents et continuer à faire avancer les efforts de planification de la relève;
• mettre en œuvre la stratégie de recrutement 2017 à 2020 d’EDSC;
• élaborer et mettre en œuvre un plan d’action renouvelé sur la formation en matière de langues officielles;
• faire progresser et mettre en œuvre le projet de gestion axée sur les compétences (GAC);
• mettre en œuvre le modèle d’équipe mixte plus pour la rémunération.

Compte tenu des mesures de contrôle des risques mises en place et des mesures d’atténuation prévues, on s’attend à ce que la gravité du risque soit réduite à un niveau de probabilité faible ou à un niveau d’impact important d’ici le 31 mars 2022.

4. Gestion de projet

En raison du nombre élevé de programmes et de projets et de l’insuffisance de la capacité et des compétences en matière de gestion de projets, il y a un risque que les programmes et les projets ne produisent pas tous leurs effets positifs dans les délais, le budget et la portée prévus. Il peut en résulter une exposition à des risques principaux, notamment l’incapacité de répondre aux attentes des clients, une atteinte à la réputation, des pertes financières, l’inefficacité opérationnelle et des défis politiques et réglementaires.

La gestion de projet est essentielle à la réalisation de tout objectif au sein des ministères fédéraux, car elle assure l’exécution efficace des programmes et des projets. Toutefois, le nombre élevé de programmes et de projets, l’insuffisance des capacités et des compétences en matière de gestion des projets ainsi que les priorités concurrentes et les pratiques inefficaces de gestion du portefeuille exposent le Ministère au risque de ne pas être en mesure de respecter ses engagements. En l’absence d’une gestion de projet efficace, le Ministère pourrait ne pas être en mesure de répondre aux attentes des clients, ce qui pourrait nuire à sa réputation et entraîner une perte de confiance du public. L’incapacité de respecter les engagements pourrait également entraîner des pertes financières si les résultats escomptés ne sont pas atteints ou ne le sont pas dans les limites du budget.

Figure 4 : La gravité du risque de gestion de projet – Version textuelle

La gravité du risque de gestion de projet (risque 4) est illustrée dans la matrice trois par trois comme suit :

• Le risque initial (point vide) se trouve dans le carré supérieur droit (zone rouge – probabilité et incidence élevées).
• Le risque résiduel (point rempli) est essentiellement au même endroit que le point vide, presque complet au-dessus; cela indique que le risque après les contrôles (risque résiduel) est le même qu’avant les contrôles (risque initial).
• Le risque cible (étoile) est dans le carré supérieur gauche (zone jaune – faible probabilité, mais presque la même incidence élevée que le risque initial et résiduel).

Si ce risque n’est pas atténué adéquatement, les avantages pourraient ne pas être pleinement réalisés dans les délais, le budget et la portée prévus, ce qui aurait une incidence directe sur les finances du Ministère. En outre, cela pourrait entraîner une incapacité de répondre aux attentes des clients et une inefficacité opérationnelle, éléments qui sont résumés dans les risques liés à la planification des investissements, à la gestion du portefeuille d’investissements et à la prestation de services.

Diverses mesures de contrôle ont été mises en place pour réduire au minimum les risques liés à la gestion de projet, y compris la création du Bureau de gestion des projets d’entreprise (BGPE), qui offre divers services de consultation, tels que la gestion du risque et la gestion des avantages. Les mécanismes de gouvernance et de surveillance, c’est-à-dire des comités tels que l’Office d’investissement des grands projets et les comités de vérification interne de la gestion des projets, atténuent davantage les risques. Les pratiques exemplaires sont communiquées par l’entremise du BGPE afin d’éclairer l’exécution de la gestion de projet.

Afin de réduire davantage la probabilité du risque lié à la gestion de projet, EDSC mettra en place d’autres mesures d’atténuation en 2019 à 2020, notamment des services de développement et de maturation de la gestion de projet pour les directions générales et une surveillance accrue des risques au niveau des projets, des programmes et du portefeuille. EDSC élabore également un processus d’examen des risques du portefeuille liés à la transformation des services pour améliorer la surveillance des risques et promouvoir une meilleure gestion des ressources.

Compte tenu des mesures de contrôle des risques mises en place et des mesures d’atténuation prévues, on prévoit que la gravité du risque sera réduite à un niveau de probabilité faible et à un niveau d’impact important d’ici le 31 mars 2020.

5. Gestion de l’information et des connaissances (données)

Compte tenu de la grande quantité et de la complexité de l’information à gérer et de l’absence de programmes bien établis de gestion des données et de gestion de l’information, EDSC risque de ne pas être en mesure de protéger ou d’analyser adéquatement les données et les renseignements ayant une valeur opérationnelle ou d’y accéder. Il pourrait en résulter des atteintes potentielles à la vie privée et à la sécurité et une diminution de la productivité à l’appui des programmes et des services d’EDSC.

EDSC doit gérer une grande quantité d’information très complexe tout en la protégeant contre des cyberattaques de plus en plus sophistiquées qui peuvent à leur tour entraîner des atteintes à la vie privée et à la sécurité. Puisqu’il faut continuer de perfectionner les compétences, les outils et la stratégie globale en matière de gestion de l’information, les politiques, les programmes et les services du Ministère risquent de ne pas répondre aux besoins des Canadiens.

Figure 5 : La gravité du risque de gestion de l’information et des connaissances – Version textuelle

La gravité du risque de gestion de l’information et des connaissances (risque 5) est illustrée dans la matrice trois par trois comme suit :

• Le risque initial (point vide) chevauche le carré dans le coin supérieur droit et celui en dessous (zone rouge – probabilité et incidence élevées).
• Le risque résiduel (point rempli) est immédiatement inférieur au point vide (zone rouge – même probabilité élevée, mais incidence légèrement inférieure).
• Le risque cible (étoile) se situe au milieu de la matrice (zone jaune – probabilité et incidence moyennes, tous deux légèrement inférieurs au risque résiduel).

Une protection et une gestion inadéquates de l’information pourraient compromettre la protection de la vie privée et la sécurité des renseignements personnels, et entraîner une augmentation des cas de fraude. De plus, l’incidence possible sur la capacité d’EDSC d’accéder aux données et de les analyser pour éclairer l’élaboration des politiques, l’exécution des programmes et la prestation des services pourrait exacerber le risque lié à la conception des politiques et le risque lié à la prestation des services.

Pour contrer ce risque, EDSC a mis en œuvre une stratégie relative aux données (y compris des programmes d’analyse et de gouvernance/d’intendance des données) ainsi qu’une stratégie et une feuille de route pour l’ensemble des politiques concernant la gestion de l’information (GI) d’entreprise afin de réduire la quantité d’information et le risque que les politiques, les programmes et les services ne soient pas adaptés aux besoins des Canadiens. Le Ministère a également mis en œuvre la Politique sur la sécurité du gouvernement, qui fournit une orientation en ce qui concerne l’exécution des programmes et la prestation des services gouvernementaux en toute sécurité et la protection de l’information, des personnes et des biens, en plus d’offrir une assurance aux Canadiens, aux partenaires, aux organismes de surveillance et aux autres intervenants en ce qui a trait à la gestion de la sécurité.

En plus de ces mesures de contrôle, EDSC prend des mesures pour réduire davantage les risques liés à la gestion de l’information et des connaissances. Le Ministère s’efforce de perfectionner davantage ses pratiques de GI, d’accroître la sensibilisation et la formation en matière de GI et de relever les défis liés aux technologies et aux outils de GI. Toutes ces mesures devraient être achevées d’ici juin 2022. Les mises à jour des politiques et des processus, comme la Politique sur les données 1.0 et le programme de gérance et d’analyse des données, sont également en voie d’être achevées en juin 2021. De plus, pour réduire davantage sa vulnérabilité aux cyberattaques, EDSC continue d’accroître les mesures de protection en matière de cybersécurité, en collaboration avec ses partenaires gouvernementaux et les fournisseurs de services. En outre, EDSC poursuit la mise en œuvre de sa stratégie relative aux données d’entreprise.

Compte tenu des mesures de contrôle des risques mises en place et des mesures d’atténuation prévues, on prévoit que la gravité du risque sera réduite à un niveau de probabilité élevée et à un niveau d’impact modéré d’ici juin 2022.

6. Fraude

En raison des menaces de fraude émergentes et complexes et de la possibilité d’actes répréhensibles, il existe un risque qu’EDSC soit incapable de prévenir, de détecter ou de gérer efficacement les activités frauduleuses et les actes répréhensibles internes ou externes liés à la l’exécution de ses programmes, à la prestation de services et à ses opérations.

Le Ministère a déterminé que la fraude et les actes répréhensibles sont des secteurs de risque qui pourraient entraîner une perte d’argent, de biens, d’information ou de la confiance du public envers le gouvernement canadien. De plus, les risques posés par les activités frauduleuses et les actes répréhensibles peuvent avoir une incidence sur la prestation de services précis et rapides aux clients et sur la crédibilité du Ministère en tant que gardien efficace des fonds publics et des renseignements personnels.

Figure 6 : La gravité du risque de fraude – Version textuelle

La gravité du risque de fraude (risque 6) est illustrée dans la matrice trois par trois comme suit :

• Le risque initial (point vide) se trouve dans le carré du milieu de la rangée supérieure (zone rouge – probabilité moyenne et incidence élevée).
• Le risque résiduel (point rempli) se situe au milieu de la matrice (zone jaune – probabilité et incidence moyennes, tous deux légèrement inférieurs au risque initial).
• Le risque cible (étoile) est immédiatement en dessous du point rempli dans la même zone jaune (même probabilité et incidence légèrement inférieure à celle du risque résiduel).

Si ce risque devait se matérialiser, il pourrait avoir une incidence sur le risque lié à la protection de la vie privée et des renseignements personnels en augmentant la probabilité d’un accès illégal à des renseignements personnels ou de la divulgation non autorisée de ceux-ci. Ce risque pourrait également exacerber le risque lié à la prestation des services en réduisant potentiellement les fonds disponibles dans le cadre des programmes qui soutiennent les bénéficiaires légitimes et admissibles, ce qui a des incidences sur la capacité du Ministère d’offrir un soutien financier et des services aux personnes dans le besoin. Enfin, ce risque pourrait également accroître le risque lié à la conception des politiques. Par exemple, si des activités frauduleuses et des actes répréhensibles liés à l’exécution des programmes et des opérations et à la prestation de services devaient se produire, il pourrait fausser les preuves liées au bien être social ou économique des Canadiens. Cela pourrait mettre à l’épreuve la capacité d’EDSC de fournir des conseils éclairés et des recommandations stratégiques.

Le Ministère a pris des mesures pour réduire au minimum la probabilité et les répercussions des activités frauduleuses et des actes répréhensibles. Il a actualisé son cadre sur la fraude, qui offre une approche cohérente, intégrée et organisationnelle visant à faire en sorte que la fraude et les actes répréhensibles commis contre le Ministère soient prévenus, détectés et traités. Ces mesures intègrent des mesures de contrôle ancrées dans une culture de protection de la vie privée ainsi que dans la reddition de comptes et la gouvernance, l’évaluation des risques, la divulgation, les enquêtes, la surveillance et la production de rapports. Elles renforcent la capacité du Ministère de prévenir les cas de fraude et d’actes répréhensibles et d’intervenir plus rapidement et plus efficacement, réduisant ainsi l’impact sur le Ministère.

Bien que le Ministère ait déjà pris des mesures en vue de réduire le risque de fraude, il continuera de chercher à mieux comprendre la fraude et les actes répréhensibles à l’égard de ses programmes, services et opérations, en analysant régulièrement la fréquence et l’ampleur de la fraude ainsi que les facteurs qui la sous-tendent (intention malveillante ou accident). Le Ministère travaille à harmoniser ses systèmes et ses mécanismes de production de rapports afin d’améliorer sa capacité de détecter et de limiter les incidents d’accès inapproprié à l’information ou de manipulation de l’information dans ses systèmes électroniques et d’y réagir. En 2019 à 2020, EDSC mettra en place un site Web sécurisé qui permettra aux citoyens de signaler les cas présumés d’abus de programme. Le Ministère mettra également à l’essai un logiciel de centralisation et de gestion des données afin d’assurer une surveillance plus efficace et de pouvoir suivre le rythme et réagir aux actes répréhensibles et aux cas de fraude dans un environnement technologique en évolution.

Comme le risque de fraude et d’acte répréhensible est une menace variable, et compte tenu des mesures de contrôle en place et des mesures d’atténuation qui devraient être mises en œuvre d’ici le 31 mars 2021, EDSC accepte de maintenir un niveau de gravité du risque résiduel et un niveau de gravité visée du risque à un niveau de probabilité moyen et à un niveau d’impact modéré.

7. Protection de la vie privée et des renseignements personnels

La très grande quantité de renseignements personnels obtenus et préparés par EDSC, la consultation, l’utilisation, la communication ou l’élimination inappropriée ou involontaire de renseignements personnels par EDSC ou un accès inadéquat à de tels renseignements découlant de menaces grandissantes à ce chapitre sont autant de risques qui pourraient donner lieu à d’importantes pertes de renseignements ou à des divulgations non autorisées.

EDSC gère d’importantes quantités de renseignements personnels, en grande partie de nature délicate. Non seulement la perte ou la divulgation non autorisée de renseignements peut entraîner un vol d’identité, une fraude ou des menaces physiques à l’endroit de personnes, mais elles peuvent également entraîner une perte de confiance du public à l’endroit d’EDSC, notamment lorsqu’il y a une atteinte à la protection de la vie privée. En raison de la grande quantité de renseignements personnels traités par EDSC et de la complexité croissante des moyens élaborés pour en compromettre la protection, il est essentiel d’être proactif quant aux mesures de contrôle et aux autres mesures requises pour protéger les renseignements personnels et la vie privée.

Figure 7 : La gravité du risque lié à la protection de la confidentialité et à la sécurité des renseignements personnels – Version textuelle

La gravité du risque lié à la protection de la confidentialité et à la sécurité des renseignements personnels (risque 7) est illustrée dans la matrice trois par trois comme suit :

• Le risque initial (point vide) se trouve dans le carré du milieu de la rangée supérieure (zone rouge – probabilité moyenne et incidence élevée).
• Le risque résiduel (point rempli) est à gauche du point vide, mais dans une zone différente (zone jaune – faible probabilité, mais même incidence élevée que celle du risque initial).
• Le risque cible (étoile) est au même endroit que le point rempli et le chevauche presque entièrement (zone jaune – probabilité faible et même incidence élevée que celle du risque résiduel).

Si ce risque se concrétisait, les cas de fraude pourraient augmenter. Le Ministère aurait de la difficulté à prévenir, détecter et gérer efficacement les activités frauduleuses et les actes répréhensibles internes ou externes liés à l’exécution de ses programmes et opérations et à la prestation de services. Le risque matériel pourrait également augmenter ce risque auquel sont exposés les clients d’EDSC, puisqu’une fuite de renseignements pourrait faire en sorte que les renseignements personnels des clients soient divulgués.

Afin de protéger les renseignements personnels, le Ministère a établi un solide régime de protection de la vie privée, qui englobe la Politique ministérielle sur la gestion des renseignements personnels et le Cadre de gestion de la protection des renseignements personnels, en vue d’assurer la gestion, la protection et l’utilisation judicieuse des renseignements personnels. La Politique et le Cadre susmentionnés, conformément à la politique et aux normes relatives à la sécurité du Conseil du Trésor, constituent une approche proactive et axée sur le risque pour la gestion des renseignements personnels, qui comprend les éléments suivants :

• des processus structurés et coordonnés de gestion du risque;
• des mesures de protection techniques, physiques et administratives servant à protéger les renseignements personnels tout au long de leur cycle de vie;
• des campagnes de sensibilisation et une formation obligatoire pour favoriser une culture organisationnelle respectueuse de la vie privée;
• une structure de gouvernance qui assure la surveillance des risques d’entrave à la vie privée au niveau de la haute direction.

Compte tenu des mesures de contrôle des risques mises en place et des mesures d’atténuation prévues, on prévoit que la gravité du risque passera d’un niveau de probabilité moyenne et d’un niveau d’impact considérable à un niveau de probabilité faible et à un niveau d’impact considérable.

8. Prestation de services

Il y a un risque qu’EDSC ne soit pas en mesure de fournir et de maintenir des services gouvernementaux efficaces, exacts, rapides et de grande qualité, offerts à l’aide de différents modes de prestation, aussi bien à court qu’à long terme. EDSC doit être capable de fournir des services courants aux Canadiens, en plus d’améliorer et de transformer la prestation de services afin de répondre aux besoins et aux attentes en évolution des Canadiens.

Les nouvelles technologies définissent les attentes des Canadiens, qui estiment que les services gouvernementaux doivent devenir de plus en plus accessibles, adaptés et faciles à utiliser. Bien qu’on s’attende à ce que le Ministère continue d’offrir des services qui répondent aux normes élevées actuelles, on s’attend aussi à ce qu’il se modernise et se transforme pour répondre aux attentes de plus en plus élevées. Il y a un risque que le Ministère ne soit pas en mesure de maintenir des services courants uniformes et de grande qualité tout en innovant pour s’adapter aux modèles de prestation de services rendus possibles par la technologie moderne.

Figure 8 : La gravité du risque lié à la prestation des services – Version textuelle

La gravité du risque lié à la prestation des services (risque 8) est illustrée dans la matrice trois par trois comme suit :

• Le risque initial (point vide) se trouve dans le carré supérieur droit (zone rouge – probabilité élevée et incidence élevée).
• Le risque résiduel (point rempli) est immédiatement à gauche du point vide et touche la bordure (zone rouge – même incidence élevée que le risque initial, mais probabilité légèrement inférieure).
• Le risque cible (étoile) est à gauche du point rempli, mais toujours dans la même zone rouge, ce qui indique une probabilité plus faible, mais la même incidence élevée.

Si ce risque se concrétisait et qu’EDSC était incapable de fournir des services continus de manière efficace, cela pourrait accroître la probabilité que se concrétisent les risques associés à la gestion de projet, puisque les programmes et les projets pourraient ne pas produire tous leurs effets positifs dans les délais, le budget et la portée prévus.

La Direction générale de la transformation et de la gestion intégrée des services (DGTGIS) – présentée d’abord comme une mesure d’atténuation avant de devenir une mesure de contrôle – travaille en collaboration avec ses partenaires au sein du Ministère, avec d’autres ministères du gouvernement fédéral ainsi qu’avec les provinces et les territoires en vue de transformer la façon dont EDSC s’y prend pour mieux comprendre les Canadiens et offrir des services qui répondent à leurs besoins. Le Ministère continuera d’examiner régulièrement ses initiatives de transformation afin de rajuster la mise en séquence et l’ordre de priorité des produits et d’équilibrer ses besoins en ressources, notamment par l’entremise du Conseil des grands projets et investissements et du Comité des SMA responsables de la transformation des services. Il continuera également de faire rapport sur les progrès réalisés en diffusant régulièrement des tableaux de bord et des fiches d’évaluation sur les services.

D’autres mesures d’atténuation ont été mises au point pour simplifier les processus et s’attaquer à des problèmes précis liés a la prestation de services, aux attentes des clients, à la technologie et aux besoins en matière de ressources humaines.

Les mesures d’atténuation prévues pour simplifier les processus comprennent des mesures destinées à renforcer la capacité d’EDSC de se doter d’un effectif suffisant dont les membres possèdent des connaissances approfondies liées aux programmes tant pour les opérations courantes que pour les initiatives de transformation. EDSC affectera les ressources humaines pour appuyer la réussite des opérations et des initiatives de transformation. En outre, le Ministère renforcera la capacité des directions générales d’embaucher et d’intégrer plus rapidement l’effectif requis pour répondre aux besoins d’aujourd’hui et de demain.

Pour s’attaquer aux problèmes touchant expressément la prestation de services, EDSC examinera et simplifiera le processus de subventions et de contributions afin de réduire le fardeau administratif, et il mettra au point un plan d’action pluriannuel, au moyen de consultations internes et externes, pour relever d’autres aspects importants qu’il conviendrait d’améliorer. EDSC fera également évoluer la fonction de gestion intégrée des services, de manière à appuyer une démarche intégrée à l’égard de la gestion des services entre les programmes, les directions générales et les modes de prestation, et il atténuera davantage le risque découlant des charges de travail incompatibles liées aux services.

Pour gérer les attentes des clients, les normes de service et les résultats sur le rendement en temps réel seront publiés chaque mois sur Canada.ca.

La prestation de services dépend de la technologie. EDSC entend procéder au renouvellement complet des processus opérationnels et de la technologie (Modernisation du versement des prestations) pour le régime d’assurance-emploi, la Sécurité de la vieillesse et le Régime de pensions du Canada, afin d’améliorer le service à la clientèle en transformant la façon dont les prestations sont versées. Il migrera vers la Solution d’hébergement des centres d’appels (SHCA), une plateforme moderne, hébergée, centralisée et partagée qui remplacera la technologie actuelle des centres d’appels, qui arrive à la fin de sa vie utile.

Compte tenu des mesures de contrôle des risques mises en place et des mesures d’atténuation prévues, on s’attend à ce que la gravité du risque soit réduite légèrement d’ici le 31 mars 2021, mais en fin de compte, la cible de niveau de probabilité moyenne et de niveau d’impact considérable pourra être atteinte seulement une fois que les mesures d’atténuation des risques liés à la TI seront en place en 2024.

9. Conception des politiques

Une évolution rapide du contexte social et économique pourrait mettre à risque la capacité d’EDSC de donner, en temps opportun, des conseils d’orientation stratégique de grande qualité.

EDSC a pour mandat de bâtir un Canada plus fort et plus inclusif, afin d’aider les Canadiens à vivre une vie productive et gratifiante et d’améliorer leur qualité de vie. Bien que le Ministère continue d’élaborer des politiques à l’appui de son mandat, il évolue dans un environnement social et économique qui se transforme rapidement. Par conséquent, il risque de ne pas être en mesure de fournir, en temps opportun, des conseils d’orientation stratégique qui soutiennent le rythme de ces changements rapides.

Figure 9 : La gravité du risque lié à la conception des politiques – Version textuelle

La gravité du risque lié à la conception des politiques (risque 9) est illustrée dans la matrice trois par trois comme suit :

• Le risque initial (point vide) se situe au milieu de la matrice (zone jaune – probabilité et incidence moyennes).
• Le risque résiduel (point rempli) est au-dessous du point vide et chevauche le carré du milieu (jaune) et le carré en dessous (vert) (même probabilité moyenne que le risque initial, mais incidence légèrement inférieure).
• Le risque cible (étoile) est à gauche du point rempli, mais dans la zone verte (probabilité légèrement inférieure au risque résiduel, mais même incidence).

Si ce risque se concrétisait, cela pourrait donner lieu à des politiques et à des programmes dont la conception n’est pas optimale. Il faut s’attaquer au risque lié à la conception des politiques de manière à maintenir en place des politiques ciblées et adaptées qui répondent aux besoins du public.

Le Ministère a un certain nombre de mesures de contrôle lui permettant de réduire le risque lié à la conception des politiques. Par exemple, EDSC dispose de structures de gouvernance bien établies, aussi bien internes qu’externes, comme le Comité des politiques stratégiques et divers comités fédéraux-provinciaux-territoriaux (par exemple le Forum des ministres du marché du travail), qui servent de tribune où l’on discute des nouveaux enjeux et où l’on fait progresser le programme stratégique du gouvernement. De plus, par l’entremise de comités pangouvernementaux comme le Comité des sous-ministres sur la croissance inclusive, EDSC est en mesure d’évaluer sous un angle prospectif les effets des programmes et des politiques publiques sur la croissance. EDSC favorise également la participation des intervenants au moyen de la recherche sur l’opinion publique, des médias sociaux et de la conception conjointe des politiques, afin de comprendre les besoins et les attentes des Canadiens et d’adapter les politiques et les programmes en fonction de ceux-ci. Les outils de suivi des priorités, les bilans ministériels, les mémoires au Cabinet et les présentations au Conseil du Trésor servent également à surveiller et à suivre les engagements du gouvernement.

Le Ministère cherche à réduire davantage ce risque en ajoutant aux mesures de contrôle en place de nouvelles activités d’atténuation qui contribuent à améliorer la capacité des politiques de répondre aux besoins du public. La mise au point d’une stratégie et d’un plan de recherche cohérents aura pour but d’améliorer le fondement stratégique en intégrant la recherche et l’analyse à l’échelle du Ministère et en les rendant facilement accessibles aux équipes responsables de l’élaboration et de la mise en œuvre des politiques. En outre, EDSC misera sur son processus de planification à moyen terme et mettra davantage à profit la démarche prospective d’Horizons de politiques Canada pour comprendre l’incertitude liée aux nouvelles questions concernant les politiques. Grâce à ces processus, EDSC évaluera la capacité des programmes de s’adapter aux changements susceptibles de toucher l’environnement économique et social, en collaboration avec des partenaires internes et externes (par exemple des universitaires et d’autres experts). Le Ministère misera sur le travail effectué au Lab d’innovation d’EDSC pour créer des approches mieux adaptées en matière de politiques, et il utilisera sa stratégie relative aux données afin d’améliorer les principales bases de données, y compris une politique sur les données et un programme sur l’intendance des données pour favoriser une plus grande utilisation, un meilleur accès et une collecte accrue des données afin d’éclairer la conception des politiques et d’appuyer une prise de décisions fondée sur des données probantes.

Compte tenu des mesures de contrôle mises en place et des mesures d’atténuation prévues, on s’attend à ce que la gravité du risque soit réduite à un niveau de probabilité faible et à un niveau d’impact variant de faible à modéré, selon les dates d’achèvement prévues pour les activités.

10. Continuité des activités

En raison de menaces externes telles que les catastrophes naturelles, les cyberattaques, la violence en milieu de travail et le terrorisme, il existe un risque que des systèmes essentiels soient mis hors ligne ou que des installations soient fermées. Cela pourrait faire en sorte que la prestation des services aux Canadiens soit interrompue.

Bien que la probabilité de menaces externes comme les catastrophes naturelles, les cyberattaques, la violence en milieu de travail et le terrorisme soit très variable, les répercussions possibles sur les services sont élevées et l’interruption des services demeure un risque.

Figure 10 : La gravité du risque de continuité des activités – Version textuelle

La gravité du risque de continuité des activités (risque 10) est illustrée dans la matrice trois par trois comme suit :

• Le risque initial (point vide) chevauche le carré du milieu supérieur dans la zone rouge et le carré du milieu dans la zone jaune (probabilité moyenne et incidence moyenne à élevée).
• Le risque résiduel (point plein) est immédiatement inférieur au point vide et le chevauche légèrement (zone jaune – même probabilité moyenne, mais incidence légèrement inférieure à celle du risque initial).
• Le risque cible (étoile) est immédiatement en dessous du point rempli et au milieu de la matrice (zone jaune – même probabilité moyenne, mais incidence légèrement inférieure au risque résiduel).

La mise hors ligne des systèmes ou la fermeture des installations pourrait avoir une incidence directe sur le risque lié à la prestation de services, car cela nuirait à la capacité d’EDSC d’offrir des services aux Canadiens de manière efficace.

EDSC tient un calendrier de renouvellement et de communication de ses plans de continuité des activités, de ses stratégies de rétablissement et de ses procédures de gestion des situations d’urgence. Jusqu’à maintenant, ces processus ont bénéficié de la collaboration des partenaires ministériels et des intervenants externes, et cette collaboration se poursuivra.

En 2019 à 2020, le Ministère propose de mettre l’accent sur sa capacité d’intervention et de valider l’efficacité de ses approches au moyen de la formation et d’exercices de simulation. Les niveaux de service minimaux et les objectifs de délai de rétablissement seront mesurés annuellement afin d’évaluer les progrès du Ministère au chapitre de la continuité des activités.

Compte tenu des mesures de contrôle des risques mises en place et des mesures d’atténuation prévues, on prévoit que la gravité du risque sera réduite à un niveau de probabilité moyen et à un niveau d’impact modéré d’ici le 31 mars 2023.

11. Sécurité matérielle

En raison des types de programmes administrés par le Ministère et de l’accès public aux secteurs de prestation de services, il y a un risque que la sécurité des employés ou des clients soit compromise. Cela peut avoir un impact sur la santé mentale et le moral des employés ou peut entraîner des lésions ou des dommages corporels.

Si ce risque devait se produire, le risque lié à la continuité des activités pourrait être exacerbé si un lieu de travail ministériel ou un Centre Service Canada devait fermer ses portes. Les risques pour la sécurité physique des employés et du public pourraient avoir une incidence sur le risque lié à la prestation de services, car cela nuirait à la capacité du Ministère de fournir des services rapides et de qualité aux Canadiens.

Figure 11 : La gravité du risque de sécurité physique – Version textuelle

La gravité du risque de sécurité physique (risque 11) est illustrée dans la matrice trois par trois comme suit :

• Le risque initial (point vide) est au milieu de la matrice dans la zone jaune (probabilité et incidence moyennes).
• Le risque résiduel (point rempli) est à gauche du point vide, mais dans la zone verte (faible probabilité, mais même incidence moyenne que celle du risque initial).
• Le risque cible (étoile) est immédiatement en dessous du point rempli dans la même zone verte (même faible probabilité et incidence légèrement inférieure au risque résiduel).

Un plan de communication sur la sécurité fondé sur des données probantes est en place, et un programme de sensibilisation, de formation, d’éducation en matière de sécurité et de communication connexe est en cours de préparation afin de garantir que les outils et les produits de sensibilisation à la sécurité sont conçus en fonction des tendances en matière de sécurité et qu’ils soutiennent respectivement une solide culture de sécurité. La surveillance continue assurée par l’agent de sécurité du Ministère et la production de rapports réguliers sur les statistiques et les tendances relatives aux incidents de sécurité continueront d’être un contrôle essentiel pour atténuer ce risque.

Afin d’améliorer les mesures de contrôle susmentionnées, EDSC continuera de mettre en œuvre les recommandations découlant des évaluations de la menace et des risques menées portant sur les centres de service à la clientèle et d’évaluer la sensibilisation et la formation aux outils disponibles dans le cadre du plan de sensibilisation, de formation et d’éducation sur la sécurité. En outre, il examinera et mettra à jour sa Politique sur la sécurité, ses directives, ses lignes directrices et ses outils afin de se conformer à la nouvelle Politique sur la sécurité du gouvernement qui est entrée en vigueur en juillet 2019, et de répondre aux besoins d’un milieu de travail moderne.

Compte tenu des mesures de contrôle des risques mises en place et des mesures d’atténuation prévues, on prévoit que la gravité du risque sera réduite à un niveau de probabilité moyen et à un niveau d’impact faible d’ici le 31 mars 2021.

Conclusion

Le Profil de risque organisationnel offre un aperçu des risques auxquels EDSC est confronté au niveau de l’organisation. L’information contenue dans le Profil de risque organisationnel doit être prise en considération dans la prise de décisions liées à l’établissement des priorités au sein de l’organisation. Le Profil fournit également à la haute direction et aux principaux intervenants l’assurance qu’un cadre exhaustif de gestion du risque est en place, que les risques éventuels pour l’organisation sont cernés et surveillés, et que des mesures sont prises au besoin. En outre, il permet aux employés d’obtenir l’information sur les risques dont ils ont besoin pour éclairer et orienter leur travail.

Le Profil de risque organisationnel offre une approche structurée pour déterminer les principaux risques et les plans à mettre en œuvre pour réduire les risques, accroître les mesures de contrôle au besoin et saisir les occasions qui se présentent. Il met en évidence les risques interreliés qui auraient la plus grande incidence sur l’atteinte des objectifs stratégiques du Ministère. La connaissance des risques à tous les niveaux de l’organisation aidera le Ministère à atteindre ses objectifs et à obtenir des résultats.

Le Ministère s’efforce de veiller à ce que les Canadiens reçoivent des services efficaces et de grande qualité, et il doit demeurer conscient de l’environnement changeant dans lequel il évolue. La gestion du risque aura un rôle important à jouer pendant que le Ministère naviguera dans l’incertitude. En comprenant les risques auxquels il est confronté et en les gérant efficacement, EDSC peut explorer de nouvelles possibilités. La prise de risques réfléchie permet à une organisation de cibler les domaines où l’exposition au risque se situe à l’intérieur des limites de tolérance, ce qui lui permet d’innover et de trouver de nouvelles façons de s’adapter à un environnement en évolution.

Le Profil de risque organisationnel n’est qu’un volet de l’approche d’EDSC en matière de gestion du risque. Il incombe à tous les employés de tenir compte des risques à tous les niveaux de l’organisation lorsqu’ils planifient et établissent les priorités. L’objectif est que l’information contenue dans le rapport soit prise en considération dans la prise de décisions concernant les priorités et contribue au renforcement de méthodes rigoureuses de gestion du risque à EDSC.  

Domaines de risques

Gestion des RH

Menaces et occasions associées au recrutement et au maintien en poste du personnel, à la planification de la relève, à la gestion du personnel et au renforcement des capacités des employés.

Information et gestion des connaissances (données)

Menaces et occasions associées à la capacité de l’organisation et à sa viabilité relativement aux procédures et aux pratiques de gestion de l’information, à la consignation et à la gestion du savoir, notamment de l’information opérationnelle, des dossiers, des travaux de recherche, des données scientifiques et de la propriété intellectuelle.

Protection de la vie privée et des renseignements personnels

Menaces et occasions associées à la protection des renseignements personnels, y compris aux ententes sur l’échange de renseignements.

Gestion de projets

Menaces et occasions associées aux processus, aux pratiques et à la capacité de l’organisation en ce qui concerne la préparation et la gestion de projets à l’appui de son mandat général, et risques liés à des projets particuliers susceptibles de nécessiter une gestion continue.

Gestion des ressources

Menaces et occasions associées à la disponibilité, et au niveau des ressources permettant à une organisation de réaliser son mandat ainsi qu'associées à la gestion de ces ressources.

Planification des investissements et gestion du portefeuille d’investissements

Menaces et occasions associées à la capacité d’une organisation de prévoir adéquatement ses ressources (capital humain et financier, technologie de l’information et ressources matérielles) et d’établir les priorités connexes, afin de remplir son mandat et de réaliser ses priorités.

Prestation de services

Menaces et occasions associées à la conception, à la mise en œuvre et à la prestation de services ainsi qu’aux capacités de l’organisation en matière de modes de prestation.

Continuité des activités

Menaces et occasions associées aux processus opérationnels, y compris l’échec de la mise en œuvre et la perturbation d’activités, de programmes ou de services en raison d’un événement d’origine naturelle, technologique ou humaine.

Contrôle et intégrité des processus opérationnels

Menaces et occasions associées à la conception ou à la mise en œuvre des processus opérationnels, y compris les lacunes de mise en œuvre, des mesures, des outils ou des méthodes inadéquats, ou une documentation médiocre.

Communication

Menaces et occasions associées à l’approche et à la culture de l’organisation en matière de communication, de consultation, de transparence et de mise en commun des renseignements, tant à l’interne qu’à l’externe.

Gestion financière

Menaces et occasions associées aux structures et aux processus organisationnels destinés à assurer une saine gestion des ressources financières et la conformité aux politiques et aux normes en matière de gestion financière.

Fraude

Menaces et occasions associées à une forme de fausse représentation commise dans le but exprès de tirer un avantage injuste ou malhonnête. Il y a fraude lorsqu’une personne cherche délibérément à se présenter sous un faux jour ou à cacher des faits importants afin d’inciter une autre personne ou une organisation à lui céder de l’argent ou quelque chose de valeur ou à renoncer à un droit légal.

Gouvernance et orientations stratégiques

Menaces et occasions associées aux façons de faire de l’organisation en matière de leadership, de prise de décisions et de capacité de gestion, par exemple complexité de la structure de gouvernance, définition des rôles et des responsabilités.

Technologie de l’information

Menaces et occasions associées à la capacité de l’organisation et à sa viabilité en matière de technologie de l’information, notamment l’infrastructure et l’utilisation des applications technologiques, par exemple obsolescence, transformation.

Relations avec les intervenants et partenariats

Menaces et occasions associées aux relations de l’organisation avec d’autres gouvernements, d’autres ministères, ainsi qu’avec ses partenaires et les intervenants.

Paiements de transfert

Menaces et occasions associées à la conception, à l’exécution et à la gestion des programmes de paiements de transfert (prestations versées à des personnes, fonds accordés à des organismes et transferts à d’autres gouvernements) de manière à respecter les principes de saine gérance, de transparence, de responsabilisation et d’équité.

Immobilisations

Menaces et occasions associées aux immobilisations de l’organisation, y compris les biens durables (par exemple immeubles, navires, matériel scientifique, parc automobile), mais à l’exclusion de l’infrastructure de la TI.

Passation de marchés et approvisionnement

Menaces et occasions associées à l’acquisition de biens ou de services provenant de sources externes.

Obligations juridiques

Menaces et occasions associées à l’exécution par l’organisme de ses obligations prescrites par la loi (respect des lois et règlements, des politiques, des traités et accords nationaux et internationaux).

Conception de politiques

Menaces et occasions associées à la conception, à la mise en œuvre ou à l’exécution de politiques ou de programmes susceptibles d’avoir des répercussions sur les objectifs généraux de l’organisation.

Réputation et perception du public

Menaces et occasions associées à la réputation et à la crédibilité de l’organisation auprès de ses partenaires, des intervenants et des Canadiens.

Valeurs et éthique

Menaces et occasions associées à la culture d’une organisation et à sa capacité de respecter l’esprit et l’intention du Code de valeurs et d’éthique de la fonction publique.

Sécurité matérielle

Menaces et occasions associées à la mise à la disposition par une organisation de lieux de travail sûrs et sécurisés.